PHP セキュリティ - パスワード スニッフィング

パスワードスニッフィング

攻撃者がユーザーとアプリケーション間のネットワーク通信を盗聴 (監視) することは、特にアクセス制御に使用されるわけではありませんが、データの漏洩、特に認証情報の漏えいに注意することがますます重要になってきています。

SSL を使用すると、HTTP リクエストとレスポンスの公開を効果的に防ぐことができます。 https スキームを使用したリソースへのリクエストは、パスワード スニッフィングから保護されます。最善の方法は、常に SSL を使用して認証情報を送信することです。また、セッション ハイジャックを防ぐために、セッション ID を含むすべてのリクエストを SSL を使用して送信することもできます。

ユーザー検証情報の公開を防ぐには、次のようにフォームの action 属性の URL で https スキームを使用します。

CODE:
 
  <form action="https://example.org/login.php"
method="POST">
  <p>Username: <input type="text"
name="username" /></p>
  <p>Password: <input type="password"
name="password" /></p>
  <p><input type="submit"
/></p>
  </form>

で POST メソッドを使用することを強くお勧めします。 SSL を使用するかどうかに関係なく、GET メソッドよりも公開される認証情報が少なくなります。

これはユーザーの認証情報が漏洩しないようにするためにのみ行われますが、HTML フォームには SSL を使用する必要があります。これは技術的な理由から行われているわけではありませんが、フォームが SSL で保護されていることがわかると、ユーザーは安心して検証情報を入力できます (図 7-1 を参照)。

図 7-1. 現在のリソースが SSL で保護されている場合、ほとんどのブラウザはロック アイコンを表示します

上記は PHP セキュリティ パスワード スニッフィングの内容です。関連コンテンツについては、PHP 中国語 Web サイト (www.php.cn) にご注意ください。