PHP セキュリティ
以下のCookieを使ってログインを維持する仕組みはセキュリティの観点から問題ありますでしょうか?
●ログインプロセス
1)ユーザーがIDとパスワードを入力
2)DBを照会し、合っていた場合はハッシュキーを発行。
DB側にそのハッシュキーを維持
3)2)で発行したハッシュキーをユーザーに対してCookieで付与
ログイン完了
●ログイン確認プロセス
1)Cookieに文字列があるか確認
2)文字列がある場合はその文字列をDBから検索
3)文字列がDBに保存されている場合、新しいハッシュキーを発行し、DBとユーザーのCookieを更新。ログインOKと表示。
文字列がDBに保存されていない場合はログインしていないと判断。
この場合、ログイン維持に全てCookieを利用しており、セッションは使っていません。
ユーザーは毎回アクセスする度にCookieで保持しているハッシュキー(Token)が更新され一応これでセキュリティは保持しているつもりです。
大きな欠陥などあれば教えてください。
※ 有料アンケート・ポイント付き質問機能は2023年2月28日に終了しました。
ログインして回答する
みんなの回答
-
pyopyopyo
満足100pt
ログインプロセスの2)で,ハッシュキーはどうやって計算しますか?
ハッシュキーが予測可能だと,それがセキュリティホールになります
いわゆるセッションを自前で実装したように見えますが,なぜPHP標準のセッションを使わないのでしょうか? -
pyopyopyo
TransFreeBSD
tobeoscontinueこの質問へのコメント
質問の情報
- 登録日時
- 2016-07-12 22:57:59
- 終了日時
- 2016-07-19 23:00:03
- 回答条件
- 1人1回まで
この質問のカテゴリ
この質問に含まれるキーワード
人気の質問
-
10年前に購入した3万円のPCが遂に壊れました。 長持ちした方でしょうか? …
coccinellab
2
1
-
今2023年ですがこの今の日本の条件下で少子高齢化を解決するとしたら何か良い案がありますか?政策を実施す…
寺本まこと2
21
-
来年2024年セパのペナントレースの優勝チームと日本一になるチームは今年と同じになると思いますか?…寺本まこと
-
買取アプリ「cashari」についてです cashariでリースバックした商品(ゲーム等)を仮にリース期間中に売る…
匿名質問者111
-
以下のサイトを見ました。 https://karapaia.com/archives/52289253.html です。 それでこれと同じパズルを…匿名質問者2