バージョン選択

フォーラム

メニュー

オンライン状況

35 人のユーザが現在オンラインです。 (24 人のユーザが フォーラム を参照しています。)
登録ユーザ: 0
ゲスト: 35
もっと...

サイト内検索

機能要望 > フロント機能 > ログインのセキュリティについて

フロント機能

新規スレッドを追加する

スレッド表示 | 新しいものから 前のトピック | 次のトピック | 下へ
投稿者 スレッド
katsujir
投稿日時: 2010/5/17 10:37
対応状況: −−−
新米
登録日: 2010/3/21
居住地:
投稿: 6
ログインのセキュリティについて
皆さんお世話になっております。

トップページにログインIDとパスワードを入力するところがあり、
ここからログインできるようになっておりますが、
formのactionの行き先がhttpsであっても、ログイン情報のページ自体がhttpでは、そのページが改変されていないことを担保できず、
”厳密に言え”ば、セキュリティ的によろしくないのではないかと思うのですが、いかがでしょう。

私はカスタマイズでhttpsのページに遷移させてからIDとパスワードを入力してもらうようにする予定ですが、標準テンプレートはこのようになってないのが好ましいと思います。

以上、カスタマイズ初心者の感想と言うことで。

katsujir

※投稿時「ヘッダーに」となってましたが、間違えました「トップページに」でした。訂正しました。<2010/05/17 10:41>
seasoft
投稿日時: 2010/5/17 10:44
対応状況: −−−
登録日: 2008/6/4
居住地:
投稿: 7332
Re: ログインのセキュリティについて
何を持って担保とするかにもよりますが、送出されるIDとパスワードのデータについて言えば、問題は無いと思います。

ビジュアル面での差異はあるかもしれません。


----------------
Seasoft
こちらでの投稿は、アイディア程度に留めさせていただいております。
個別案件の作業は有償で承っております。お気軽にご相談ください。

katsujir
投稿日時: 2010/5/17 11:33
対応状況: −−−
新米
登録日: 2010/3/21
居住地:
投稿: 6
Re: ログインのセキュリティについて
こういう高木浩光さんのありがたいご忠告が5年ほど前にあったのですが…

http://takagi-hiromitsu.jp/diary/20051130.html

やっぱり、ログインフォームを含むページもSSLで受け取って表示されたページであるべきだと思うのです。
seasoft
投稿日時: 2010/5/17 12:28
対応状況: −−−
登録日: 2008/6/4
居住地:
投稿: 7332
Re: ログインのセキュリティについて
「異常な場合」を考慮してという事でしょうか?

そもそも、改竄を受けていたら、HTTPS で送出したところで、送出先で復号された後に、情報を抜かれちゃうんじゃないかなぁという気もいたします・・・

根本的に解決しようと思ったら、ダイジェスト認証とか、パスワードそのものを送出しないで済まさないといけない気が。それでも、改竄を想定したら、ビジュアル面で利用者を欺くことは容易な気も。

難しい問題ですね。


----------------
Seasoft
こちらでの投稿は、アイディア程度に留めさせていただいております。
個別案件の作業は有償で承っております。お気軽にご相談ください。

スレッド表示 | 新しいものから 前のトピック | 次のトピック | トップ


 



ログイン


ec-cube.co

統計情報

総メンバー数は45,176名です
総投稿数は91,762件です

投稿数ランキング

1
seasoft
7332
2
AMUAMU
2712
3
nanasess
1894
4
468
1746
5
yuh
1584
6
umebius
1296
7
red
1281
8
fukap
907
9
tsuji
837
10
shutta
827
11 ramrun 789
12
tao_s
750
13
h_tanaka
730
14 karin 656
15 sumida 641
16
homan
633
17 DELIGHT 571
18
patapata
502
19
flealog
483
20 tonton 436


ネットショップの壺

EC-CUBEインテグレートパートナー

Copyright© LOCKON CO.,LTD. All Rights Reserved.