ウェブサイトに「私を記憶する」機能を実装する最良の方法は何ですか? [closed] 質問する

Question

永続ログイン Cookie のベストプラクティスの改善

この戦略は、ここではベストプラクティスとして（2006）またはここで説明されている最新の戦略(2015):

「Remember Me」をチェックしてユーザーがログインに成功すると、標準のセッション管理 Cookie に加えてログイン Cookie が発行されます。
ログインクッキーには、シリーズ識別子とトークンが含まれています。シリーズとトークンは、適切な大きさの空間から抽出された推測不可能な乱数です。両方ともデータベーステーブルに一緒に保存され、トークンはハッシュ化されます(sha256 で問題ありません)。
ログインしていないユーザーがサイトにアクセスし、ログインクッキーを提示すると、シリーズ識別子がデータベースで検索されます。
1. シリーズ識別子が存在し、トークンのハッシュがそのシリーズ識別子のハッシュと一致する場合、ユーザーは認証済みとみなされます。新しいトークンが生成され、トークンの新しいハッシュが古いレコード上に保存され、新しいログイン Cookie がユーザーに発行されます (シリーズ識別子を再利用しても問題ありません)。
2. シリーズは存在するがトークンが一致しない場合は、盗難とみなされます。ユーザーには強い警告が表示され、ユーザーの記憶されたセッションはすべて削除されます。
3. ユーザー名とシリーズが存在しない場合、ログインクッキーは無視されます。

このアプローチは多層防御を実現します。誰かがデータベーステーブルを漏洩したとしても、攻撃者がユーザーになりすますための扉を開くことはありません。

Answer 1

永続ログイン Cookie のベストプラクティスの改善

この戦略は、ここではベストプラクティスとして（2006）またはここで説明されている最新の戦略(2015):

「Remember Me」をチェックしてユーザーがログインに成功すると、標準のセッション管理 Cookie に加えてログイン Cookie が発行されます。
ログインクッキーには、シリーズ識別子とトークンが含まれています。シリーズとトークンは、適切な大きさの空間から抽出された推測不可能な乱数です。両方ともデータベーステーブルに一緒に保存され、トークンはハッシュ化されます(sha256 で問題ありません)。
ログインしていないユーザーがサイトにアクセスし、ログインクッキーを提示すると、シリーズ識別子がデータベースで検索されます。
1. シリーズ識別子が存在し、トークンのハッシュがそのシリーズ識別子のハッシュと一致する場合、ユーザーは認証済みとみなされます。新しいトークンが生成され、トークンの新しいハッシュが古いレコード上に保存され、新しいログイン Cookie がユーザーに発行されます (シリーズ識別子を再利用しても問題ありません)。
2. シリーズは存在するがトークンが一致しない場合は、盗難とみなされます。ユーザーには強い警告が表示され、ユーザーの記憶されたセッションはすべて削除されます。
3. ユーザー名とシリーズが存在しない場合、ログインクッキーは無視されます。

このアプローチは多層防御を実現します。誰かがデータベーステーブルを漏洩したとしても、攻撃者がユーザーになりすますための扉を開くことはありません。

ウェブサイトに「私を記憶する」機能を実装する最良の方法は何ですか? [closed] 質問する

ベストアンサー1

永続ログイン Cookie のベストプラクティスの改善

おすすめ記事

ベストアンサー1

永続ログイン Cookie のベスト プラクティスの改善

おすすめ記事

永続ログイン Cookie のベストプラクティスの改善