【スクリプトインジェクション対策08】自動ログインを実装しない。実装する場合は正しく実装する | gihyo.jpなぜPHPアプリにセキュリティホールが多いのか? 【スクリプトインジェクション対策08】自動ログインを実装しない。実装する場合は正しく実装する 自動ログイン機能は便利ですが、セキュリティ上のリスクを確実に増加させます。安全性が重要なサイトでは自動ログイン機能は実装すべきではありません。 自動ログイン機能を実装する場合、正しく実装しなければなりません。 間違った自動ログインの実装方法 セッションIDクッキーの有効期限を長くする 固定の自動ログイン鍵をクッキーに保存する 自動ログイン鍵をすべてのページで送信する 自動ログインの実装にはセッションID以外の予測不可能なランダム文字列を利用します。複数のWebブラウザから自動ログインできるようしたい場合、ユーザIDと自動ログイン鍵、その鍵の有効期限を保存したテーブルを作成して鍵を管理します。 正しい自動ログインの疑似コードは次のようになります。 /
Engadget | Technology News & Reviews
