機能要望 > フロント機能 > ログインのセキュリティについて |
フロント機能
スレッド表示 | 新しいものから | 前のトピック | 次のトピック | 下へ |
投稿者 | スレッド |
---|---|
katsujir |
投稿日時: 2010/5/17 10:37
対応状況: −−−
|
新米 登録日: 2010/3/21 居住地: 投稿: 6 |
ログインのセキュリティについて 皆さんお世話になっております。
トップページにログインIDとパスワードを入力するところがあり、 ここからログインできるようになっておりますが、 formのactionの行き先がhttpsであっても、ログイン情報のページ自体がhttpでは、そのページが改変されていないことを担保できず、 ”厳密に言え”ば、セキュリティ的によろしくないのではないかと思うのですが、いかがでしょう。 私はカスタマイズでhttpsのページに遷移させてからIDとパスワードを入力してもらうようにする予定ですが、標準テンプレートはこのようになってないのが好ましいと思います。 以上、カスタマイズ初心者の感想と言うことで。 katsujir ※投稿時「ヘッダーに」となってましたが、間違えました「トップページに」でした。訂正しました。<2010/05/17 10:41> |
seasoft |
投稿日時: 2010/5/17 10:44
対応状況: −−−
|
神 登録日: 2008/6/4 居住地: 投稿: 7367 |
Re: ログインのセキュリティについて 何を持って担保とするかにもよりますが、送出されるIDとパスワードのデータについて言えば、問題は無いと思います。
ビジュアル面での差異はあるかもしれません。
|
katsujir |
投稿日時: 2010/5/17 11:33
対応状況: −−−
|
新米 登録日: 2010/3/21 居住地: 投稿: 6 |
Re: ログインのセキュリティについて こういう高木浩光さんのありがたいご忠告が5年ほど前にあったのですが…
http://takagi-hiromitsu.jp/diary/20051130.html やっぱり、ログインフォームを含むページもSSLで受け取って表示されたページであるべきだと思うのです。 |
seasoft |
投稿日時: 2010/5/17 12:28
対応状況: −−−
|
神 登録日: 2008/6/4 居住地: 投稿: 7367 |
Re: ログインのセキュリティについて 「異常な場合」を考慮してという事でしょうか?
そもそも、改竄を受けていたら、HTTPS で送出したところで、送出先で復号された後に、情報を抜かれちゃうんじゃないかなぁという気もいたします・・・ 根本的に解決しようと思ったら、ダイジェスト認証とか、パスワードそのものを送出しないで済まさないといけない気が。それでも、改竄を想定したら、ビジュアル面で利用者を欺くことは容易な気も。 難しい問題ですね。
|
スレッド表示 | 新しいものから | 前のトピック | 次のトピック | トップ |