Cookieベースのログインシステム

cookie-ipマッチングシステムを使用して、既知のシステム上にあり、そのIPが変更されていない場合、ログインデータを入力することなく自動的にログインすることを検討しています。Cookieベースのログインシステム

このポリシーはまともなものか、大きなセキュリティホールを開いていますか？

2012-04-06 ppp

一部の人々が公共のマシンを使用する限り、潜在的なセキュリティ上の問題になる可能性があります。だからオプションです。また、いくつかのマシンが動的IPアドレッシングを使用していることを考慮する必要があります。この場合、提案された方法はうまくいかないでしょう。

しかし、とりわけDO NOTパスワードをクッキーに保存します。

2012-04-06 08:41:27

いくつかのシナリオでは動作しないメソッドを気にしません。システムの基本的なログインとして。もしそれが失敗した場合、彼らは単にログイン画面に行き、彼らのデータを入力します。私は同じマシンアクセスの他のユーザーにアクセスを与えても構いません。 – ppp

Yahooが（他の中でも）使用している方法を採用しないのはなぜですか？ログインしたままにするためのチェックボックスがあります。ブラウザはログアウトして閉じます。 –

「ログアウト」リンクを作成するだけで、クッキーを削除する直前に、電子メールを選択し、Cookieを再生成するハッシュでリンクをメールします。だから彼らは公共のマシンでログアウトすることができます。

データベースを処理する前にクッキーを消毒する。

2012-04-06 08:30:41

ログアウトボタンはCookieを削除し、データを再入力する必要があります。私はちょうどこれがセキュリティホールかどうか尋ねています。クッキーは改ざんされる可能性があります。誰かがIPを改ざんする可能性がある場合、私のウェブサイトに不正にアクセスする可能性があります。 – ppp

クッキーを削除する前にすべてのデータを保存していない場合。 Cookieをリセットするには、電子メールでリンクを送信します。 IPはクッキーだけで改ざんされる可能性があるので、より良いセキュリティが必要です（電子メールチェックと組み合わせることが可能です）。 –

だこと、もちろん、セキュリティホールは、あなたのウェブサイトへのユーザーのログインとログアウトを忘れた場合以来、（コンピュータで同じアカウントで）このコンピュータを使用して誰もがあなたのウェブサイトにログインすることができます。

この問題はすべてのWebサイトでも発生することに注意してください。通常、セッションの有効期間に限ります。

これはすべてのウェブサイトの仕組みなので、私はこれが本当のセキュリティホールではないと思っていますが、ユーザーがセキュリティについて不注意であることを間違いなく奨励しています。これはチェア/キーボードインターフェイスのセキュリティホールです：P

@Ed Healは、クッキーにパスワードを保存しないで、DBに保存する代わりにランダムなトークンを保存するようにしています。ログインプロセスは、DBに格納されているクッキーがクッキーのクッキーと等しいかどうかを確認する必要があります。

2012-04-06 08:43:19 haltabush

答えて