トップ回答者
IE8セッション管理方法について

質問
-
はじめまして。
IE8ですが、いつからかは不明ですが動きが少し違っているように思え、私の設定の問題なのか何か変更があったのか
分からなくて質問させていただきます。
IE8のセッションは立ち上げたブラウザ全て同一セッションであると認識しております。
違うセッションで立ち上げたい場合には、メニューから「新規セッション」にてブラウザを起動しないといけないと
いう認識でした。
先日、社内のブラウザベースのスケジュールを直接開いたところ、ログイン画面が出ました。
・・・別のブラウザでログインしているにもかかわらず・・・
今まではログインしている状態だと同一セッションとみなしてログインする必要なく目的のページを開くことが
できたのですが、別のセッションという認識になっているように思われます。
質問としましては
① ブラウザを新規で開く時に「新規セッション」がデフォルトとなるような設定がオプションにあるのでしょうか?
② IE8の仕様変更があった場合、どのパッチかわかりますでしょうか?
よろしくお願いします。
追記:2009/11/18 16:00
読み直して分かりにくかったので具体例を追加します。
【3ヶ月前】
①IE8でAAAAAというサイトに接続し、ログインする。
②①とは違うIE8でAAAAAというサイトの本日のスケジュールのアドレス(お気に入りに追加されている)に接続する。
↓
ログイン画面が表示される事もなくスケジュールが開く
【ここ最近】
①IE8でAAAAAというサイトに接続し、ログインする。
②①とは違うIE8でAAAAAというサイトの本日のスケジュールのアドレス(お気に入りに追加されている)に接続する。
↓
ログイン画面が表示される
以下のテストもあわせて行いました。
①IE8でAAAAAというサイトに接続し、ログインする。
②①と同じIEの別のタブでAAAAAというサイトの本日のスケジュールのアドレス(お気に入りに追加されている)に接続する。
↓
ログイン画面が表示される事もなくスケジュールが開く
回答
-
前提として、「違うIE8」とはデスクトップやスタートメニューからInternet Explorerを選んだときのことを指すということで話を進めます。
私が以前調査したときは、
例え、「違うIE8」にしたとしても、やり方によっては、別セッションになりました。(普通は別セッションにはならないですが)
http://social.technet.microsoft.com/Forums/ja-JP/internetexplorerja/thread/0fb548aa-11cc-4df6-a92c-0c3710ff29e7
手順としては、
①IEをすべて閉じた状態にしておく。
②IEを立ち上げ、ログインを行う
③「新規セッション」で別ウィンドウを立ち上げる。
④②のログインを行った側のウィンドウを閉じる
⑤デスクトップのIE8アイコンをダブルクリック
⑤で立ち上げたものが、③に属するのかな?と思ったら、どのセッショングループにも所属せず、
新規セッションを選んだときと同じ動作になりました。、
上記URLにあるようなバグもあるようで、
一旦レジストリTabProcGrowth、FrameMerging、SessionMergingを変更して元に戻すと直ることもあるらしいですよ。 -
> 今まではログインしている状態だと同一セッションとみなしてログイ
> ンする必要なく目的のページを開くことができたのですが、別のセッ
> ションという認識になっているように思われます。「同一セッション」という言葉をどういう定義で使ってますか? Web
サイトから発行を受けたセッションクッキーをブラウザが保持している
状態のことですか?そうだとすると、セッションクッキーを使用しない認証方式もあります
ので、ログイン状態と「同一セッション」とは必ずしも関係しないです。例えば、セッションクッキーを利用している ASP.NET のフォーム認証
の場合、ログイン時に認証クッキー永続化オプションをオンした場合は
HDD に 50 年有効の認証クッキーが保存されますので、PC をシャット
ダウンして翌日そのサイトにアクセスしても、ログインなしでアクセス
できます。また、社内のイントラネットで利用される Windows 認証の場合は、ド
メインユーザーとしてログオンしたときの認証が社内 web サイトへの
アクセスにも有効になる(すなわち、再ログイン不要)というケースが
ほとんどと思います。というわけで、IE とは関係ないかもしれません。【3ヶ月前】と【ここ
