DBにアカウント情報を保存する
解決済
回答 6
投稿
- 評価
- クリップ 2
- VIEW 1,056
PHPでIMAPサーバからメールを取得しようと思っています。
IMAPサーバに繋ぐときにどうしてもユーザのメールアドレスとパスワードが必要になりますがDBに生で保存しない(opensslで暗号化するなどして)にしても、ソースとDBが流出したらユーザのアカウント情報が解析されてしまいますよね。
この辺りどのようにしたらセキュアに実装できるのでしょうか?
マネーフォワードとかどうやってるんですかね?
-
気になる質問をクリップする
クリップした質問は、後からいつでもマイページで確認できます。
またクリップした質問に回答があった際、通知やメールを受け取ることができます。
クリップを取り消します
-
良い質問の評価を上げる
以下のような質問は評価を上げましょう
- 質問内容が明確
- 自分も答えを知りたい
- 質問者以外のユーザにも役立つ
評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。
質問の評価を上げたことを取り消します
-
評価を下げられる数の上限に達しました
評価を下げることができません
- 1日5回まで評価を下げられます
- 1日に1ユーザに対して2回まで評価を下げられます
質問の評価を下げる
teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。
- プログラミングに関係のない質問
- やってほしいことだけを記載した丸投げの質問
- 問題・課題が含まれていない質問
- 意図的に内容が抹消された質問
- 過去に投稿した質問と同じ内容の質問
- 広告と受け取られるような投稿
評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。
質問の評価を下げたことを取り消します
この機能は開放されていません
評価を下げる条件を満たしてません
質問の評価を下げる機能の利用条件
この機能を利用するためには、以下の事項を行う必要があります。
- 質問回答など一定の行動
-
メールアドレスの認証
メールアドレスの認証
-
質問評価に関するヘルプページの閲覧
質問評価に関するヘルプページの閲覧
+4
ジャストアイディアなんでちゃんとした回答が来たらあっさり取り下げるかもしれませんが
- どうしたって復号可能な形で持たざるを得ません
- そこで、IMAPパスワードをユーザーごとに別々のキーで暗号化します
- そのユーザーごとのキーというのは、ユーザーのログインパスワードに何らかのハッシュ関数をかけたものにします
ユーザー本人にしか生成できないキーになります - ユーザーがログイン成功した際にIMAPパスワード復号用のキーもハッシュ関数により作成して、セッションにだけ保存するという形にします。ソースとDBが漏洩してもIMAPパスワードは復号できません。
- 問題はユーザーがログインパスワードを忘れてパスワード再設定をしたときです。IMAPパスワードは誰にも復号できなくなります。
そのときはそのときで仕方ないんで、IMAPつなぐときにIMAPパスワードを再入力してもらえば良いのではないかなと。
投稿
-
回答の評価を上げる
以下のような回答は評価を上げましょう
- 正しい回答
- わかりやすい回答
- ためになる回答
評価が高い回答ほどページの上位に表示されます。
-
回答の評価を下げる
下記のような回答は推奨されていません。
- 間違っている回答
- 質問の回答になっていない投稿
- スパムや攻撃的な表現を用いた投稿
評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。
+2
ソースとDBが流出したらユーザのアカウント情報が解析されてしまいますよね。
これを前提としたら何やったって無駄なので、「IMAPサーバに繋ぐときにどうしてもユーザのメールアドレスとパスワードが必要になりますがDBに生で保存しない」ここは暗号化しようが平文で保存しようが関係ないことになります。
「ソースとDBが流出し」ないようにアプリケーションを作成することです。
投稿
-
回答の評価を上げる
以下のような回答は評価を上げましょう
- 正しい回答
- わかりやすい回答
- ためになる回答
評価が高い回答ほどページの上位に表示されます。
-
回答の評価を下げる
下記のような回答は推奨されていません。
- 間違っている回答
- 質問の回答になっていない投稿
- スパムや攻撃的な表現を用いた投稿
評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。
+2
過去にした質問が参考になりそうなのでリンクしておきます。
暗号化すべき情報とは?
非常に興味深い回答を頂いています。
投稿
-
回答の評価を上げる
以下のような回答は評価を上げましょう
- 正しい回答
- わかりやすい回答
- ためになる回答
評価が高い回答ほどページの上位に表示されます。
-
回答の評価を下げる
下記のような回答は推奨されていません。
- 間違っている回答
- 質問の回答になっていない投稿
- スパムや攻撃的な表現を用いた投稿
評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。
+1
可逆圧縮、非可逆圧縮をご存知でしょうか?”暗号化”ではなく”圧縮”です。
可逆圧縮の例:zipやlzh←元に戻せる
非可逆圧縮:BMP→png、音などをmp3にしたり。←元に戻せない
似たように可逆暗号化、非可逆暗号化と言うのもあります。
可逆暗号化の場合はkey(アルゴリズム)さえ分かれば復号できますが、非可逆暗号化は暗号化されたワードに対して復号することはできません。
会員登録時に非可逆暗号化アルゴリズムを通したユーザーパスワードをDBに保存しておき、ログイン時に送信されたユーザーパスワードを同一の非可逆暗号化アルゴリズムを行い、DBに保存しておいた非可逆済みパスワードと比較し真偽を確かめる方法もあります。
すべてを非可逆暗号化だと都合が悪いのでメールなどは可逆暗号化(もしくは暗号化しない)、パスワードは非可逆暗号化などをする手法もあります。
投稿
-
回答の評価を上げる
以下のような回答は評価を上げましょう
- 正しい回答
- わかりやすい回答
- ためになる回答
評価が高い回答ほどページの上位に表示されます。
-
回答の評価を下げる
下記のような回答は推奨されていません。
- 間違っている回答
- 質問の回答になっていない投稿
- スパムや攻撃的な表現を用いた投稿
評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。
0
IMAPのどこにRDBが介在するという想定なのかわかりませんが
RDBの情報を元にメールサーバーにアクセスするのが必須であれば
生テキストで保持するしか無いので、DBが流出なんてしたら
すべての情報がだだ漏れですね
そもそもRDBに保持する意味はないので適宜ユーザーが管理すれば
いいだけでは?
投稿
-
回答の評価を上げる
以下のような回答は評価を上げましょう
- 正しい回答
- わかりやすい回答
- ためになる回答
評価が高い回答ほどページの上位に表示されます。
-
回答の評価を下げる
下記のような回答は推奨されていません。
- 間違っている回答
- 質問の回答になっていない投稿
- スパムや攻撃的な表現を用いた投稿
評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。
check解決した方法
-2
何かしらをキーにして暗号化して保存することにします。
投稿
-
回答の評価を上げる
以下のような回答は評価を上げましょう
- 正しい回答
- わかりやすい回答
- ためになる回答
評価が高い回答ほどページの上位に表示されます。
-
回答の評価を下げる
下記のような回答は推奨されていません。
- 間違っている回答
- 質問の回答になっていない投稿
- スパムや攻撃的な表現を用いた投稿
評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。
15分調べてもわからないことは、teratailで質問しよう!
- ただいまの回答率 88.21%
- 質問をまとめることで、思考を整理して素早く解決
- テンプレート機能で、簡単に質問をまとめられる
2018/07/09 21:24
2018/07/10 00:30
session に恒久的に必要な情報を入れるのはだめだと思います。