[PHP-users 33250] Re: 携帯サイトでの自動ログインについて

[katsu2000x ＠ gmail.com]

齊藤です。

> 内々で利用する認証システムなので、ログイン後にURLにgetパラメータでIDとPWが付いているものをブックマークしてもらう流れにしてあります。

もしかしてIDとパスを直接パラメータに指定しているなんて事はないですよね？
携帯とはいえURLの確認方法はあるので、セキュリティ的に問題です。
IDと紐付けした別のものを表示させた方がよいと思います。

自分で以前作った時には、IDとsaltを加えてmd5したものをキーとして保存し、それを元に認証させていました。
また、そのキーをずっと使われるのもまずいため、どこかでexpireさせることも考えた方が良いと思います。


個人的には簡単ログインの方が、ユーザーの一手間掛かるもののセキュリティはかなり高くなるので、そちらがよいと思いますが・・・

08/02/12 に 萩原<namioh ＠ sea.plala.or.jp> さんは書きました:
> ハセガワ様
>
> お世話になります。
>
> 携帯サイトは経験が少ない為、とても勉強になりました。
> ありがとうございます。
>
> 今回はGET送信でログイン後、セッション管理で対応しました。
> 内々で利用する認証システムなので、ログイン後にURLにgetパラメータでIDとPWが付いているものをブックマークしてもらう流れにしてあります。
>
> お忙しいところ回答ありがとうございました。
>
> 萩原
>
>
> ----- Original Message -----
> From: "blue" <blue ＠ nabeneko.ws>
> To: "PHP-users ML" <php-users ＠ php.gr.jp>
> Sent: Tuesday, February 12, 2008 4:06 PM
> Subject: [PHP-users 33246] Re: 携帯サイトでの自動ログインについて
>
>
> > ハセガワといいます。
> >
> > まず、公式なのか非公式なのかがあります。
> > 非公式の場合ですが、auは自動取得可能です。
> > ドコモはアンカー等にutnタグをいれることで、端末固有IDを
> > 取ることが可能です。ただ、送信の許可ウィンドウが端末側で開きます。
> > ソフトバンクは、端末側の操作で、ID送信を許可する設定にしておけば
> > 自動でとれます。
> > ですので、ドコモの場合、自動ログインではなく、簡単ログインということにな
> > ります。
> > ただし、ドコモ公式の場合は、IDの取得が可能になります。
> >
> > あと、クッキー云々ですが、基本的にクッキーが使えませんので、
> > getパラメータ引き回しによるセッション管理になるでしょう。
> > DBを使ったり、PHPセッションを使ったりだと思います。
> >
> > 萩原 さんは書きました:
> >> 萩原といいます。
> >>
> >> 携帯サイトでのID・パスワードの認証システムを作っています。
> >> そこで「次回から自動的にログインする」機能を付けたいのですが、
> >> 携帯は機種によってCOOKIEが使えない為、方法を考えていますが分かりません。
> >> 一部SNSなのでは対応しているようなのですが、どのように行っているのでしょうか？
> > _______________________________________________
> > PHP-users mailing list  PHP-users ＠ php.gr.jp
> > http://ml.php.gr.jp/mailman/listinfo/php-users
> > PHP初心者のためのページ - 質問する前にはこちらをお読みください
> > http://oldwww.php.gr.jp/php/novice.php3
> >
>
> _______________________________________________
> PHP-users mailing list  PHP-users ＠ php.gr.jp
> http://ml.php.gr.jp/mailman/listinfo/php-users
> PHP初心者のためのページ - 質問する前にはこちらをお読みください
> http://oldwww.php.gr.jp/php/novice.php3
>