ログインクッキーの安全性

ログイン機能のあるWEBサイトを考えています。

一度ログインをすれば、次の日にアクセスをしてもログインを保つサイトや、ID/パスワードを保存する機能があるサイトなどがあるようですが、

これらの機能を実装する場合、特にクッキーについて、どういう風にすれば安全にできますでしょうか？ぜひアドバイスお願いします。

No.4 ベストアンサー 回答者： ORmituhide 回答日時： 2007/01/25 17:55

そういうサイトも見かけますね。

会社でやってるとこもちらほら。
IDとパスワードをmd5とかで暗号化したものをクッキーに保存しておくと思いますが、ほかにも何か必要かもしれません。
どうすれば安全にできるかっていうのはちょっと難しいのではないでしょうか。
重要な情報を扱わないのなら被害は少なくて済むかもしれませんが、利便性を取るか安全性を取るか……悩むべくもありませんが。
でも安全なら使ってみたいですね。

この回答へのお礼

ありがとうございます。
ハッシュしたものをクッキーに入れるだけかも知れませんね。必ず、ログインを保つ、もしくはクッキーに保存をするという承諾を得るようになっていれば、ひとまずはOKですし。

お礼日時：2007/01/26 12:10

No.3 回答者： pgBeginImo 回答日時： 2007/01/25 02:18

一度ログインをすれば、次の日にアクセスをしてもログインを保つサイト＞相当セキュリティがずぼらなサイトではないでしょうか…

特にクッキーについて、どういう風にすれば安全にできますでしょうか？＞
クッキーを使用したいのであれば暗号化等を（これだけでは不十分だと思いますが）してセキュリティ面を強化すべきだと思います。暗号化、復号化について説明しているサイトを参考にしてみては？？
基本的に大事な情報をクッキーに保持するのはオススメできません

この回答への補足

ありがとうございます。
ヤフー、アマゾンもそういうようになっています。

アマゾンなんかは、一度ログインしておけば、クリック1回か2回くらいで商品購入手続きがほとんど終わってしまう位です。

ですので、確実な方法があると思っています。

補足日時：2007/01/26 12:05

No.2 回答者： taketan_mydns_jp 回答日時： 2007/01/23 18:54

ログイン機能を実装する場合はPHPのセッション機能を使うのが比較的安全かつ楽です。

CookieでのID、パスワードはあまりお勧め出来ません。

参考
http://www.scollabo.com/banban/php/php_14.html

この回答へのお礼

ありがとうございます。
ログイン後はセッション変数を使う予定ですが、（セッション変数もセキュリティ上安全ではないと聞いたことがありますが）ログアウト後、パスワードを記憶するため、もしくは、次のアクセス時にオートログインさせるため、クッキーを使用しようと思っています。

そこで、より安全な方法を確かめたいと思っていました。何かしらの方法で、ID、パスワードを導くクッキーに入れるはずなのですが、何をDBにいれ、何をクッキーに入れるなどを忘れてしまいました。

お礼日時：2007/01/24 18:33

No.1 回答者： badmiddle 回答日時： 2007/01/23 12:30

クッキー等はＰＣ使用終了時に削除する方が安全ですよ。

ID/パスワードの保存等ならIDメモリーなど便利です

参考URL：http://idmemory.goo.ne.jp/

この回答へのお礼

ありがとうございます。
サイトを使用するのではなく、構築しようとしています。ですが、IDメモリは面白そうですね。

お礼日時：2007/01/23 14:02