PHPにて会員専用ページを作りたいと考えているものです。
パスワードは暗号化すれば安全…と思っていました。しかしよく考えると暗号化されたパスワードをハッカーが盗んで自分のPCのCookieに入れたらなりすましが可能ではないのか?ということに気づきました。正規のユーザーもログイン後は暗号化パスワードをサーバーに渡してページごとに認証しているわけですから。
パスワードの暗号化は本当に意味があるのでしょうか?
暗号化されたパスワードは盗まれても問題ないのでしょうか?
お詳しい方、よろしくお願いいたします。
No.2ベストアンサー
- 回答日時:
がると申します。
…とりあえず。
「暗号化されたパスワードをハッカーが盗んで自分のPCのCookieに入れたらなりすましが可能ではないのか?」
無理です。というか「暗号化したパスワードをCookieに入れるような実装」は、その時点でNGです。
多分、そのあたりから調べなおしをされるとよいと思います。
この回答への補足
自分のPCのCookieに入れたら ← そうなんですか。不可能なんですか。安心しました。
「暗号化したパスワードをCookieに入れる」は割と一般的に行われている手法のような気がしていました。
ヤフーあたりも(http://my.yahoo.co.jp/)Cookieに暗号化したユーザー名とパスワードを入れて自動ログインを実現しているように見えますし…
ありがとうございました。
No.3
- 回答日時:
がるです。
確認をしたわけではないのですが。もし
>>
「暗号化したパスワードをCookieに入れる」は割と一般的に行われている手法のような気がしていました。
ヤフーあたりも(http://my.yahoo.co.jp/)Cookieに暗号化したユーザー名とパスワードを入れて自動ログインを実現しているように見えますし…
<<
がtrueだとすると、恐ろしく脆弱性の度合いの高い、危険な設計であるといえます。
通常、こういった「セッションの維持」には、
・セッションIDと呼ばれる、ユーザIDとはまったく無関係な文字列を用意して
・セッションIDを暗号化、適宜入れ替えたりしながら使う
のが通例なので(それでもセッションIDの寿命次第では、セッションハイジャックなどの危険性を孕むので)。
まぁこのあたりは「有名どころがやっているやっていない」ではなくて「理論的にセキュアであるアンセキュアである」で発想されたほうがよいように思われます。
お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!
似たような質問が見つかりました
- その他(コンピューター・テクノロジー) 暗号化されたストレージを復号するにはパスワードがあれば良いので暗号化されたストレージを守ってるのは暗 9 2023/08/16 10:17
- その他(コンピューター・テクノロジー) 下に書いたの条件でgoogleアカウントの復旧方法等を教えてください。 1 2023/02/06 23:32
- その他(コンピューター・テクノロジー) ストレージにパスワードをかけるのとストレージを暗号化するのでは、どっちが良いのでしょうか? パスワー 1 2023/08/14 11:46
- クレジットカード VISAでのネット決済にパスワードが2度も必要? 1 2022/04/04 14:40
- その他(コンピューター・テクノロジー) Windowsのパスワードの入力は回避出来るのでWindowsのパスワードは設定しなくても良いですか 2 2023/08/14 22:34
- バックアップ パソコンHDDごとの暗号化(見られたくないファイルやフォルダ) 1 2022/05/21 22:08
- その他(セキュリティ) au idでログインしたいのですが、「第三者に使われました、新しいパスワードを設定してください」⇒「 1 2022/09/08 19:01
- その他(セキュリティ) IDと暗証番号・パスワードの管理の画期的かつ簡単便利な方法を考案した。他人に検証してもらう方法は? 5 2023/02/08 08:49
- Outlook(アウトルック) Outlookで、パスワード付のメールを送れますか? 2 2022/07/26 11:12
- MySQL 「掲示板のログイン画面」はPHP~MySQLに「データベース認証のシステム」方式です。 1 2022/09/27 05:00
関連するカテゴリからQ&Aを探す
おすすめ情報
デイリーランキングこのカテゴリの人気デイリーQ&Aランキング
-
URLのパラメータをGETのままで...
-
PHPのセッション有効期限について
-
セッション ID とセッション名...
-
二人でWEBアプリを動かしている...
-
複数のサーバで運営する場合の...
-
二重ログイン管理について
-
PHP cookieの値が更新されない...
-
$_SESSIONと、POSTやGETの違い
-
Dosブロンプトでtabを出力したい
-
switch()文で値の大小比較
-
VBA コレクションに2次元配列...
-
wordの差し込み印刷で文字...
-
syntax error, unexpected 'ech...
-
DTOとEntityの差は何ですか。
-
phpでcookieがうまく保存されない
-
excel access連携 このテーブル...
-
ローカルのコンピュータ名を取...
-
【C#】DataGridViewの最大列数...
-
Excel VBA:特定の文字列以降(...
-
「取得先」という表現について
マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング
-
URLのパラメータをGETのままで...
-
ログイン画面をはさんだ後、自...
-
PHPのセッション有効期限について
-
セッションのスコープ(有効範...
-
Sessionの上限について
-
セッション変数にパスワードを...
-
ブラウザを閉じた後もセッショ...
-
ログインしたら他からログイン...
-
別ブラウザ間でセッションの値...
-
Cookieを利用したユーザ管理
-
複数のサーバで運営する場合の...
-
学校の授業で困っていることが...
-
sessionとcookieの設定内容の区別
-
「ログイン機能を持たせる」説...
-
301リダイレクトはセッション引...
-
PHP cookieの値が更新されない...
-
セッション ID とセッション名...
-
sessioncookieをではなくcookie...
-
管理者としてログイン
-
セッションのタイムアウト管理
おすすめ情報