Q&A
簡単にサーバーサイドスクリプトにアクセスする手段などあるのでしょうか?
レンタルサーバーにてサイト制作(HTTPS)
PHPにてMYSQLから会員ID,パスワードを比較し
(複数回ログイン失敗時は特定時間ログイン処理出来ないように設定)
COOKIE['session_check']に照合一致の文字列を有効時間指定で書き込み
データが入ってない場合はログインページへ戻るようにしてあります
PHP
1<?php 2 if(!isset($_COOKIE['session_check'])){ 3 header("location:../../",replace); 4 } 5 if($_COOKIE['session_check']!="ログインOK"){ 6 header("location:../../",replace); 7 } 8?> 9
PHPのファイルはブラウザからは見れないのですが
$_COOKIE['session_check']に「ログインOK」と入れればサイト表示が可能とわかります
危険性について何があるのか何かありましたら教えてください
追記(te2ji様指摘から)
※ログインしたことない人が不正にアクセスする手段等おしえてほしいです
PHP:7.1.14
回答2件
0
ベストアンサー
この方法には問題点があります。主な問題点は
- 第三者がアクセスしても誰からCookieが流出したかがわからない
- 強制ログアウトが実装できない
- ユーザを退会させてログインできなくする事ができない
ということです。
一度ログインできたユーザはCookieの内容を知っているので、ログインフォームが使えなくても直接Cookieを設定することでログインできます。
Cookieの情報は誰でも書き換えることができます。(簡単な方法としては、ページで右クリックして、要素の検証をクリック>コンソールで下の文字列を入力して再読み込みするとパスワードなしでログインできます)
javascript
1document.cookie='session_check=ログインOK';
Cookieのようにユーザから送られてくる情報は全て書き換えられるので、信用してはいけません。
PHPでしたらセッションを使ってログイン状態を保存したらいいかと思います。
セッションでも「セッションID」と呼ばれる情報をCookieに保存して、その値でユーザを区別していますが、セッションIDが他の人にバレない限りは安全です。
セッションIDが他の人にバレると、そのセッションIDを自分のブラウザに設定することで、ユーザをなりすますことができますが、それを防ぐためにセッションIDはランダムに生成されている上に長い値になっているので、推測は事実上不可能です。
他の人のセッションIDを当てて なりすましをする攻撃を「セッションハイジャック」と言いますが、使い方を間違えなければ安全なので、心配する必要はありません。
詳しくはQiitaの記事にわかりやすいものがあったので、読んでみるといいと思います。
投稿2018/05/12 23:33
編集2018/05/12 23:42
総合スコア478
0
$_COOKIE['session_check']に「ログインOK」と入れればサイト表示が可能とわかります
これが普通に危険です。
・ログアウトした他人のブラウザからログインできる
・退会後もログインできる
等々
投稿2018/05/12 23:19
編集2018/05/12 23:21
退会済みユーザー
総合スコア0
別にスクリプト読まなくても、一度でもログインした人なら知り得る情報です。
いえログインしたことない人がこれに気づく方法が知りたいです
気がつくかどうかは危険性があるかどうかとあまり関係がないのですけど。。。
なんで、こんな未熟な実装にこだわるんでしょうか?
提示されたスクリプトから判断すると、初心者だと思いますが、ログインシステムの実装は、かなり高度な知識を必要とします。
フレームワークや有名ライブラリを使用することをオススメします。
未熟なのは理解しています
今の所この方法しか知らないので知りたいだけです
> フレームワークや有名ライブラリを使用することをオススメします。
追加です。
https://qiita.com/rana_kualu/items/3ef57485be1103362f56
> 結論
> ソーシャルログインにしとけ。
> どうしても必要ならフレームワーク使え。
よくわからないので
勉強しなおしてみます
解答ありがとうございました
> 未熟なのは理解しています
理解していないと思いますよ。
cookie にログイン状態を保存することの問題点はすでに各所で語られており、すでに捨てられた技術です。
cookie に直接ログイン状態を保存する仕組みは、今後、成熟することはありません。
php には、使用に耐えうる session_id を作り出す関数が用意されているので、そちらの使用を前提に学習してください。
気になった点を、記述しておきます。
・比較には === !== を使用してください。誤動作のもとです。
(今回は問題ないですが、!= を無理に使用する意味もありません)
・パスワードはちゃんとハッシュ化し、ハッシュ値の比較でログイン処理を行っていますか?質問を見ると生パスワードを取り扱っているように見えます。
・ユーザ ID 等を cookie に保存していませんか?ログイン情報と合わせると、他人がログイン可能です。
・XSS 対策をしていないと、cookie を使用したシステムは破綻します。つまり session の利用もできません。XSS 対策が出来ているかまず確認してください。
某所のセキュリティ会社の検査項目に
セッションIDがCOOKIEやURLに付与されてないこと(POSTでおくれ)
とかもあるからなぁ・・・
> セッションIDがCOOKIEやURLに付与されてないこと(POSTでおくれ)
よく分からん。ページ遷移毎に、POST させるってこと?
一般的なフレームワーク全滅な気がしますが。。。
>理解していないと思いますよ。
>cookie にログイン状態を保存することの問題点はすでに各所で語られており、すでに捨てられた技術です。
>cookie に直接ログイン状態を保存する仕組みは、今後、成熟することはありません
なるほど
2011年第7刷「よくわかるPHPの教科書」を参考に
2011年からのをずっと使用していたので知りませんでした
ありがとうございます!
2011年第7刷「よくわかるPHPの教科書」の問題についてはセキュリティ専門家の徳丸先生の投稿を見てみてください。
http://d.hatena.ne.jp/ockeghem/20110823/p1
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2018/05/12 23:43
2018/05/12 23:46
2018/05/12 23:58
2018/05/13 00:02
2018/05/13 00:19