質問編集履歴
1
質問の趣旨の変更
test
CHANGED
@@ -1 +1 @@
|
|
1
|
-
|
1
|
+
セッションクッキーからサーバー側のセッションの値は推測できるのか?
|
test
CHANGED
@@ -2,7 +2,7 @@
|
|
2
2
|
|
3
3
|
|
4
4
|
|
5
|
-
以下
|
5
|
+
以下のようにクライアントにセッションを付与した場合、
|
6
6
|
|
7
7
|
|
8
8
|
|
@@ -34,13 +34,9 @@
|
|
34
34
|
|
35
35
|
app.post('/login' , function(req, res){
|
36
36
|
|
37
|
-
//
|
37
|
+
req.session.userId = 1;// セッションを埋め込み
|
38
38
|
|
39
|
-
// results[0]['userId']はデータベースへの問い合わせの返信
|
40
|
-
|
41
|
-
req.session.userId = results[0]['userId'];// セッションを埋め込み
|
42
|
-
|
43
|
-
console.log(req.session.userId); // 1
|
39
|
+
console.log(req.session.userId); // 1
|
44
40
|
|
45
41
|
});
|
46
42
|
|
@@ -48,19 +44,15 @@
|
|
48
44
|
|
49
45
|
|
50
46
|
|
51
|
-
|
52
|
-
|
53
|
-
- セッションクッキーは"s%3Ah6R5h_7vQIYn4C_LJ5iFWfAZdSAAbl1T.EnszGazCiZgxrDoM89UckKWX1t0M2irxJ6BTIL4ZKGE"などハッシュ?されているのですが、そのもとのresults[0]['userId']などが1,2,3など連番を使用しています。それはセキュリティ上好ましくないでしょうか?それともユーザー固有のランダムなIDなどを作り、そこからセッションクッキーを作るべきなのでしょうか?
|
54
|
-
|
55
|
-
|
56
|
-
|
57
|
-
- 僕の拙い理解では「req.session.userIdの内容はサーバー側に保存してあり、セッションクッキーがなければクライアントは見れない」と思っているのですがそれで合っているでしょうか?
|
47
|
+
このときセッションクッキーは"s%3Ah6R5h_7vQIYn4C_LJ5iFWfAZdSAAbl1T.EnszGazCiZgxrDoM89UckKWX1t0M2irxJ6BTIL4ZKGE"など暗号化されているのですが、もともとは1を代入しただけです。このとき、上記の"s%3Ah6R...IL4ZKGE"からサーバー側の1という単純な値は推測されてしまうでしょうか?もっと複雑な値にするべきでしょうか?(現在の設計ではuserIdはmysqlでauto_incrementした連番となっております。)
|
58
48
|
|
59
49
|
|
60
50
|
|
61
|
-
ま
|
51
|
+
なるべく具体的に書きましたが、つまるところセッションクッキー("s%3Ah6R...IL4ZKGE")からサーバー側のセッションの値(req.session.userId = 1)を推測できてしまうかということです。
|
62
52
|
|
53
|
+
|
54
|
+
|
63
|
-
不足情報があればご教示ください。
|
55
|
+
不足情報があればご教示ください。拙い文章ですが、回答よろしくお願い致します。
|
64
56
|
|
65
57
|
|
66
58
|
|