質問編集履歴
1
セッション変数の中身を暗号化すれば平気なのでしょうか。の一文を文中に付け加えました。
test
CHANGED
File without changes
|
test
CHANGED
@@ -10,11 +10,11 @@
|
|
10
10
|
|
11
11
|
|
12
12
|
|
13
|
-
セッション変数には、ユーザーがログイン時に入力したデータを代入するのが一般的と思っているのですが(そもそもこの認識が誤りなのかもしれませんね・・・)、ログイン時にセットされるセッション変数にユーザーのメールアドレスを代入し、それがセットされているか否かでログインの有効無効を判定するのは、セッション変数の中身が第三者に漏洩される最悪のケースを想定した場合、やはりまずいでしょうか。
|
13
|
+
セッション変数には、ユーザーがログイン時に入力したデータを代入するのが一般的と思っているのですが(そもそもこの認識が誤りなのかもしれませんね・・・)、ログイン時にセットされるセッション変数にユーザーのメールアドレスを代入し、それがセットされているか否かでログインの有効無効を判定するのは、セッション変数の中身が第三者に漏洩される最悪のケースを想定した場合、やはりまずいでしょうか。それとも、セッション変数の中身を暗号化すれば平気なのでしょうか。
|
14
14
|
|
15
15
|
|
16
16
|
|
17
|
-
まずい場合、ログイン時に入力する項目を増やして、そこに個人情報を含まない、例えば「任意のユーザーID」などを入力してもらい、それをログイン判定のためのセッション変数として利用するのが良いのでしょうか。
|
17
|
+
暗号化してもまずい場合、ログイン時に入力する項目を増やして、そこに個人情報を含まない、例えば「任意のユーザーID」などを入力してもらい、それをログイン判定のためのセッション変数として利用するのが良いのでしょうか。
|
18
18
|
|
19
19
|
|
20
20
|
|