最近】で、Web サイト側の認証方式が変わった可能性はないのでしょう
か?- 回答としてマーク A6M 2009年11月20日 2:10
すべての返信
-
前提として、「違うIE8」とはデスクトップやスタートメニューからInternet Explorerを選んだときのことを指すということで話を進めます。
私が以前調査したときは、
例え、「違うIE8」にしたとしても、やり方によっては、別セッションになりました。(普通は別セッションにはならないですが)
http://social.technet.microsoft.com/Forums/ja-JP/internetexplorerja/thread/0fb548aa-11cc-4df6-a92c-0c3710ff29e7
手順としては、
①IEをすべて閉じた状態にしておく。
②IEを立ち上げ、ログインを行う
③「新規セッション」で別ウィンドウを立ち上げる。
④②のログインを行った側のウィンドウを閉じる
⑤デスクトップのIE8アイコンをダブルクリック
⑤で立ち上げたものが、③に属するのかな?と思ったら、どのセッショングループにも所属せず、
新規セッションを選んだときと同じ動作になりました。、
上記URLにあるようなバグもあるようで、
一旦レジストリTabProcGrowth、FrameMerging、SessionMergingを変更して元に戻すと直ることもあるらしいですよ。 -
> 今まではログインしている状態だと同一セッションとみなしてログイ
> ンする必要なく目的のページを開くことができたのですが、別のセッ
> ションという認識になっているように思われます。「同一セッション」という言葉をどういう定義で使ってますか? Web
サイトから発行を受けたセッションクッキーをブラウザが保持している
状態のことですか?そうだとすると、セッションクッキーを使用しない認証方式もあります
ので、ログイン状態と「同一セッション」とは必ずしも関係しないです。例えば、セッションクッキーを利用している ASP.NET のフォーム認証
の場合、ログイン時に認証クッキー永続化オプションをオンした場合は
HDD に 50 年有効の認証クッキーが保存されますので、PC をシャット
ダウンして翌日そのサイトにアクセスしても、ログインなしでアクセス
できます。また、社内のイントラネットで利用される Windows 認証の場合は、ド
メインユーザーとしてログオンしたときの認証が社内 web サイトへの
アクセスにも有効になる(すなわち、再ログイン不要)というケースが
ほとんどと思います。というわけで、IE とは関係ないかもしれません。【3ヶ月前】と【ここ
最近】で、Web サイト側の認証方式が変わった可能性はないのでしょう
か?- 回答としてマーク A6M 2009年11月20日 2:10
-
回答ありがとうございます。
>「同一セッション」という言葉をどういう定義で使ってますか? Web
>サイトから発行を受けたセッションクッキーをブラウザが保持している
>状態のことですか?その通りです。
>例えば、セッションクッキーを利用している ASP.NET のフォーム認証
>の場合、ログイン時に認証クッキー永続化オプションをオンした場合は
>HDD に 50 年有効の認証クッキーが保存されますので、PC をシャット
>ダウンして翌日そのサイトにアクセスしても、ログインなしでアクセス
>できます。PCを落としてお気に入りページを開こうとすると、必ずログインを聞かれることから上記には該当しないと
思われます。
>というわけで、IE とは関係ないかもしれません。【3ヶ月前】と【ここ
>最近】で、Web サイト側の認証方式が変わった可能性はないのでしょう
>か?
検証用マシンのIE8では、同じ事を行った場合、先に書いた例の【3ヶ月前】の状態に現在でもなっていますので
Webサイト側の認証方式が変わった可能性はないかと思われますが、念の為確認は行ってみます。
ありがとうございました。 -
前に書きましたが、セッションクッキーを使用しない認証方式もありますので、ログイン状
態と「同一セッション」とは必ずしも関係しないです。つまり、認証時のブラウザの動作は Web サイトの認証方式しだいで変わりますので、まずは、
> PCを落としてお気に入りページを開こうとすると、必ずログインを聞かれることから上記には該当しないと
> 思われます。の「お気に入りページ」の認証方式を調べて、それにセッションクッキーがどのように使わ
