人力検索はてな
モバイル版を表示しています。PC版はこちら
i-mobile

セッションにするかクッキーにするか (ユーザー情報管理)

ユーザーの情報を持ちまわす際に
セッションにするかクッキーにするか迷っています。
ショッピングサイトです。

(1)どちらの方がいいでしょうか?
メリットデメリットを教えてください
ショッピングサイトは普通はクッキーでしょうか?

(2)ヤフーや、大手ショッピングサイトはどうでしょうか?
また、クッキーがきれる時間はどのくらいでしょうか?

(3)セッション・クッキーを使用する際の有名なセキュリティ対策をおしえてください

●質問者: rrr3
●カテゴリ:インターネット ウェブ制作
✍キーワード:どうでしょう クッキー サイト ショッピング セキュリティ
○ 状態 :終了
└ 回答数 : 3/3件

▽最新の回答へ

1 ● KUROX
●27ポイント

(1)

セッションが使える言語なら、セッションを使ったほうが良いと思います。

セッション自体も、セッションIDをクッキーに埋め込んで実装されています。

http://chaichan.web.infoseek.co.jp/qa1500/qa1939.htm

クッキーで持つざるを得ない&情報が漏れてはNGなら、

内容は暗号化して持つべきだと思います。

セッションでもったほうが、クッキーで暗号化して持つのと同程度の

セキュリティ強度があると思います。

◎質問者からの返答

ありがとうございます。

PHP5 を使う予定です。


2 ● t_shiono
●27ポイント

どのような情報を持ちまわすか分かりませんが、Cookieという選択肢は問題が多々発生すると思います。Cookieはクライアント側に格納し、クライアント側から再度送信されるものなので、いくらでも改ざんが可能です。

セッションの時間に関しては、各ページでどのようなものを入力させるか、何を格納しておくかに依存するかと思います。

入力に10分かかる可能性があるフォームを利用するのに、有効期間が15分やそこらだと、正常利用ですら問題がでるでしょう。

では、長ければよいかというと、長くしすぎるとセッションハイジャックなどに対する耐性が問題となります。

http://www.atmarkit.co.jp/fsecurity/rensai/webhole03/webhole01.h...

折衷案として、ログイン時に有効期限を長く設定したセッション内にユーザIDのみ保持していて、重要な箇所(決済など)の前に再度パスワードを入力してもらうというのもありかもしれませんね。

(Yahooを解析したわけではないですが、オークションでビットの際にはパスワードが聞かれるみたいなイメージです)


システム全体の動きで、何をどの時点で把握していなければならないかというのを明確にし、どの情報は外部に漏れては絶対にいけないかなどを一度検討されてはいかがでしょうか?

完全に漏洩に対して強固なシステムを作るのが理想なのは言うまでもありませんが。


何かの参考になれば。

◎質問者からの返答

ありがとうございます。

勉強になりました。

他の方からのご意見をお待ちしています。

(2)ヤフーや、大手ショッピングサイトはどうでしょうか?

こちらの回答もお待ちしています。


3 ● 牛乳先生(tukihatu)
●26ポイント

(2)大手ショッピングサイトの大体は、セッションを使っているみたいです。セッションを使う=クッキーもセットで使う、ですね。

とりあえずクッキーだけのショッピングサイトはあまり見かけないし危ないです。

あと、クッキーの保存時間はこちらで指定できます。

何分後、とか何年後、とかセッションが終わるまで、とかいろいろできますよ。

(3)使う言語によって変わってきますが、セッションを盗まれないように工夫するのが重要ですね。

http://www.atmarkit.co.jp/fsecurity/rensai/webhole03/webhole01.h...

他にもセキュリティで対応しといたほうがいいのは、たとえばphpとかだと↓です(重いです

http://www.asahi-net.or.jp/~wv7y-kmr/memo/php_security.html

関連質問


●質問をもっと探す●



0.人力検索はてなトップ
8.このページを友達に紹介
9.このページの先頭へ
対応機種一覧
お問い合わせ
ヘルプ/お知らせ
ログイン
無料ユーザー登録
はてなトップ