2008年2月12日

[PHP-users 33257] Re:携帯サイトでの自動ログインについて

レス先を軽く間違えました。
失礼しました。
ご質問の方への補足(蛇足)でした。


katsu2000x@xxxxx さんは書きました:
> 齊藤です。
>

> 今回の質問はあくまでも「ログインを簡単にしたい」という趣旨ですので、ログイン後に引き回すのとはまた違う話ですね。
>
> その場合はセッションを使うのが良いとは思いますが。
>
> 08/02/12 に blue<blue@xxxxx> さんは書きました:
>> ハセガワです。
>> セッション管理ですので、あくまで引き回すものは「セッションID」のみとします。
>> セッションIDから紐付くデータの保存、取得は、PHPセッションを使えばいいかと
>> 思います。WEBが複数台で分散処理されていて、nfsなどの同期も難しい
>> ということであれば、DBから取るようなセッション処理を書くとかがおすすめです。
>>
>> セッションIDそのものが漏洩すると(セッションハイジャック)そのままサイト
>> 利用ができてしまいますが、一般的には、セッションIDはハッシュ等で
>> 推測不可能に。セッションへは有効期間を付ける、定期更新をかける、
>> およびログアウトによる能動的なセッション消去機能(自己管理)をつけます。
>>
>> IDとPASSだけであれば、暗号化、復号化も手ではありますが、
>> 扱うデータが増えてくると、URL長制限などもありますので、
>> やはりセッション管理が必要となります。
>>
>> katsu2000x@xxxxx さんは書きました:
>>> 齊藤です。
>>>
>>>> 内々で利用する認証システムなので、ログイン後にURLにgetパラメータでIDとPWが付いているものをブックマークしてもらう流れにしてあります。
>>> もしかしてIDとパスを直接パラメータに指定しているなんて事はないですよね?
>>> 携帯とはいえURLの確認方法はあるので、セキュリティ的に問題です。
>>> IDと紐付けした別のものを表示させた方がよいと思います。
>>>
>>> 自分で以前作った時には、IDとsaltを加えてmd5したものをキーとして保存し、それを元に認証させていました。
>>> また、そのキーをずっと使われるのもまずいため、どこかでexpireさせることも考えた方が良いと思います。
_______________________________________________
PHP-users mailing list PHP-users@xxxxx
http://ml.php.gr.jp/mailman/listinfo/php-users
PHP初心者のためのページ - 質問する前にはこちらをお読みください
http://oldwww.php.gr.jp/php/novice.php3

投稿者 xml-rpc : 2008年2月12日 23:16
役に立ちました?:
過去のフィードバック 平均:(0) 総合:(0) 投票回数:(0)
本記事へのTrackback: http://hoop.euqset.org/blog/mt-tb2006.cgi/69905
トラックバック
コメント
コメントする




画像の中に見える文字を入力してください。