ログアウトする
セッションハイジャックを成功させるにはログイン中のセッションIDを取得しなければなりません。つまりログインした状態のままにせず、サイトを利用し終わったらログアウトする事でセッションハイジャックのリスクを軽減できる事を意味します。
「利用し終わったらログアウトする」はセキュリティの基本ですが、Webサイトではログアウトしていない事が多いのではないでしょうか?
ブラウザを終了させる
最近のPCは電源ボタンを押してもハイバネーションやスリープ状態になるだけでOS自体がシャットダウンしないように設定されている事も少なくありません。Vistaのデフォルトもスリープするようになっています。OSXも利用していますがOS自体をシャットダウンすることがほとんどありません。OSがシャットダウンしないので、当然ですが、開いたままのブラウザも終了しません。
ブラウザが終了しないとセッションクッキー(有効期限が0のクッキー。メモリに保存される)が削除されません。WebアプリがセッションIDの有効期限を短くし、再発行していないと長い時間同じセッションIDを利用してしまうかも知れません。ブラウザを終了させる事で新たなセッションIDを発行させる事が可能になります。クロスサイトスクリプティングや盗聴等によりセッションIDが盗まれた場合でも、有効期限切でセッションIDが無効になっていれば攻撃されません。
ブラウザを終了するとNoScriptに一時的に信頼させたサイトもクリアされます。
IE7/Vistaを利用する
IE7はIE6に比べると確実により安全です。Windows VistaもXPに比べると確実により安全です。特にIE7はもうすぐ強制配布も始まります。業務の関係などのIE6を使わなければならない場合を除いてIE7を利用した方が良いでしょう。
VistaにはDRMの問題があったりしますが、コンテンツのダウンロード販売などを利用していないユーザであれば、当然ですが、DRMの問題は発生しません。VistaにはLeopardにも組み込まれているAddress Space Layout Randomization (ASLR)と呼ばれるセキュリティ機能が備わっています。XPだとバッファオーバーフローで攻撃できる場合でも、Vistaは簡単に攻撃できません。
参考:
http://en.wikipedia.org/wiki/Address_space_layout_randomization
IE7とFirefox+NoScirptなら、Firefox+NoScriptの方がお勧めです。念のため。
Vistaをお勧めしているのと同じ理由で、OSXユーザにはASLRをサポートするLeopard(Mac OSX 10.5)をお勧めします。
