(Last Updated On: 2018年8月20日)問題：まちがった自動ログイン処理の解答です。このブログエントリは最近作られたアプリケーションでは「問題」にしたような実装は行われていないはず、と期待していたのですがあっさり期待を破られたのでブログに書きました。このブログの方が詳しく書いていますけが「Webアプリセキュリティ対策入門」にも正しい自動ログイン処理を書いています。 参考：自動ログイン以外に2要素認証も重要です。「今すぐできる、Webサイトへの2要素認証導入」こちらもどうぞ。HMACを利用した安全なAPIキーの送受信も参考にどうぞ。 間違った自動ログイン処理の問題点 まず間違った自動ログイン処理を実装しているコードの基本的な問題点を一つ一つ順番にリストアップします。 クッキーにランダム文字列以外の値を設定している クッキーにユーザ名が保存されている クッキーにパスワードが保

パスワードフィールドに入力された文字列を設定されたパスワードと照合し、一致していたらログイン後画面に飛ばす 簡単なログイン処理のサンプルソースです。 CookieとSession両方晒しておきます。 phpファイルを二つ用意しますが、便宜的に login.php →　ログイン画面 admin.php →　ログイン後画面 としています。 先頭行にパスワードを設定する定数がありますが、 ファイル数の多いスクリプトではconfig.phpなどを作ってincludeすることが多いです。 ログイン処理の流れは大体こんな感じです。 パスワードフィールドに文字列入れて送信 送信された文字列が設定されたパスワードと一致するか確認 一致していたらクッキー、またはセッションに暗号化したパスワードを保存して次のページへ遷移 一致していなかったらエラーメッセージを出す ログアウト処理について追記しました Cook

クッキー（Cookie）とは? 一般的にクッキーといえば、サクサクとおいしい焼き菓子のことですが、インターネットの世界では別のものを指します。それは、Webサイトにアクセスしてきたユーザが使用しているWebブラウザに送信され、保存されるデータのことです。 はじめは「Netscape Navigator」というWebブラウザの独自な機能だったのですが、やがてRFC2965「HTTP State Management Mechanism」などの仕様が定められたことで、インターネット上の標準としての地位を確立し、ほぼすべてのWebブラウザでクッキーをサポートするようになりました。 PHPプログラムでは、Webブラウザとの間でこうしたクッキーのデータをやりとりすることができるようになっています。今回紹介するのは、その方法です。 クッキーの主な用途 クッキーが広く普及した理由は、初回のアクセス時にそ