永続的なログインとは、ブラウザ セッション間で継続的に認証を行うメカニズムを指します。つまり、訪問の間にユーザー セッションが期限切れになったとしても、今日ログインしているユーザーは明日も引き続きログインします。
永続的なログインが存在すると、認証メカニズムのセキュリティは低下しますが、使いやすさは向上します。ユーザーがアクセスするたびに認証を行うのが面倒な代わりに、ログインを記憶するオプションを提供します。
図 7-2. 攻撃者はユーザーの Cookie を再生することで不正アクセスを取得します
私が観察したところによると、最も一般的な欠陥のある永続ログイン スキームは、ユーザー名とパスワードを Cookie に保存するものです。これを実行したくなるのは当然です。ユーザーにユーザー名とパスワードの入力を求める代わりに、Cookie からそれらを読み取るだけで済みます。残りの検証プロセスは通常のログインとまったく同じであるため、このシナリオは単純です。
ただし、ユーザー名とパスワードを Cookie に保存する場合は、この機能をすぐにオフにして、このセクションの残りの部分を読んで、より安全なソリューションを実装するためのアイデアを見つけてください。また、認証情報が漏洩したため、今後この Cookie を使用するすべてのユーザーにパスワードの変更を要求する必要があります。
永続的なログインには、認証 Cookie と呼ばれる永続的なログイン Cookie が必要です。これは、Cookie が複数のセッションにわたって安定したデータを提供するために使用される唯一の標準メカニズムであるためです。 Cookie が永続的なアクセスを提供する場合、アプリケーションのセキュリティに重大なリスクが生じるため、Cookie に保存したデータが限られた期間のみ認証に使用できるようにする必要があります。
最初のステップは、キャプチャされた永続的なログイン Cookie によってもたらされるリスクを軽減する方法を考案することです。 Cookie のキャプチャは避けたいものですが、特にこのメカニズムにより、すべてが正常に動作している場合でも検証フォームの安全性が低下する可能性があるため、多層防御プロセスを使用することが最善です。この方法では、ユーザーのパスワードなど、永続的なログインを提供する情報に基づいて Cookie を生成することはできません。
ユーザーのパスワードの使用を避けるために、1 回限りの検証にのみ有効な ID を作成できます:
CODE: <?php $token = md5(uniqid(rand(), TRUE)); ?>
それをユーザーのセッションに保存して、特定のパスワードに関連付けることができます。ただし、これは大前提である複数のセッションにわたってログイン状態を維持するのには役立ちません。したがって、この ID を特定のユーザーに関連付けるには、別の方法を使用する必要があります。
ユーザー名はパスワードよりも機密性が低いため、Cookie に保存すると、認証システムがどのユーザー ID が提供されたかを判断するのに役立ちます。ただし、より良いアプローチは、推測や発見が難しい 2 番目の ID を使用することです。ユーザー名とパスワードを保存するデータ テーブルに、2 番目の ID (識別子)、永続的なログイン ID (トークン)、および永続的なログイン タイムアウト (タイムアウト) の 3 つのフィールドを追加することを検討してください。
りー
セカンダリ ID と永続的なログイン ID を生成して保存すると、ユーザー認証情報を含まない Cookie を作成できます。
mysql> DESCRIBE users; +------------+------------------+------+-----+---------+-------+ | Field | Type | Null | Key | Default | Extra | +------------+------------------+------+-----+---------+-------+ | username | varchar(25) | | PRI | | | | password | varchar(32) | YES | | NULL | | | identifier | varchar(32) | YES | MUL | NULL | | | token | varchar(32) | YES | | NULL | | | timeout | int(10) unsigned | YES | | NULL | | +------------+------------------+------+-----+---------+-------+
ユーザーが永続的なログイン Cookie を使用する場合、それがいくつかの基準を満たしているかどうかでチェックできます。
CODE: <?php $salt = 'SHIFLETT'; $identifier = md5($salt . md5($username . $salt)); $token = md5(uniqid(rand(), TRUE)); $timeout = time() + 60 * 60 * 24 * 7; setcookie('auth', "$identifier:$token", $timeout); ?>
永続的なログイン Cookie。 KL Cookie は 1 週間以内 (またはそれ以内) に期限切れにする必要があります
L Cookie、検証にのみ使用することをお勧めします (検証が成功した後または再生成した後)
l サーバー側で Cookie の有効期限が 1 週間 (またはそれ以下) 以内に制限されます
ユーザーが有効期限よりも頻繁にアプリケーションにアクセスする限り、ユーザーを無期限に記憶しておきたい場合は、検証のたびに識別子を再生成し、新しい Cookie を設定するだけです。
另一个有用的原则是在用户执行敏感操作前需要用户提供密码。你只能让永久登录用户访问你的应用中不是特别敏感的功能。在执行一些敏感操作前让用户手工进行验证是不可替代的步骤。
最后,你需要确认登出系统的用户是确实登出了,这包括删除永久登录cookie:
CODE: <?php setcookie('auth', 'DELETED!', time()); ?>
上例中,cookie被无用的值填充并设为立即过期。这样,即使是由于一个用户的时钟不准而导致cookie保持有效的话,也能保证他有效地退出。
以上就是PHP安全-永久登录的内容,更多相关内容请关注PHP中文网(www.php.cn)!