ログアウト機能の目的と実現方法
このエントリでは、Webアプリケーションにおけるログアウト機能に関連して、その目的と実現方法について説明します。 議論の前提 このエントリでは、認証方式として、いわゆるフォーム認証を前提としています。フォーム認証は俗な言い方かもしれませんが、HTMLフォームでIDとパスワードの入力フォームを作成し、その入力値をアプリケーション側で検証する認証方式のことです。IDとパスワードの入力は最初の1回ですませたいため、通常はCookieを用いて認証状態を保持します。ログアウト機能とは、保持された認証状態を破棄して、認証していない状態に戻すことです。 Cookieを用いた認証状態保持 前述のように、認証状態の保持にはCookieを用いることが一般的ですが、Cookieに auth=1 とか、userid=tokumaru などのように、ログイン状態を「そのまま」Cookieに保持すると脆弱性になります
CookieにログインIDを保存してはいけない
phpproのQ&A掲示板で下記の質問を読みました。 ログインの際に、クッキーにログイン情報を保存し、ログアウトの際には、フォームタグの中でPOSTでログアウトの為の値を飛ばし、値を受け取ったらクッキーの有効期限をマイナスにしてクッキー情報を消すというログアウト処理を作っています。 同一ページでのCookieでのログアウト処理より引用 クッキーにそのままログイン情報を保持するのはよくありませんね。質問を更に読むと、以下のソースがあります。 setcookie("logid",$row["f_customer_logid"],time()+60*60*24); setcookie("point",$row["f_customer_point"],time()+60*60*24);どうも、SQL呼び出しの結果からログインIDを取り出し、それをそのままCookieにセットすることで、ログイン状態
【楽天】行動ターゲティングサービスの説明とその無効化について
楽天株式会社では下記の行動ターゲティングサービス(以下「本サービス」といいます)を行っています。 本サービスは、サイト来訪者の行動履歴情報をもとに来訪者の興味・嗜好にあわせて広告を配信する広告手法です。 本サービスの無効化をご希望される方は、お手数ですが以下の手順に従い無効化してください。 なお、本サービスはクッキーの設定が「オフ」になっているお客様には提供されておりませんのでご注意下さい。 株式会社ドリコムの技術を用いた行動ターゲティングサービスです。 本サービスでは、お客様がご利用になっているブラウザに記録されているファイル情報を自動的に「判別」し、効果的な広告を配信する目的にのみ使用いたします。 判別に用いる当該ファイル情報はお客様個人を特定・識別できるような情報は「一切」含まれておりません。 本サービスの無効化をご希望の場合は下記の「無効にする(オプトアウト)」ボタンをクリック
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
