- ベストアンサー
※ ChatGPTを利用し、要約された質問です(原文:セッション変数にパスワードを保持しても良い?)
セッション変数にパスワードを保持しても良い?
このQ&Aのポイント
- セッション変数にパスワードを保持することは安全ではないです。
- 生成した予測不能な文字列を破った場合、セッション変数に保存されたパスワードが漏洩します。
- セッション変数には最低限の情報のみ保持し、重要な情報は別の安全な方法で保管するべきです。
- みんなの回答 (2)
- 専門家の回答
質問者が選んだベストアンサー
- ベストアンサー
noname#177743
回答No.1
あまりよいやり方とは思えません。 >生成した予測不能な文字列(セッションキー?)が破られたらどうしようもないので、そういう意味ではセッション変数には何を保存しても良いのでしょうか? 単に保存先が、セッション変数かDBかの違いでしかない? いいえ。PHPを利用するサーバーでは、セッション変数を外部から操作しようとする変数汚染攻撃と呼ばれるものが存在します。コーディングに注意していないと、この種の攻撃によりセッション変数へのアクセスを許す危険があります。ですから、 >あるいは、セッション変数には必要最低限なもの、もしくはセキュテリティに関係ないもの、のみ保存して、その都度DBに問い合わせた方が良いのでしょうか? ↑ これが正しい考え方だと思います。
その他の回答 (1)
- corokorocoro
- ベストアンサー率29% (63/211)
回答No.2
>セッション変数にパスワードを保持しても良いのでしょうか?あのーーーーーー。もしかしてDBの方にもパスワードそのまま保存しているのか? それセキュリティーを考えるなら絶対にやっちゃ駄目な手法だぞ。 DBの方にはパスワード文字列から生成したハッシュを保存するんだよ。 でもちろんセッション側もパスワードのまま保持なんてしない。ハッシュを保持する。 >生成した予測不能な文字列(セッションキー?)が破られたらどうしようもないので それの心配するならワンタイムセッションくらい使えよ。 >あるいは、セッション変数には必要最低限なもの、もしくはセキュテリティに関係ないもの じゃあパスワードのハッシュも一応セキュリティーに関係するけどそうすると今度は ログインユーザに対してどうやって確認処理をする?
質問者
お礼
回答ありがとうございましたー
お礼
回答ありがとうございましたー