現状、Webアプリ用のセキュアな認証方式は、ひとつに絞られる。
①フォーム認証
②認証状態はセッションで管理
③セッションIDは有効期限0のセッションCookieに保存する
(有効期限0のCookieは通常ブラウザのメモリにのみ保存される)
④セッションIDは十分な長さをもつ規則性がないランダム文字列を使用する
(セッションIDの推測対策)
⑤セッションIDは有効期限を設定し、有効期限の切れたセッションIDは再生成する
(セッションIDの固定化対策)
⑥ログイン後、ログアウト後には別のセッションIDを生成する
(セッションIDの固定化対策)
⑦ブラウザから初期化されていないセッションIDが送信された場合、新しいセッションIDを生成する
(セッションIDの固定化対策)
⑧エラーが多発するセッションIDからのアクセスは拒否する
(ブルートフォース攻撃対策)
⑨同じユーザが別のセッションIDでアクセス可能な数を制限する(なりすまし対策)
具体的な実装について、要調査。
コメントを残す