- ベストアンサー
ログインに関するセキュリティ対策方法
- ログイン時にセッションIDとIPアドレスを比較し、同じなら操作を実行、違うなら操作できないようにする。別のブラウザからのログインも制限。
- 同じIPアドレスですでにログイン中の場合、同じPCからは他のアカウントでログインできないようにする。
- ログイン時にセッションIDを作成し、データベースにセッションIDとIPアドレスを記憶することでセキュリティを強化する。
- みんなの回答 (1)
- 専門家の回答
質問者が選んだベストアンサー
- ベストアンサー
何件か参考になるQ&Aがありました。 【Google検索結果】 https://www.google.co.jp/search?q=php+%E5%A4%9A%E9%87%8D%E3%83%AD%E3%82%B0%E3%82%A4%E3%83%B3+%E9%98%B2%E6%AD%A2 「ログアウトせず、ブラウザを閉じたりするとログイン情報がが残り、最終アクセス日時からタイムアウト時間が経過するまでログインできません。」 これは大問題です。基本的に "操作出来ないようにする" という方針はやめたほうがいいです。 そうではなくて、新しくログインしようとしたときに "既存のセッションを終了させる" という方法を採ればすんなり解決できます。実際、私がやっていたネットゲームではこの方法が採られていましたww IPアドレスに関してですが…いわゆるガラケーであれば個体識別番号というものがありましたが、現状ほとんどのデバイスではそういったものは存在せず、ユーザーに特別なソフトウェアをインストールしてもらわない限り、IPアドレスで判別するしかありません。これは妥協すべき点だと思います。 逆に…ガラケーにも対応させるのであれば、IPアドレスだけでのチェックは不十分です。何故ならば、複数のユーザーが同一のプロキシサーバーを経由してインターネットにアクセスするため、ユーザーが違ってもIPアドレスが一致するケースが大いにあるからです。個体識別番号が環境変数に存在しているかどうかを調べ、存在していればそれを使用し、存在しないならばIPアドレスを使用する、といった工夫が必要になります。 今回の件とは直接関係ないですが参考にどうぞ↓ Qiita - PHPでデータベースに接続するときのまとめ http://qiita.com/mpyw/items/b00b72c5c95aac573b71
お礼
ご回答ありがとうございます。 >これは大問題です。基本的に "操作出来ないようにする" という方針はやめたほうがいいです。そうではなくて、新しくログインしようとしたときに "既存のセッションを終了させる" という方法を採ればすんなり解決できます。 たしかにそうですね。既存のセッションを終了させる方向で行きたいと思います。 >IPアドレスで判別するしかありません。これは妥協すべき点だと思います。 はい、IPアドレスも完全ではないですが、妥協するしかなさそうですね。 ガラケーには対応させないです。スマホにも対応予定はなく、基本的にPCでの利用のみを考えています。 あと、リンクありがとうございます。 じっくり読まさせていただきます!