PHPを使って一人で小さなウェブサービスを作っているのですが、ブラウザを閉じてもログイン状態が継続するようにするためにCookieを使おうと思います。そのとき、Cookieにユーザー名をそのまま保存するのに何かセキュリティ的な問題はあるでしょうか。「ユーザー名＋適当な文字列」を暗号化するというのがよく行われているようですが、それだとデータベースのテーブルを一つ増やさないといけないのでちょっと面倒だと思っています。ちなみにログインにははてな認証APIを使うのでパスワードは自サイトでは一切扱いません。

Question

83

60pt

回答の条件

※ 有料アンケート・ポイント付き質問機能は2023年2月28日に終了しました。

コメントはまだありません

「あの人に答えてほしい」「この質問はあの人が答えられそう」というときに、回答リクエストを送ってみてましょう。

これ以上回答リクエストを送信することはできません。制限について

回答リクエストを送信したユーザーはいません

youas · Accepted Answer · 2008-05-02T14:45:37+09:00

MD5みたいなやつで、ユーザー名＋特定の文字列　で生成したものとユーザーID(あるかどうかわかりませんが)のセットをCookieに入れておいて、

Web側のアプリケーションでもユーザーIDで検索し、　ユーザー名＋特定の文字列　から毎回生成して合致させれば

べつにDBにカラム１つ増やす必要もなくないですか？

※特定の文字列が判別されたらアウトですが。。

　MD5のだけCookieに入れておくと、ログイン時に全ユーザー分検索しなくちゃいけないので

　都合キーとしてユーザーID、認証のパスとしてユーザ名＋特定文字列のMD5　なイメージで。

セキュリティ的な問題に関しては、公共のPCを使用した場合とか、ネットカフェのPCとか。。

いろいろあるかと思います。

オートログインを有効にするのかどうかのチェックボックスとか、

金銭が発生する、個人情報が閲覧できる　等の状況であれば、オートログイン時のみ

再度パスワードを求める　とかやり方は多々あるかと思います。

PS.

セキュリティで気になってしまった時点で、もやもやしてそうなのでそのままDBカラム1個増やしてがりがりコーディングしたほうが早い　きもしなくもない。

ベストアンサー