れているか(使われてない可能性もあります)などを明確にした上で、その認証方式に対し
てブラウザが所定の動作をしているかどうかを議論しないと意味がないと思います。 -
>SurferOnWwwさん
TabProcGrowth=0の設定の有無によって
デスクトップのIE8ボタンでウィンドウを開いたときにセッションクッキーが共有されるかどうかが変わりますよ。
(プロセスが同一かどうかも変わりますが)
「3か月前」はTabProcGrowthの設定をしておらずセッションクッキーは共有された。
「ここ最近」はTabProcGrowthを0に設定していてセッションクッキーは共有されなかった。
おっしゃることは分かり、全てを把握するためには対象ページの認証方式を把握の必要性がありますが、
今回のケースはTabProcGrowthの設定有無によってログインの有無が変わったと判断するのが妥当だと考えています。
余談ですが、ウィンドウの開き方がもし「ファイル」メニューの「新規ウィンドウ(CTRL+N)」であれば
例えTabProcGrowth=0を設定していてもセッションクッキーは共有されます。(IE7と同じ) -
(´・ω・`) さん>
原因がブラウザ側にあることを否定するわけではありませんが、今回の話はセッションクッキー
と IE8 の話ではなく、認証(なんだか不明な)と IE8 の話のようですので、やはり「お気に入
りページ」の認証方式を調べてから議論するのがよろしいかと思います。セッションクッキーを使用しない認証方式もありますし、使用しているとしても Web アプリで
いろいろ細工ができますので(例えば、下記ページのように)。ASP.NET でセッション ID が再利用されるしくみと理由について
http://support.microsoft.com/default.aspx/kb/899918/ja -
>認証(なんだか不明な)と IE8 の話
うーん。前提となる問題点の認識が私と異なっているようです。私の解釈ではポイントとなる問題点は2つで
問題①「3ヶ月前」と「ここ最近」とで認証結果が異なるのはなぜか
問題②ここ最近「同じIEの別のタブ」と「違うIE8」とで認証結果が異なるのはなぜか
だと思っています。問題②は、最初の書き込みの追記部分の【ここ最近】の②の部分の差分を比較することで分かります。
ご指摘のサイトを確認しましたが、
問題②の「同じIEの別のタブと違うIE8とで認証結果が異なる」理由を説明出来ているようには思えませんでした。
一方、TabProcGrowthは設定1つで問題①と問題②の両方を説明できます。もし、問題②を認識したうえでの回答であれば、
ご指摘(できれば問題②を実現するための具体的手順)などお願いします。
問題②は、ランダム性や時刻などを利用することで異なる結果にすることは可能でしょうが、
質問者様の書き込み内容からそれらはなさそうと見込んだうえでの質問だと判断しました。 -
> うーん。前提となる問題点の認識が私と異なっているようです。
質問者さんが、ログインの時の状況が変わったことを問題にしているので、認
証と IE8 の話をしていると思っていますが、認識が違いますか?認証と IE8 の話であれば、「認証方式を調べてから議論するのがよろしいか
と思います」というのは自分としては当たり前と思ってますが、ご不満でしょ
うか?> ご指摘のサイトを確認しましたが、
> 問題②の「同じIEの別のタブと違うIE8とで認証結果が異なる」理由を説明出
> 来ているようには思えませんでした。そのサイトは、「セッションクッキーは Web アプリでいろいろ細工(消した
り書き換えたり)ができます」ということの例を示すために紹介しました。質
問者さんが書かれた事象が起こる理由の説明というわけではありません。> 一方、TabProcGrowthは設定1つで問題①と問題②の両方を説明できます。
それは(´・ω・`) さんのご意見として承っておきます。否定はしませんが、
肯定もしません。「認証方式を調べてから議論するのがよろしいかと思いま
す」と書いたとおり、今は議論する段階ではないと思っていますので。 -
なかなか認識が合いませんね。
私は追記部分の内容を見るに、それ以前の内容を包含していると思ったため、
それ以前の内容は参考程度にとどめるのが妥当だと考えました。>認識が違いますか?
はい。認識が異なっており、私の認識よりも話が大きいです。
具体例をメインに検討すべきだと考えています。>自分としては当たり前と思ってますが、ご不満でしょうか?
