セッションにするかクッキーにするか (ユーザー情報管理)


ユーザーの情報を持ちまわす際に
セッションにするかクッキーにするか迷っています。
ショッピングサイトです。

(1)どちらの方がいいでしょうか?
 メリットデメリットを教えてください
 ショッピングサイトは普通はクッキーでしょうか?

(2)ヤフーや、大手ショッピングサイトはどうでしょうか?
 また、クッキーがきれる時間はどのくらいでしょうか?

(3)セッション・クッキーを使用する際の有名なセキュリティ対策をおしえてください

回答の条件
  • URL必須
  • 1人2回まで
  • 登録:2007/11/28 21:58:17
  • 終了:2007/12/05 22:00:04

回答(3件)

id:KUROX No.1

KUROX回答回数3542ベストアンサー獲得回数1402007/11/29 02:06:58

ポイント27pt

(1)

セッションが使える言語なら、セッションを使ったほうが良いと思います。

セッション自体も、セッションIDをクッキーに埋め込んで実装されています。

http://chaichan.web.infoseek.co.jp/qa1500/qa1939.htm

クッキーで持つざるを得ない&情報が漏れてはNGなら、

内容は暗号化して持つべきだと思います。

セッションでもったほうが、クッキーで暗号化して持つのと同程度の

セキュリティ強度があると思います。

id:rrr3

ありがとうございます。

PHP5 を使う予定です。

2007/11/29 10:17:30
id:t_shiono No.2

t_shiono回答回数256ベストアンサー獲得回数222007/11/28 23:55:50

ポイント27pt

どのような情報を持ちまわすか分かりませんが、Cookieという選択肢は問題が多々発生すると思います。Cookieはクライアント側に格納し、クライアント側から再度送信されるものなので、いくらでも改ざんが可能です。

セッションの時間に関しては、各ページでどのようなものを入力させるか、何を格納しておくかに依存するかと思います。

入力に10分かかる可能性があるフォームを利用するのに、有効期間が15分やそこらだと、正常利用ですら問題がでるでしょう。

では、長ければよいかというと、長くしすぎるとセッションハイジャックなどに対する耐性が問題となります。

http://www.atmarkit.co.jp/fsecurity/rensai/webhole03/webhole01.h...

折衷案として、ログイン時に有効期限を長く設定したセッション内にユーザIDのみ保持していて、重要な箇所(決済など)の前に再度パスワードを入力してもらうというのもありかもしれませんね。

(Yahooを解析したわけではないですが、オークションでビットの際にはパスワードが聞かれるみたいなイメージです)


システム全体の動きで、何をどの時点で把握していなければならないかというのを明確にし、どの情報は外部に漏れては絶対にいけないかなどを一度検討されてはいかがでしょうか?

完全に漏洩に対して強固なシステムを作るのが理想なのは言うまでもありませんが。


何かの参考になれば。

id:rrr3

ありがとうございます。

勉強になりました。

他の方からのご意見をお待ちしています。

(2)ヤフーや、大手ショッピングサイトはどうでしょうか?

こちらの回答もお待ちしています。

2007/11/29 10:21:09
id:tukihatu No.3

牛乳先生(tukihatu)回答回数180ベストアンサー獲得回数322007/11/29 10:40:33

ポイント26pt

(2)大手ショッピングサイトの大体は、セッションを使っているみたいです。セッションを使う=クッキーもセットで使う、ですね。

とりあえずクッキーだけのショッピングサイトはあまり見かけないし危ないです。

あと、クッキーの保存時間はこちらで指定できます。

何分後、とか何年後、とかセッションが終わるまで、とかいろいろできますよ。

(3)使う言語によって変わってきますが、セッションを盗まれないように工夫するのが重要ですね。

http://www.atmarkit.co.jp/fsecurity/rensai/webhole03/webhole01.h...

他にもセキュリティで対応しといたほうがいいのは、たとえばphpとかだと↓です(重いです

http://www.asahi-net.or.jp/~wv7y-kmr/memo/php_security.html

コメントはまだありません

この質問への反応(ブックマークコメント)

「あの人に答えてほしい」「この質問はあの人が答えられそう」というときに、回答リクエストを送ってみてましょう。

これ以上回答リクエストを送信することはできません。制限について

絞り込み :
はてなココの「ともだち」を表示します。
回答リクエストを送信したユーザーはいません