[PHP-users 16024]Re: htpaccessのログイン画面について

名越辰弥 nagoshi @ apcot.co.jp
2003年 6月 19日 (木) 13:17:02 JST


 名越です。
 ネットでセキュリティについていろいろ調べました。
cookieに書き込んでおくのはやめときます。

 ありがとうございました。

> At Wed, 18 Jun 2003 17:04:20 +0900,
> 名越辰弥 wrote:
> >  具体的にどんな問題があるのか教えていただけたらと思います。
> >  宜しくお願いします。
> 
>   ユーザ名とパスワードを cookie に書き込んで、それをどのように利用しよ
> うとしていますか? もし cookie にすでにユーザ名とパスワードが入っていた
> ら、入力をすっ飛ばしてそのままログインチェックを行うとかでしょうか。
> 
>   気をつけなければいけない点は 2つです。
> 
> 	1. cookie はいくらでも偽造可能なこと
> 	2. ブラウザに保存された cookie は盗まれる可能性があること
> 
>   普通のブラウザはサーバが書き込んだ cookie しか送ってきませんが、攻撃
> をかけてくる人物がそんな普通のブラウザを使っているとは限りません。
> cookie は結局 HTTP ヘッダに書かれた文字列に過ぎないので、いくらでも偽
> 造が可能です。攻撃者は別のユーザ名をセットしてパスワードアタックをかけ
> てくるかもしれません。(まぁこれはどんなログインページでも同じですが)
> 
>   ブラウザに送られた cookie は、指定した期間ブラウザ側に保持されます。
> ブラウザを終了しても保存するように指定した場合は、cookie の情報がたい
> ていファイルに吐き出されます。つまりクライアントのマシンに物理的に保存
> されてしまうわけで、それだけ盗まれる可能性が高くなります。
> 
>   また cookie の有効期間をそのブラウザが立ち上がっている間だけに指定し
> たとしても、クロスサイトスクリプティング問題により cookie の内容を盗ま
> れる可能性があります。
> 
>   このように cookie はデータの保存場所としては全く強固ではありません。
> 恒久的に利用可能な大事な情報を cookie に保存してはいけない、というのは
> Web システムを構築する上でもはや常識と考えても良いでしょう。
> 




PHP-users メーリングリストの案内