前提・実現したいこと
自動ログインを実装しています。
- クッキーに自動ログイン用のデータを保存しました。
- https通信やクッキーの適切なオプションの属性など設定し、通信によって不正取得されない状況と仮定とします。
- しかしPCに物理的に触られて(見られて)しまい、クッキーをコピーされた場合、他人に自動ログインされてしまいます。
自動ログイン用のデータを、暗号化やhash化をしても、直接的に情報を解読しにくいだけで、
「全文をコピペ」
「全文をスマホで写メ」
などして、悪意あるユーザーが別ブラウザーで、全く同じKeyValでクッキーの送信すると自動ログイン出来てしまいます。
実現したい事は、
このような物理でのクッキー盗聴に対して、対策や工夫はあるのでしょうか?
試したこと、及び理想の状態
PHP7.3のセッションIDで、同様にKeyValをコピペして試した場合は、
セッションを使ったログイン(session_start()関数)では、認証は出来ませんでした。
C言語が読めないので、どういった工夫で成りすましを識別しているか不明ですが、理想の挙動は正にコレです。
セッション切された後の、RememberMe(自動ログイン用のクッキー情報)でも、
セッションIDと同様の挙動ができる工夫はあるのでしょうか?
コピペで偽造されたクッキーを識別する方法を知りたいです。
思いついたこと
今のところ思いつくのは、
完璧でないにせよ、自動ログイン用tokenを発行したリクエストのIPを、tokenに混ぜる、、です。
しかし、スマホだとコロコロIPが変わるので
「確実に不正が防げるわけではない&&にも関わらず不便になる」という予想から見送ってます。
お手数おかけしますが、お知恵をお貸し下さい。。
回答1件
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2019/02/15 01:02