Q&A
「推測されにくい値のクッキー」は「他のページ」へのアクセスの際にも送信されている、という状況でしょうか、それとも違う手順を踏んでいますでしょうか。
推測されにくい値のクッキーを設定する、推測されにくいファイル名のページがあるとします。
事前にそのページにアクセスしなければ他のページは一切表示されません。
セキュリティを上げるためか主に管理画面に対して上記の形を取っている大手サービスをいくつか見てきたのですが、実際効果はあるのでしょうか?
効果がある場合、ベーシック認証と比べてどちらが強力でしょうか。
ユーザ認証はないということですか?つまりそのページにアクセスすればidpwなしで管理者しか見れない画面が開けるということでよいですか?
ありがとうございます。
>「推測されにくい値のクッキー」は「他のページ」へのアクセスの際にも送信されている、という状況でしょうか、それとも違う手順を踏んでいますでしょうか。
推測されにくいファイル名のページでのみクッキーを設定します。
他のページではクッキーの存在と値の照合のためデータをやり取りします。
通信はSSLのため暗号化されております。
>ユーザ認証はないということですか?つまりそのページにアクセスすればidpwなしで管理者しか見れない画面が開けるということでよいですか?
【クッキー設置ページにアクセス⇒ID,PWによるログイン】の二重になります。
クッキーが設定されていない場合、ログイン画面も表示されません。
回答2件
0
ベストアンサー
推測されにくい値のクッキーを設定する
これは、session 管理のためによく利用される手法ですね。
「推測されにくいファイル名のページ」とセットである必要は特にありません。
サーバに投げられたクッキーの値と、その他のサーバ上にある情報から、権限を付与してアクセスに対しての制限をかけます。仕組みとしては token を使用した認証が近いです。
推測されにくい値を作ることが比較的難しいので、フレームワークや言語が用意している session 機能を使用するケースが多いです。
ベーシック認証と比べてどちらが強力でしょうか。
微妙な表現となりますが、https を利用した通信で、ブラウザが適切な処理を行うのであれば、個人的にはそれほど違いを感じません。
微妙になるのは、管理しているレイヤーが違うので、本質的にはできることに差異があり、比較の対象として適切では無いためです。
投稿2019/06/19 10:13
退会済みユーザー
総合スコア0
詳細記載いただきありがとうございます。
当方の理解が正しければ、記載の「クッキーを使う形」は、全くの無意味という事では無いという認識でお間違い無いでしょうか?
session 管理のために使用するのであれば、「推測されにくい値のクッキーを設定する 」ことはごく一般的な手法です。
ありがとうございます。
【クッキー設定ページにアクセス⇒ID,PWによるログイン】という手順を取らせる(クッキー無しではログイン画面も含めて表示されない)事でセキュリティを高めるのが目的でした。
上記目的のため、クッキー設定ページも推測されにくいファイル名にとしておりました。
踏み台ページを踏んだユーザにだけ Login ページを表示させる仕様と理解しましたが、あまり一般的な仕様ではないので、セキュアに設計/コーディングできるか微妙な気がします。
ご自身でコーディングされるのではないと思いますが、キチンとセキュリティ要件の整理をし、セキュリティ設計のできる方に相談されたほうが良いと思いますよ。
0
クッキーが重要なのはセッション用のIDを保持するからです
推測されにくい値かどうかはセッションを管理するサーバー側の仕様によります。
ベーシック認証については簡易的なユーザー管理でしかないので
セキュリティについては期待できません、切り分けて考えたほうがよいかもしれません。
投稿2019/06/19 09:07
総合スコア117644
値が推測されにくいサーバー仕様であれば、効果があるという事でしょうか。
ベーシック認証はあまりセキュリティ上の期待はできないのですね。
勉強になりました!ありがとうございます。
あなたの回答
tips
プレビュー
