セッション変数って漏洩するものなのでしょうか？

PHPでログイン機能をサイトにつけるなら、セッションを使用する方法が割と一般的かと思うのですが、

セッション名を初期値のPHPSESSIDから変更する、session_regenerate_id(true)を使用する、ログインフォーム使用時にトークンを使用する等、挙げたらきりがないほど様々なセキュリティ対策が必要というのは理解したのですが、わからないことがあります。

ログイン時にユーザーが入力するデータが「メールアドレス」と「パスワード」だけのとき、ログイン判定に使用するセッション変数には、何を設定するのが適切なのでしょうか。

セッション変数には、ユーザーがログイン時に入力したデータを代入するのが一般的と思っているのですが（そもそもこの認識が誤りなのかもしれませんね・・・）、ログイン時にセットされるセッション変数にユーザーのメールアドレスを代入し、それがセットされているか否かでログインの有効無効を判定するのは、セッション変数の中身が第三者に漏洩される最悪のケースを想定した場合、やはりまずいでしょうか。それとも、セッション変数の中身を暗号化すれば平気なのでしょうか。

暗号化してもまずい場合、ログイン時に入力する項目を増やして、そこに個人情報を含まない、例えば「任意のユーザーID」などを入力してもらい、それをログイン判定のためのセッション変数として利用するのが良いのでしょうか。

どなたかお詳しい方がいらっしゃいましたら、どうか宜しくお願い致します。

退会済みユーザー

2018/07/24 15:01

https://ja.wikipedia.org/wiki/セッションハイジャック

行動規範の内容に同意します

回答1件

ベストアンサー

セッション変数には、ユーザーがログイン時に入力したデータを代入するのが一般的と思っているのですが（そもそもこの認識が誤りなのかもしれませんね・・・）、ログイン時にセットされるセッション変数にユーザーのメールアドレスを代入し、それがセットされているか否かでログインの有効無効を判定するのは、セッション変数の中身が第三者に漏洩される最悪のケースを想定した場合、やはりまずいでしょうか。それとも、セッション変数の中身を暗号化すれば平気なのでしょうか。

セッション変数の中身は漏洩しないという想定で構いません。なので、メールアドレスをログインIDとしている場合は、ログインユーザの識別のためにセッション変数にメールアドレスを格納するというのは、ごく一般的な実装だと思います。

ただし、メールアドレスは、ユーザーが変更する場合があるものなので、内部の識別にはメールアドレスではなく内部用のID（一連番号など）を使う場合も多いです。この場合は内部用のIDを保存することになるでしょう。しかし、内部用のIDを保存したからと言って、メールアドレスが漏えいしないというわけではありません。セッション変数が漏えいするような状況ではセッションが乗っ取られているでしょうから、アプリケーションのメールアドレスを表示・変更する機能を使えばメールアドレスは取得できます。

失礼ながら、セキュリティの知識が体系的に整理されておらず、もぐらたたき的にあれこれ目についた対策をとっているように見受けます。中身を理解すれば、何が必要で、何が必要ないかがわかるはずです。たとえば、ログイン時のトークン確認は必須ではありません。
簡単に言えば、以下は真実ではない、ということですね。

挙げたらきりがないほど様々なセキュリティ対策が必要

それでは頑張ってください。

投稿2018/07/24 23:39

ockeghem

総合スコア11701

yayak

2018/07/24 23:49

私には先生がおりません。まず作りたい物があり、それを作るために必要な情報をネットで探し、おっしゃる通りもぐら叩き的な方法になっています。オンラインスクールに登録して勉強したこともあるのですが、しっくりこなくて独学状態になっております。精神的にもとても孤独であり、そんな中、ockeghemさんの回答は、様々な方面で、感謝しかございません。勉強不足を同時に痛感しております。もっと体系的に勉強しようと思います。本当に、本当にありがとうございます。