[PHP-users 33258] Re: 携帯サイトでの自動ログインについて

[萩原]

ハセガワ様　齊藤様

ご教授ありがとうございます。

ログイン完了後は「session.use_trans_sid On」でセッション管理しています。
ID・パスワードはあくまでブックマーク用のURLとして、その後はセッションのみ引き回しています。

セキュリティ面とモバイルの知識が足りない為大変勉強になりました。

萩原

----- Original Message ----- 
From: "blue" <blue ＠ nabeneko.ws>
To: "PHP-users ML" <php-users ＠ php.gr.jp>
Sent: Tuesday, February 12, 2008 11:16 PM
Subject: [PHP-users 33257] Re: 携帯サイトでの自動ログインについて


> レス先を軽く間違えました。
> 失礼しました。
> ご質問の方への補足（蛇足）でした。
>
>
> katsu2000x ＠ gmail.com さんは書きました:
>> 齊藤です。
>>
>> 今回の質問はあくまでも「ログインを簡単にしたい」という趣旨ですので、ログイン後に引き回すのとはまた違う話ですね。
>>
>> その場合はセッションを使うのが良いとは思いますが。
>>
>> 08/02/12 に blue<blue ＠ nabeneko.ws> さんは書きました:
>>> ハセガワです。
>>> セッション管理ですので、あくまで引き回すものは「セッションID」のみとします。 
>>> 
>>> セッションIDから紐付くデータの保存、取得は、PHPセッションを使えばいいかと 
>>> 
>>> 思います。WEBが複数台で分散処理されていて、nfsなどの同期も難しい
>>> ということであれば、DBから取るようなセッション処理を書くとかがおすすめです。 
>>> 
>>>
>>> セッションIDそのものが漏洩すると（セッションハイジャック）そのままサイト
>>> 利用ができてしまいますが、一般的には、セッションIDはハッシュ等で
>>> 推測不可能に。セッションへは有効期間を付ける、定期更新をかける、
>>> およびログアウトによる能動的なセッション消去機能（自己管理）をつけます。
>>>
>>> IDとPASSだけであれば、暗号化、復号化も手ではありますが、
>>> 扱うデータが増えてくると、URL長制限などもありますので、
>>> やはりセッション管理が必要となります。
>>>
>>> katsu2000x ＠ gmail.com さんは書きました:
>>>> 齊藤です。
>>>>
>>>>> 内々で利用する認証システムなので、ログイン後にURLにgetパラメータでIDとPWが付いているものをブックマークしてもらう流れにしてあります。
>>>> もしかしてIDとパスを直接パラメータに指定しているなんて事はないですよね？ 
>>>> 
>>>> 携帯とはいえURLの確認方法はあるので、セキュリティ的に問題です。
>>>> IDと紐付けした別のものを表示させた方がよいと思います。
>>>>
>>>> 自分で以前作った時には、IDとsaltを加えてmd5したものをキーとして保存し、それを元に認証させていました。
>>>> また、そのキーをずっと使われるのもまずいため、どこかでexpireさせることも考えた方が良いと思います。
> _______________________________________________
> PHP-users mailing list  PHP-users ＠ php.gr.jp
> http://ml.php.gr.jp/mailman/listinfo/php-users
> PHP初心者のためのページ - 質問する前にはこちらをお読みください
> http://oldwww.php.gr.jp/php/novice.php3
>