Q&A
回答ありがとうございます。
こちら、アクセストークンにつきましては別途調べて実装してみようと思います。
回答者様が複数いましたのでどちらをBAにしようか大変悩みましたので、
一番最初に回答してくださった方にBAいたします。
ありがとうございました。
PHPでのセッション管理について質問です。
会員登録を済ませたユーザーの情報を下記のように仮定した場合
・メールアドレス
・ユーザーID
上記の情報をそれぞれセッションに保存することはセキュアではないでしょうか。
もしそうではない場合、ユーザーIDのみをセッションに保存し、その他の情報が必要な場合は逐一DBに接続して取得して来なくてはならないのでしょうか?
危惧していることはセッションジャックです。
何か良い対策方法がありましたら教えてください。
クレクレ君ですいません。
回答2件
0
セッションハイジャックという観点からは、メールアドレスをセッション変数に格納する方法と、データベースから都度取り出す方法で、漏洩の起きやすさに差はないと考えられます。いずれにせよ、セッションハイジャックによりメールアドレスが漏洩する状況というのは、セッションハイジャックされた状況でメールアドレスが表示され、攻撃者がそれを閲覧することによるものであり、格納場所がデータベースかセッション変数かは影響しないからです。
しかし、上記は別として、メールアドレスはデータベースから都度取り出した方がよいでしょう。その理由は、メールアドレスは変更される可能性があるからです。例えば、二重ログインを許可している場合、片方のセッションでメールアドレスを変更しても、もう一方のセッションではセッション変数は更新されないため、セッション変数に格納したメールアドレスが不整合になる原因になります。
セッションハイジャックによるメールアドレス漏洩を防止する方法としては、メールアドレス等の個人情報の前にパスワードを確認する方法(再認証)があります。ユーザビリティは多少低下しますが、セッションハイジャックされただけでは、メールアドレス等の個人情報は漏洩しなくなります。
投稿2017/07/17 14:05
総合スコア11701
0
ベストアンサー
ユーザー情報を取得する箇所でアクセストークンによる制御を入れるのが最良に近いと思われます。
その手の制御がない場合、どのタイミングで取得したデータかは問わずに表示する画面で取得結果がみれます。
投稿2017/07/17 13:04
総合スコア50
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2017/07/18 07:15