URLパラメータ改ざんの対策について

以下のように、URLやURLパラメータに、レコードの主キー（今回はID）を含む場合について

https://testsite.com/inputdata/1
https://testsite.com/inputdata?id=1

URLの1を別の数値に変更して、ユーザーが任意のデータにアクセス出来てしまうかと思いますが、
ログインしているユーザーによって、アクセスできるデータの制限を行いたいです。

この場合、どのような対策を行えばよいでしょうか？
URLのIDの数値をハッシュ化して、推測しずらいようにするのが手かと思いますが、偶然当たってしまう場合もありえますよね？

ハッシュ化に加えて、ログインしているユーザーを何らかの形で保存しておいて（セッション変数とかになるのでしょうか…）
サーバー到達時に、ユーザーのチェックも行い、アクセスできるデータの制限を行うべきなのでしょうか？

もし差し支えなければ、こういうケースでは、具体的にどういった対応をされているか、教えていただきたいです。
よろしくおねがいします。

行動規範の内容に同意します

回答3件

ベストアンサー

大前提：サービス側が感知してないURLは全て404などとして処理
次点：「許可」「権限」を明確にしてそれに該当しなければ403などとして処理

URLを難読・複雑化してもあまり意味はありません。

「ユーザーログイン」があるのでしたら、おおよそ間違いなくセッションを利用して画面表示の制御などしているはずなので、「ユーザー自身のアクセス権限」を明確化することです。
何が良くて、何がダメなのかをはっきりさせるわけです。

例えばteratail
ユーザ情報画面はログイン者が自分のページにアクセスすれば編集ボタンが表示されますが、それ以外は参照のみです。
あくまでこれは画面内の要素単位で行われているものを、画面単位（もしくはカテゴリやディレクトリ単位）で行うことになります。
ユーザ情報画面の例で言うと、参照はユーザIDがURLにつきますが、編集はhttps://teratail.com/users/setting/profileと全てのユーザが同じURLで自分の情報のみを編集できます。

投稿2022/02/15 09:39

m.ts10806

総合スコア80850

nakanohitobot

2022/02/15 11:40

ご回答ありがとうございます。なるほど、terarailは良い例ですね。・編集ログインしている当人しか出来てはいけないので、セッションで管理している。だからURLに情報をもたせる必要はなく、/profileで共通しているということですね。これですとURLの改ざんが不可能になりますね。・閲覧誰でもアクセスできていいため、URLに情報をもたせて、users/{id}の形になっているということですね。 URLを改ざんされたとしても、存在するユーザーIDなら問題はないと。試しに、存在しないユーザーIDを入力すると、404になります。これが「サービス側が感知してないURL」とおっしゃる例ですね。これと、ご教授いただいた内容を参考に、私が提示しました例で考えますと、 URLに、アクセス権がないIDが入力された場合、403として処理するのが最適でしょうか。 teratailの/profileのように、IDをもたせないURLにしておきたいところですが、複数のデータにアクセス可能な場合は、どうしても、判別が必要になるので。