■セション使用時の注意
セション情報はCookieまたはURLパラメタに埋め込まれます。
WebサーバとWebブラウザの間がインターネットの場合には、通信内容が傍受/改変される恐れがあります。
そのため、SSL通信を使用することをお勧めします。
■Webアプリケーション開発時の注意事項
Webアプリケーション開発時の注意事項については、“J2EEユーザーズガイド”の“Webアプリケーションの開発上の注意事項”を参照してください。
■Webアプリケーション配備時の注意 
配備したWebアプリケーションは、一般ユーザからの改変を防ぐため、書き込み権はServletコンテナを実行するユーザにのみ設定することをお勧めします。
■Webアプリケーションのルートディレクトリに対する注意
Webサーバで公開するディレクトリと、Webアプリケーションのルートディレクトリが同一の場合には、WebブラウザからclassファイルやJARファイル等のWebアプリケーションそのものを参照されてしまう恐れがあり、セキュリティホールとなる可能性があります。
そのため、Webサーバで公開するディレクトリと、Webアプリケーションのルートディレクトリは別々にすることをお勧めします。
■通信データについての注意
WebサーバコネクタとServletコンテナの通信において次の脅威があります。
Webサーバコネクタになりすまし、不当にServletコンテナにアクセスされる。
通信データをのぞき見される。
通信データを改ざんされる。
これらの脅威に対してSSL通信を使用し防御することをお勧めします。なりすましを防御するためには、SSLバージョン3(クライアント認証)が必要です。
SSL通信の設定については、“15.1 Servletサービスにおける環境設定”を参照してください。
■セションリカバリ機能使用時の注意
ServletコンテナとSession Registry Serverの通信にはHTTPを使用します。
通信において次の脅威があります。
通信データをのぞき見される。
通信データを改ざんされる。
ServletコンテナとSession Registry Server間はイントラネット内での通信になりますが、イントラネット内でも上記脅威の可能性がある場合には、ServletコンテナとSession Registry Server間にはセキュリティが確保されたネットワークを使用するようにしてください。
