人力検索はてな
モバイル版を表示しています。PC版はこちら
i-mobile

ログインしたという状態を再訪問の際にもログインしなくても済むようにクッキーで保存しようかと思っているのですが、クッキーにID、パスワードを保存しておくのは不味いですよね?どのように処理するのがよいのでしょうか?

●質問者: nakeyouguisu
●カテゴリ:ウェブ制作
✍キーワード:クッキー パスワード ログイン
○ 状態 :終了
└ 回答数 : 8/8件

▽最新の回答へ

1 ● maid-in-tea
●10ポイント

IEのツールからインターネットオプションを選択

全般からCookieの設定を自動に。

コンテンツからは、オートコンプリートのフォームのユーザー名とパスワードにチェックを入れればいいでしょう。


次にウイルス対策ソフトなどでPCドライブを全検索し

キーロガーやトロイなどの検索を実施、ファイアーウォールなどの常駐、ウインドウズやウイルス対策ソフトのアップデートは常時自動更新するように設定することで

「個人」(同一人物)が使うブンには問題ないかと思われます。

◎質問者からの返答

ごめんなさい、サービスを提供する側がサイト訪問者のクライアントに保存させるCOOKIEのことです。


2 ● naoe55
●10ポイント

http://www.roboform.com/jp/index.html

ロボフォーム: パスワード管理, フォーム記入, パスワード生成, 自動ログイン

ソフトを使うというのはありでしょうか?

私はロボフォームというフリーソフトを使ってます。

フォームに簡単にIDとパスワード入力できます。

◎質問者からの返答

ごめんなさい。

訪問者としてログインの手段という回答がおおいようなので、再質問します。


3 ● andi
●20ポイント

ログインした際にセションIDを発行しておく。

同時にDBにも有効期限付きでセションIDを保存し、

ユーザの次回ログイン時にDBを検索。

DBのセションIDは定期的に掃除。

◎質問者からの返答

と、思ったら、意図していたような回答がきました。

セッションIDをDBに溜め込むのは結構なトランザクションになりませんか?そんなもんですか?


4 ● andi
●20ポイント

Java ServletであればセションはJavaが自動で管理してくれますね。

使用環境が分かればもう少し詳しく回答できます。


あるいはパスワードを複合化できないように暗号化しておいて、クッキーにはユーザIDとパスワードを保存。

次回アクセス時は、ユーザIDをキーにDBのパスワードを取得して同様の方式で暗号化、クッキーの暗号化パスワードをマッチングする方法もあります。


ただし、セションIDよりはセキュリティ強度が下がると思います。

◎質問者からの返答

サーバー側でセッションIDが切られたとき。

例えば、ブラウザを終了されたときなども、はてななんかはログイン状態を保持していますよね?

これはクッキーかなんかでIDやパスワードを保持していて次回アクセス時に自動ログインをしているかと思うのですが…

複合化されたパスワードなら確かに同様のことができそうです。


5 ● soymilk
●25ポイント

http://e-words.jp/w/MD5.html

MD5とは 【Message Digest 5】 ─ 意味・解説 : IT用語辞典 e-Words

ユーザビリティの観点からすると、クッキーに保存することは仕方ないと思います。要はそれを解析させないようにすればいいのです。

ここにMD5という暗号化方法があります。これは暗号文から原文の復元が不可能な暗号化方法です。この暗号化した文字列をクッキーとして保存しておけば良いでしょう。暗号文から原文(ID、パスワード)はわかりませんから。

照合はサーバで保存されているIDとパスワードから暗号文を生成し、クッキーで送られてきた暗号文と照合すればいいのです。

◎質問者からの返答

なるほど、やはりクライアント側に保存するのは不可逆な暗号化を施すのですね。了解しました。


1-5件表示/8件
4.前の5件|次5件6.
関連質問


●質問をもっと探す●



0.人力検索はてなトップ
8.このページを友達に紹介
9.このページの先頭へ
対応機種一覧
お問い合わせ
ヘルプ/お知らせ
ログイン
無料ユーザー登録
はてなトップ