[PHP-users 16023]Re: htpaccessのログイン画面について

KOYAMA Tetsuji koyama @ hoge.org
2003年 6月 19日 (木) 01:15:19 JST


  小山です。

At Wed, 18 Jun 2003 17:04:20 +0900,
名越辰弥 wrote:
>  具体的にどんな問題があるのか教えていただけたらと思います。
>  宜しくお願いします。

  ユーザ名とパスワードを cookie に書き込んで、それをどのように利用しよ
うとしていますか? もし cookie にすでにユーザ名とパスワードが入っていた
ら、入力をすっ飛ばしてそのままログインチェックを行うとかでしょうか。

  気をつけなければいけない点は 2つです。

	1. cookie はいくらでも偽造可能なこと
	2. ブラウザに保存された cookie は盗まれる可能性があること

  普通のブラウザはサーバが書き込んだ cookie しか送ってきませんが、攻撃
をかけてくる人物がそんな普通のブラウザを使っているとは限りません。
cookie は結局 HTTP ヘッダに書かれた文字列に過ぎないので、いくらでも偽
造が可能です。攻撃者は別のユーザ名をセットしてパスワードアタックをかけ
てくるかもしれません。(まぁこれはどんなログインページでも同じですが)

  ブラウザに送られた cookie は、指定した期間ブラウザ側に保持されます。
ブラウザを終了しても保存するように指定した場合は、cookie の情報がたい
ていファイルに吐き出されます。つまりクライアントのマシンに物理的に保存
されてしまうわけで、それだけ盗まれる可能性が高くなります。

  また cookie の有効期間をそのブラウザが立ち上がっている間だけに指定し
たとしても、クロスサイトスクリプティング問題により cookie の内容を盗ま
れる可能性があります。

  このように cookie はデータの保存場所としては全く強固ではありません。
恒久的に利用可能な大事な情報を cookie に保存してはいけない、というのは
Web システムを構築する上でもはや常識と考えても良いでしょう。

-- 
	小山 哲志@ビート・クラフト
	koyama @ beatcraft.com
	koyama @ hoge.org


PHP-users メーリングリストの案内