私も一般的な議論の進め方としてはその考えは正しいと思います。
ただし状況が違います。・VSのbreakpointをIE8で有効にするためにはTabProcGrowthを0にする必要がある。
http://techbank.jp/Community/blogs/nora/archive/2009/04/05/ie8-vs2005.aspx参照。
個人的に確認も行っていて、0以外の値ではbreakpointが効かない。
・IEアイコンをクリックしたときは、TabProcGrowthを0の場合、セッション(クッキー)は別になる。
・IEアイコンをクリックしたときは、デフォルトではセッション(クッキー)は共有される。
以下のMSの五寳さん書き込みを参照
http://social.technet.microsoft.com/Forums/ja-JP/internetexplorerja/thread/3c65fcfe-43ed-4ea5-8cf5-8adb50ddc508
これも個人的に調査済み。情報ソースはほかにもあるでしょう。
・本人に心当たりがある。この状況で95%解答が出たと思っています。
ネット掲示板ではここまでいくことすら稀なことが多いとも思っています。
私から見たSurferOnWwwさんは、95%解答が出ている状況で残り5%のうちの1%をつぶすために、
今までの10倍努力させようとしているように見えています。(残り4%は他にも怪しい個所は沢山あるという意味)
A6Mさんもそう考えたため、回答マークを付けたのではないでしょうか。回答マークがあるにもかかわらず、「議論しないと意味がない」と思われるほど
上記の考えに問題はあるとは思っていません。>例を示すために紹介しました。
大変ありがたいのですが、納得できる具体的な回答が出ている状況の中では、
例はあまりふさわしくない場合があるのではないでしょうか。>議論する段階ではないと思っていますので
ここも私の認識と異なっており、
すでに必要な議論は終えて、回答もほぼ間違いない状態だと考えています。
SurferOnWwwさんの意見については了解しました。回答する際は、議論の優先順位には気をつけているのですが、
「議論しないと意味がない」「議論する段階ではない」ような事柄を議論しなかったと思われるのは、
いささか不満だったため、ここまで書き込みを行っています。 -
いただいたレスは、要するに、「(1) レスに列挙した確証から、原因は TabProcGrowth
設定に間違いない。(2) それを認めないのはおかしい。」と言われているように思えま
す。前にも書きましたとおり、(1) はご意見として承っておきます。(2) は保留です。
(´・ω・`) さんは 95% 確かとのご意見ですが、自分としては 50% といったところです。
認証方式が不明なまま議論を進めても、そのパーセンテージはアップしません。だから、
認証方式が明確になってから議論しましょうというのが以前からの私の意見です。お互いの意見、判断基準(価値観?)を尊重するということはできませんか?
ところで、個人的意見を述べるのは自由ですが、「私から見たSurferOnWwwさんは・・
・」といわれるのはあまり気分がよくないです。ちょっと考慮いただけませんか。 -
>言われているように思えます。
>お互いの意見、判断基準(価値観?)を尊重するということはできませんか?
誤解を与えてしまったようですが、そもそも前提となる情報がどの辺まで一致しているのか不明だったため、
乱暴な方法ですがとりあえず思ったことを書くことで、前提知識や価値観の確認を行うのが書き込みの意図でした。
考えを否定したいのではなく、私の思いや考えを伝えたかったのです。
>ちょっと考慮いただけませんか。
思慮が足りませんでした。申し訳ありません。以後気をつけます。
>(´・ω・`) さんは 95% 確かとのご意見ですが、自分としては 50% といったところです。
>認証方式が不明なまま議論を進めても、そのパーセンテージはアップしません。だから、
>認証方式が明確になってから議論しましょうというのが以前からの私の意見です。
そういうことだったんですね。
こちらの意図が伝わったことが確認できた今、50%という判断は大変貴重だと考えています。
(というか50%もあったんですね。書き込み内容からはそう感じられなかったので・・・実は私の書き込みは役に立った!?)
ちなみに認証方式が明確にならずとも、
technetであるからには技術的観点から検討を進めることで、
パーセンテージはアップ?なりダウンなりさせることは可能だと考えますが
認識は合いますでしょうか。合う場合はもう少しお付き合い可能でしょうか?
50%と1%の差は大きいと考えているためです。大きな何かがここにあるはずです。
元々はA6Mさんのスレですが、ここまで書き込みを進めてしまった今、もう少し進めてもよいでしょう。
私がなぜ1%の扱いにしているかというと、以前出した問題②の
「同じIEの別のタブ」と「違うIE8」とで認証結果を変える為には何かしらの手段でそれを認証機能が知る必要があると考えているのですが、
第1の理由としては識別する手段はないと考えているためです。
JS、Flash、HTML、CSS、HTTP、Cookieいずれをとってもです。ActiveXプラグインなどで可能なのでしたっけ?
第2は今思いついたのですがセキュリティです。そういう情報って伝えてよいんですっけ?まぁよさそうですが。
第3はブラウザのタブやウィンドウの機能は本来そのような識別として用いないと考えているためです。これは探せば情報ソースがありそうです。
SurferOnWwwさんはこの識別を「なんだか不明な認証」の中で実現している可能性が50%あると踏んでいる(具体的な手段を知らずとも)
とこちらからは見えますが、意識が合っていますでしょうか。
対象サーバの認証方式を調べるのが近道と考えられているようですが、細工の技術的手順をなんとか探し出せませんか?
やる気があればでよいのですが探すことで、50%という値を変えられるのではないでしょうか。
時間を費やしても存在しないのであれば減るでしょうし、見つかれば上がるでしょう。
(私へのレスをしている暇があるのであればなおさら。いや、して欲しいのですが)
(私はgoogleでセッション タブで検索した上位20件を確認してみましたが見つかりませんでした。微↓です。)