Liferayプラットフォームを独自にセキュリティスキャンしているお客様は、新しいJSESSIONIDが生成されている可能性があることにお気づきかもしれません。 これは、セキュリティリスクとしてフラグを立てられるかもしれませんが、実はそうではありません。 セッション識別子が変わるのは、全体的なセキュリティ機構の一部であるためです。

デフォルトでは、ユーザーがLiferayプラットフォームにログインするたびに、生成されたJSESSIONIDが変わる可能性があります。セキュリティ対策として、プラットフォームは以前のセッションを無効にしようとするからです。 Liferay プラットフォームでは、ポータルのプロパティ session.enable.phishing.protection は、 portal-ext.properties ファイルで明示的に変更されない限り、デフォルトで true に設定されています。 他のアプリケーションサーバーでは、 request.getSession(true);のような呼び出しを使用して、同じ結果を得ることができます。

この機能は、Liferayのエンジニアが脅威からプラットフォームを守るために導入している多くのセキュリティ対策の一部に過ぎません。