[PHP-users 23472]Re: クッキー

cocoitiban cocoitiban @ hotmail.com
2004年 10月 12日 (火) 00:53:03 JST


個々一番です。

> ログインが必要なWebサイトを構築し一度ログインした人には
> 次回からは自動ログインできるシステムを作ろうと思っています。
> 
> ID と PASS をクッキーで保存させると、ページ移動の度にID と
> PASS が送られるのでセキュリティー的に危険です。
セッションを使った実装が一般的です。
サーバ側にセッションIDに結びつけられたIDとPASS情報をもっておき
クライアント側にはセッションIDを持つ方法です。

PHPでは非常に一般的な方法ですので情報はごろごろしています。
調査してみてください。

> では、どうすればセキュリティー的に安全な認証システムを
> 作れるのでしょうか?
ただし、上記の方法でも(というかHTTP通信のほとんどは)パケットを
盗聴されるなどの手段でセッションをのっとられる可能性があるので
もう少し完全さを求める場合にはSSL等の導入も考えたほうがいいでしょう。

ここらへんは、システムにどれだけのセキュリティを求めるかや予算の都合
があると思いますので、自分の作成するシステムにあった方法を模索してみ
てください。

以上、ご参考になれば幸いです。


-- 
cocoitiban <cocoitiban @ hotmail.com>




PHP-users メーリングリストの案内