安全なログインシステムを作る方法

Question

最近私は自分自身のログインシステムを開発したいと思った。誰かがこれまでにこれをしていたと確信していますが、これはどのように動作するかの概要です。

もちろん、ID、ユーザー名、暗号化された暗号化されたパスワード、電子メールなどのデータを含む「メンバー」テーブルがあります。

第2に、「セッション」と呼ばれる別のデータベースがあり、カスタムセッションハッシュとユーザーのIDが含まれています。

誰かがログインすると、すべてのチェックが終わった後、スクリプトは一意の32文字の長さのハッシュを生成し、それをユーザーのセッション情報に格納します。同じセッションハッシュが、ログインしたユーザのIDとともに「セッション」データベースに挿入されます。

セッションが有効かどうかをチェックすると、このセッションがデータベースに存在するかどうかがチェックされます。そうであれば、ユーザーの最後の操作が15分以上前であったかどうかを確認します。そうである場合、セッションは期限切れになり、データベースから削除され、ユーザーをログアウトします。

このシステムに関するご意見をお聞かせください。どうすれば改善できるのですか？

ありがとうございます！

Answer 1

あなたができることはたくさんありますが、あなたのシステムは大丈夫です。私が提案できる唯一のことは、リモートユーザのIPアドレスをセッションテーブルにも格納することです。これをしないと、あなたのアプリはセッション盗難に脆弱になります。これは、セッションハッシュが常にSSL経由で送信されることを確認した場合には問題にはなりませんが、そうでない場合は、32文字のセッションハッシュを取得して誰かのセッションを盗み出し、

したがって、セッションテーブルで有効なセッションを確認するときに、IPアドレスがまだ一致していることを確認します。唯一の欠点は、有効なユーザーにとっては、セッションの途中でIPアドレスが変更され、何かをしている間にIPアドレスがログアウトすることです。ブロードバンドがますます普及しているため、これは最近の問題ではありません。

Answer 2

私はあなたがSQLデータベースを使用していると仮定しています...

このシステムは、あなたがそのようなユーザ入力をエスケープするなど、すべての基本的なセキュリティチェックをやっているとして、それは限り、[OK]をする必要がありかのように思えます最後に使用されたIPアドレスを保存します。セッションの途中でIPが変更された場合は、疑わしいことが起こっている可能性がありますので、ユーザをログアウトさせるか、再認証を強制してください。

Answer 3

あなたが行うべき最も重要なことの1つは、少なくともログイン時にできるだけ多くSessionIDを変更することです。そして、ハッシュは本当に本当にランダムでなければなりません。

もう1つの保護メカニズムは、パスワードを3回間違って入力すると、たとえば10分間ユーザーをロックすることです。