セション使用時の注意
セション情報はCookieまたはURLパラメタに埋め込まれます。
WebサーバとWebブラウザの間がインターネットの場合には、通信内容が傍受/改変される恐れがあります。
そのため、SSL通信を使用することをお勧めします。
Webアプリケーション開発時の注意事項
Webアプリケーション開発時の注意事項については、「J2EE ユーザーズガイド(旧版互換)」の「Webアプリケーションの開発上の注意事項」を参照してください。
Webアプリケーション配備時の注意 
サーバ上の任意の位置で実行する方法で配備したWebアプリケーションは、一般ユーザからの改変を防ぐため、書き込み権はServletコンテナを実行するユーザにのみ設定することをお勧めします。
Webアプリケーションのルートディレクトリに対する注意
Webサーバで公開するディレクトリと、Webアプリケーションのルートディレクトリが同一の場合には、WebブラウザからclassファイルやJARファイル等のWebアプリケーションそのものを参照されてしまう恐れがあり、セキュリティホールとなる可能性があります。
そのため、Webサーバで公開するディレクトリと、Webアプリケーションのルートディレクトリは別々にすることをお勧めします。
通信データについての注意
WebサーバコネクタとServletコンテナの通信において次の脅威があります。
Webサーバコネクタになりすまし、不当にServletコンテナにアクセスされる。
通信データをのぞき見される。
通信データを改ざんされる。
これらの脅威に対してSSL通信を使用し防御することをお勧めします。なりすましを防御するためには、SSLバージョン3(クライアント認証)が必要です。
SSL通信の設定については、「20.1 Servletサービスにおける環境設定」を参照してください。
セションリカバリ機能使用時の注意
ServletコンテナとSession Registry Serverの通信にはHTTPを使用します。
通信において次の脅威があります。
通信データをのぞき見される。
通信データを改ざんされる。
ServletコンテナとSession Registry Server間はイントラネット内での通信になりますが、イントラネット内でも上記脅威の可能性がある場合には、ServletコンテナとSession Registry Server間にはセキュリティが確保されたネットワークを使用するようにしてください。
