【Webアプリケーション】オートログイン機能の実装を考えています。出来るだけセキュリティに配慮した認証方法を知りたいです。

こちらが参考になるかな

一番いいのはSSLですが

はてなの場合、name値にユーザ名、rk値（多分パスワード）を

暗号化してオートログイン機能を実装しているようです。

有効期限は１０年後になってます。

暗号化は昔はDECが主流でしたが、

今はRSAの方が良さそうです。

SSLでsecure属性のcookieを設定すれば良いと思いますが。

URLのところはいろいろ情報がありますが、高木 浩光氏の発表スライドは参考になるかと思います。

Webアプリケーションの検査を仕事としている者です。セッションはWebアプリケーションで必ず必要となるので、色んな意見があると思いますが、私としてはこんな風に考えています。

まず通常のログイン。一般にはIDとパスワードで認証がOKになるとセッションIDが発行され、それがその後のアクセスではCookieで受け渡しされます。それに対しオートログインは、そもそもセッションIDがCookieに含まれているだけのこと。本質的には違いはありません。

しかし問題となるのが、セッションIDの有効期限。通常の認証では認証ごとにIDが変わりますので、オートログインでもアクセスのたびにセッションIDを変化させれば、セッションハイジャックに対しては通常のログインと同じレベルの対策になるでしょう。

となると残る問題は、IDとパスワードを知らなくてもログインできてしまう人がいるかもしれない、ということです。ここは、まず危険性を利用者に説明し、オートログインを使用するかしないか選択させることも必要でしょうが、システム側としては別な情報と組み合わせることで、本人を認識するとよいかと思います。別な情報とは、もう一つCookieを発行するもよし、HTTPの環境変数からUser-Agentを取得するもよし。

だけど、それでもある人のブラウザを別な人が使ってしまうと、どうしようもありません。よってオートログインを使う場合は、アクセス範囲を限定するのも一つの手かと思います。オートログインの場合は、ユーザ別にカスタマイズされた画面やお知らせなど当たり障りのない内容を表示させ、登録内容の変更やパスワードの変更においては再度パスワードを入力させる。たとえば銀行系はそうですよね、取引の最後に暗証番号を入力させたり。ここまでしておけば、十分な対処になるかと思います。

というのは駄目?シングルサインオン実装のひとつですが。セキュリティはばっちし。かも。