前のトピックを表示 :: 次のトピックを表示 |
著者 |
メッセージ |
池田
登録日: 2003年5月 22日 記事: 408 所在地: 東京
|
件名: ログイン・ログアウト 投稿時間: 2003年5月26日(月) 09:57 |
|
|
dynamis さん、池田です。不眠不休の活動、お疲れさまです。m(_|_)m
表記の件ですが、当方の環境では、自動ログインにチェックを入れても、
ログアウトすると無効になってしまうように思います。
ログインしっぱなしにしていればいいようですが、そういう仕様なのでしょうか?
ログアウトしなくても大丈夫なんですかね?
お暇なときにご検証下さい。 ____________________ Mozilla Japan 翻訳部門 和訳アドバイザー |
|
|
dynamis
登録日: 2003年5月 22日 記事: 442
|
件名: Re: ログイン・ログアウト 投稿時間: 2003年5月27日(火) 05:33 |
|
|
池田 wrote: |
表記の件ですが、当方の環境では、自動ログインにチェックを入れても、
ログアウトすると無効になってしまうように思います。
ログインしっぱなしにしていればいいようですが、そういう仕様なのでしょうか?
ログアウトしなくても大丈夫なんですかね?
|
えーっと、phpBB はユーザ特定のために PHP 言語に備わっているセッション管理機能を利用しています。つまり、ログイン状態というのはサーバにとってはスイッチの切り替えが為されたような状態ではなく、一定期間後に無効化される SID が生成してされている状態です。
SID は一時的なものであり、SID の無効化により自動"ログアウト"されますので、ログインしっぱなしということにはなりません。
因みに、セッション ID が漏れるとパスワードが漏れなくても成り済まされてしまうのですが、一時的なものですからあまり大きな問題にはなりません。特に、ログアウト操作時にはそれまでの SID の破棄が為されているはずです。
# 推測の根拠は、私ならそう実装するというだけ。(^^;
以下、クライアント側に関する問題について書きます。
ログイン後は SID によるユーザ特定が行われますが、ログイン時だけはパスワードによって確認が必要です。この際のパスワード送信を自動化するのが自動ログイン機能であり、自動送信するには当然送信するものを何処かに保存しておかなければなりませんから、クッキーに保存します。
# ブラウザのフォームデータ保存機能を使用していてもサーバはそれと連携することは不可能ですから。
自動ログイン機能の有効無効とは、このパスワード(の暗号化済文字列)のクッキー保存を有効にするかということではないかと。
クッキーに保存されていて大丈夫かということですが、ブラウザの SecurityHole をついたクロスサイトスクリプティングなど受動的攻撃によってクッキーを奪われてしまう可能性ができてしまうので、好ましくありません。この phpBB は銀行などでは決して利用してなならない実装をしているということを意味します。
後で実装を確認しなければと思って書いていたメモも参照して下さい。
http://moz.skillup.jp/jtp/viewtopic.php?p=28#28
この点を懸念して、自動ログイン機能が有効な場合はログアウトによってクッキーデータの破棄をするようになっているものと想像します。
# これまた、私ならそうするというだけの推測。(^^;
念のため一連の作業が終わった後にはログアウト操作をすることによってクッキーの破棄をすれば安全性が高まる。そういうことかと。
若干難しい話ですが、わかりますかね?
いずれにしてもまだ私の推測に過ぎず、実装はおろか動作の確認もしていない状況です。確認して間違っていたら訂正します。[/url] |
|
|
|