クッキーへＩＤ・パスワードの保存

どうもこんにちは。
ユーザーにID,パスを公式サイトに入力しＨＰにログインしてもらうシステムを作っています。パスワードを保存にチェックを入れると次回ブラウザ起動時からもID、パスが予め入力された状態になるようにしたいと考えています。
そこでクッキーに保存するわけですが、ヘッター部にID=XXX PASS=XXXのように直接書くとセキュリティが弱いといわれました。
たしかに他のサイトのクッキーヘッター部などを見るとIDやパスが直接かかれていることはありません。
どのように保存しているのでしょうか。
ご助言よろしくお願いいたします。

No.4 回答者： noname#100277 回答日時： 2009/12/07 23:15

会員制にしたり、セキュリティの必要性が本当に在るのかの「根本的な問題」をちゃんと考える事。

コレが不必要と判断したのなら、通常公開。
本当に必要ならCGIでも良いので、ログインさせるプログラムを設置したら良いのでは？
一番簡単なのはBASIC承認でしょう。

No.3 回答者： ORUKA1951 回答日時： 2009/12/07 09:29

＞サイトを頻繁に利用してもらいたく入力の手間を省きたいからです。

　なら、そもそもID,パスワード入力欄を表示しないで直接ログインしてもらえばよいです。https://を使わない限り、フォームに入力した内容は非暗号通信で送るしかないので意味ありません。

＞ヘッター部にID=XXX PASS=XXXのように直接書くと
　なら、heX-Q1ry=wxs9tH&xurLpW=r12w78&qkOlsH=2Rtsiとでもすればよい。
　そうしてあるところが多いはず。
　ただ、パスワードだけはCookieを使わないように・・
　また、有効期間を決めること


　

No.2 回答者： ORUKA1951 回答日時： 2009/12/07 08:14

＞次回ブラウザ起動時に入力欄にパスを表示させるために

よくわからないのですが、IDとパスワードを保存するのは、セキュリティ上問題がある・・ユーザーの背後から見られる・・ので、これらを表示させないためにCookieで保存するのではないか？
　また、フォームへの入力内容はCookieではなく、ブラウザ自身が保存してくれる機能に任せても良いのではないか？め・最近のブラウザはその機能を持っています。たとえばfirefoxでも、新しいサイトで入力すると「このサイトのパスワードを保存しますか？」と聞いてくる。

　それでもセキュリティの問題を無視するのなら、Cookieに(復号可能な)簡単に変換処理した文字列を渡せばよい。もっとセキュリティを無視するならサーバーにメンバー台帳を残せばよい。

　いずれにしても、IDとパスワードをログインフォームに表示したいのは、なぜですか？

この回答への補足

セキュリティを考えるなら暗号化した上でSSL認証にするのがよさそうですね。

> いずれにしても、IDとパスワードをログインフォームに表示したいのは、なぜですか？
サイトを頻繁に利用してもらいたく入力の手間を省きたいからです。

ご指導ありがとうございました。

補足日時：2009/12/07 09:01

No.1 回答者： ORUKA1951 回答日時： 2009/12/07 00:01

https:// で接続させれば問題はないと思いますが・・・

どうしても隠したければ、乱数発生(crypt関数)を使って暗号化すればよい。

Perl CGI Cookie crypt - Google 検索 ( http://www.google.co.jp/search?hl=ja&safe=off&q= … )

この回答への補足

回答ありがとうございます。
https:// で接続の方法は今のところ考えていません。
cryptで暗号化し、クッキーに保存します。
次回ブラウザ起動時に入力欄にパスを表示させるために復元しなければならないのですが、cryptは不可逆で復元できないようなのです。
引き続きご助言よろしくお願いいたします。

補足日時：2009/12/07 01:32