教えて!gooにおける不適切な投稿への対応について

会員向けページを作る場合に、Cokkieを焼いて、一度ログインすればブラウザを閉じるまではログインしっぱなしという状態にしたいのですが、どのような Cookiie を焼けばよいと思いますか?焼くCookie にはユーザーIDとpassword 以外に何が必要でしょうか?アドバイスお願いします。

gooドクター

A 回答 (5件)

システムの強度と実装の簡単さのバランスを考えると、有効期間の長いCookieとセッションIDを発行して、CookieにはそのセッションIDを書き込んでおくというパターンが多いのではないでしょうか?


サイトアクセス時に、有効なセッションIDがCookieデータとして送られてくればその人として処理します。(サーバー側セッション変数にUIDなどを持たせっぱなしにしておきます。)

懸念事項は、利用者数が多くなるとセッションに関する脆弱性が少し大きくなること(セッションIDの類推によるアクセスを含む)と利用者数が多い場合のサーバー側保持情報の肥大化くらいでしょうか。

強固なセキュリティが必要なシステムではお勧めできませんが・・・
    • good
    • 0
この回答へのお礼

まとめてのお返事になりますが、大変参考になりました!
皆様から頂いた情報を参考に、いろいろと勉強を重ね、会員向けページの作成に取り掛かりたいと思います!

お礼日時:2009/08/09 14:08

私としてはCookieよりもSESSIONで管理する事をおすすめします。


下手にCookieの中に名前やパスワードなどを入れっぱなしにしていると、
想定外のセキュリティホールが出てくる可能性が高くなりますので、
勝手に変更されたら困りそうな情報は入れちゃダメ。

それでもCOOKIEでやるよとしたら、
私の場合はIDとID+PASS+鯖で設定した秘密のPASSあたりを組み合わせたmd5の結果かな。
Cookieにそのままパスワードを入れるのは嫌なので、そういうハッシュ値を保存したいです。
    • good
    • 0

個人的にはクッキーは使うけどセッションを利用しますね。



>Cookie にはユーザーIDとpassword 以外に何が必要でしょうか?
は作っているシステムによるですね。
・アクセス権限
など
    • good
    • 0

必要な情報はその都度引き出したほうが良です。


なので会員テーブルのserialIDと名前、他にセッションIDもいいでしょう。
    • good
    • 0

基本的に、IDとパスワードだけで問題ないと思います。


その他の情報は、必要性を感じれば作成すればいいと思います。
例)
・ログイン時刻
・最終利用日
・累計利用回数

私は、ASP.NETで開発を行ったときは、IDだけをcookieに保持させていました。
重要な画面では、最認証させていました。IDは、わかっているので、パスワードの再入力を求めてます。
    • good
    • 0

お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!

gooドクター

人気Q&Aランキング