バージョン選択

フォーラム

メニュー

オンライン状況

76 人のユーザが現在オンラインです。 (64 人のユーザが フォーラム を参照しています。)
登録ユーザ: 1
ゲスト: 75
mimimo もっと...

サイト内検索

機能要望 > フロント機能 > ログインのセキュリティについて

フロント機能

新規スレッドを追加する

スレッド表示 | 新しいものから 前のトピック | 次のトピック | 下へ
投稿者 スレッド
katsujir
投稿日時: 2010/5/17 10:37
対応状況: −−−
新米
登録日: 2010/3/21
居住地:
投稿: 6
ログインのセキュリティについて
皆さんお世話になっております。

トップページにログインIDとパスワードを入力するところがあり、
ここからログインできるようになっておりますが、
formのactionの行き先がhttpsであっても、ログイン情報のページ自体がhttpでは、そのページが改変されていないことを担保できず、
”厳密に言え”ば、セキュリティ的によろしくないのではないかと思うのですが、いかがでしょう。

私はカスタマイズでhttpsのページに遷移させてからIDとパスワードを入力してもらうようにする予定ですが、標準テンプレートはこのようになってないのが好ましいと思います。

以上、カスタマイズ初心者の感想と言うことで。

katsujir

※投稿時「ヘッダーに」となってましたが、間違えました「トップページに」でした。訂正しました。<2010/05/17 10:41>
seasoft
投稿日時: 2010/5/17 10:44
対応状況: −−−
登録日: 2008/6/4
居住地:
投稿: 7365
Re: ログインのセキュリティについて
何を持って担保とするかにもよりますが、送出されるIDとパスワードのデータについて言えば、問題は無いと思います。

ビジュアル面での差異はあるかもしれません。


----------------
Seasoft
こちらでの投稿は、アイディア程度に留めさせていただいております。
個別案件の作業は有償で承っております。お気軽にご相談ください。

katsujir
投稿日時: 2010/5/17 11:33
対応状況: −−−
新米
登録日: 2010/3/21
居住地:
投稿: 6
Re: ログインのセキュリティについて
こういう高木浩光さんのありがたいご忠告が5年ほど前にあったのですが…

http://takagi-hiromitsu.jp/diary/20051130.html

やっぱり、ログインフォームを含むページもSSLで受け取って表示されたページであるべきだと思うのです。
seasoft
投稿日時: 2010/5/17 12:28
対応状況: −−−
登録日: 2008/6/4
居住地:
投稿: 7365
Re: ログインのセキュリティについて
「異常な場合」を考慮してという事でしょうか?

そもそも、改竄を受けていたら、HTTPS で送出したところで、送出先で復号された後に、情報を抜かれちゃうんじゃないかなぁという気もいたします・・・

根本的に解決しようと思ったら、ダイジェスト認証とか、パスワードそのものを送出しないで済まさないといけない気が。それでも、改竄を想定したら、ビジュアル面で利用者を欺くことは容易な気も。

難しい問題ですね。


----------------
Seasoft
こちらでの投稿は、アイディア程度に留めさせていただいております。
個別案件の作業は有償で承っております。お気軽にご相談ください。

スレッド表示 | 新しいものから 前のトピック | 次のトピック | トップ


 



ログイン


EC-CUBE公式 Amazon Payプラグイン

統計情報

総メンバー数は88,292名です
総投稿数は109,691件です

投稿数ランキング

1
seasoft
7365
2
468
3217
3
AMUAMU
2712
4
nanasess
2303
5
umebius
2085
6
yuh
1818
7
h_tanaka
1610
8
red
1568
9
mcontact
1240
10
tsuji
958
11
fukap
907
12
shutta
835
13
tao_s
796
14 ramrun 789
15 karin 689
16 sumida 641
17
homan
633
18 DELIGHT 572
19
patapata
502
20
flealog
485


ネットショップの壺

EC-CUBEインテグレートパートナー

Copyright© EC-CUBE CO.,LTD. All Rights Reserved.