- ベストアンサー
会員エリアのWebアプリケーション脆弱性対策について考える
fifaileの回答
- fifaile
- ベストアンサー率25% (622/2403)
要は管理者権限を奪われたら終わりなわけです。 したがって、会員ページを含め全ての公開リソースについてセキュリティが必要でしょう。 依然どこか省庁のHPが改ざんされるなどの事件がありましたが、 あれなんかは管理ページが公開されていないに関らず事件も起こりましたし。
関連するQ&A
- WEBログインシステムの構築について
タイトルの件で質問させていただきます。 できるだけ堅牢なWEBログインシステムを作成したいのですが、 セキュリティ対策についてお教え願えますでしょうか? ネット各所で調べるとSQLインジェクションやCSRF、XSSなど いろいろ対策が必要なようですが、 大まかな流れとしては SSLでアクセス ↓ ブラウザからID・パスワードを入力 ↓ PHPにてデータベース(MySQL)と照合 ↓ ログイン ↓ ページ遷移はPHPのセッションをsecure属性をつけて行う という感じを想定しています。 ざっくりとしていますが、 この流れでセキュリティはどの程度保たれるものなのでしょうか? 後々はクレジットカード等も扱いたいと思っています。 いわゆるYahooオークションのようなログインシステムの場合 どのような流れになっているのでしょうか? また、ほかにも対策しなければいけない事など 教えていただけると助かります。 非常に抽象的な質問になりましたが よろしくお願いいたします。
- 締切済み
- PHP
- WebサーバとWebアプリケーション。セッションID、ユーザーID、パスワードを管理するのはどっち?
セッションIDを習ったとき、 私の記憶ではセッションIDを管理するのはWebサーバと習いました。 普通、このOKWaveのようにログインを要するようなWebページは ログイン時に渡されたユーザーIDとパスワードを セッションIDに紐付ける形でサーバ側で管理することによって、 このセッションIDを通して、同一ユーザーと見なすということだったと思います。 しかし、ここでひとつ疑問が出ました。 ログイン時に、「自分は誰か、正しいユーザーか」ということを通信先に教えるために ユーザーIDとパスワードを入れますよね? でもここでユーザーIDとパスワードがほしいのはWebサーバではなく、 ユーザー情報を持っているWebアプリケーションではないのか?と考えました。 しかし、私はセッションIDはWebサーバが管理すると習ったように記憶しています。 ということは、 ・セッションIDはWebサーバが管理する ・ユーザーIDとパスワードはWebアプリケーションが管理する ということでいいのでしょうか? つまり、セッションIDとユーザーIDの対応表はWebアプリケーション側で実装し、 クライアントのリクエストから呼び出されるWebアプリケーションのプログラムは 「この呼び出した相手のセッションIDを教えてください」と Webサーバに聞くようなプログラムにしなければならないという認識で合っているのでしょうか? よく分かってないので、聞きたいことが非常に伝わりにくいかと思いますが、 よろしくお願いします。 長い上、お粗末な文章を最後まで読んでいただきありがとうございました
- 締切済み
- ネットワーク
- ログイン時に会員のPCを限定する方法を教えてください
会員制のウェブサイトをXOOPSなどのCMSで構築することを考えています。 会員がサイトにアクセスしてログインする際、会員にIDやパスワードを入力してもらうほかに、会員がサイトにログインできるパソコンを限定したいと思っています。 理由は、誰かがIDとパスワードを他人に教えてしまえば、同一IDで何人もの人がログインできてしまうので、少なくとも同一IDで1台のパソコンのみログインできるようにしたいのです。 私は、ウェブサイトの構築やPHP言語等の初心者ですが、どなたか教えていただけないでしょうか?
- ベストアンサー
- ネットワーク
- smartvision player 脆弱性対策
セキュリティ対策ソフト「kaspersky」で脆弱性スキャンをすると「脆弱性を持つアプリケーションがある」と表示されます。アプリはsmartvision playerです。 smartvision playerのバージョンは1.0.2503.35162です。 使っているpcはLavie L 型名LL750NSG-K 型番PCLL750NSG-Kです。WINDOWS8.1 このPC型番は特にsmartvision playerのバージョンアップの必要性はうたっていません。 どのようにして脆弱性対策したらよいでしょうか? ※OKWaveより補足:「NEC 121ware :ソフトウェア」についての質問です
- 締切済み
- その他(ソフトウェア)
- WEB会員でMyひかりTVにログインする手順は?
ひかりTVのWEB会員IDでMyひかりTVにログインするには何が必要ですか? MyひかりTVにログインしようと会員情報が必要で言われて、でも一体WEB会員ページのどこに情報を書くの?全然わからない。 ※OKWaveより補足:「ひかりTVのサービスやISPぷらら」についての質問です。
- ベストアンサー
- その他(インターネット・Webサービス)
- 会員ログイン認証について
仕事でログインの会員認証を作成する事になり セキュリティの件でよかったらアドバイス下さい。 これまでは趣味でログイン認証を作った事があるんですが その時の手順は初めログインページでIDとパスワードの入力させ、 データベースにアクセスし該当のIDとパスワードがあるか確認、 OKの場合はsessionにIDを記録させ 以後ログイン中か否かの判断はsessionのIDを保持してるかどうかで 判別させてました。 例 if($_SESSION["id"]){ ....ok }else{ ....no } 今回実務でログイン判定を作る事になりこのやり方では セキュリティが大丈夫か心配です。 このやり方ならセキュリティもある程度大丈夫だというやり方を 教えていただけませんか? すいませんがよろしくお願いします。
- ベストアンサー
- PHP
- WEB アプリのログインについて
WEB アプリケーションにログインするのに、メールアドレス、パスワード の入力が必要だとします。 パスワードを間違えた場合、パスワードだけでなく、メールアドレスも空白になるWEBアプリケーションが多いですが、セキュリティ的な理由からでしょうか? 個人的には、再度メールアドレスを入力しなければならず、ユーザビリティが低いと感じます。 ※ 「メールアドレスかパスワードが間違っています。」 と表示し、パスワードだけ、クリアすればよいのではと思います。 詳しい方がいましたら、教えてください。
- 締切済み
- その他(プログラミング・開発)
- FONエリアにログインできません。
softbankでiPhone4Sを利用しています。 以前、ソフトバンクキャリアのEメールアドレスを変更した所、なんらかの設定が変更されてしまったのか、それまで使えていたFONエリアでサービスにログインする事ができなくなってしまいました・・・ 何度か設定のやり直しを行い、プロファイルのインストールというものはできているはずなのですが・・・ エリア内でiPhoneがログインしようとするもログインできず、IDとパスワードの入力を求められます。 原因と考えられる事はどんな事がありますでしょうか?? 知識をお持ちの方、よろしくお願い致します。
- 締切済み
- iPhone・iPad・iOS
- 会員制WEBについて教えてください
Webサーバに会員制ログイン機能を持たせたいと思っています。 ・得意先別にIDを事前に発行します。5件ぐらい。 環境は、REDHAT,Apacheです。 1つのディレクトリに対して.htaccessでBASIC認証はできるのですが、 ログインする度に得意先別のWEBにジャンプをさせる方法はあります でしょうか。 DB、PHPなど利用せず容易な設定で行える方法を探しています。 何かアドバイスがあれば教えてください。
- 締切済み
- その他([技術者向] コンピューター)
- webアプリケーション開発の考え方
卒業課題としてデータベースを利用したwebアプリケーション開発を始めたのですが、考え方というか開発手順がよく分かりません。 IDとパスワードを入力してログインし、従業員一覧から各ページに遷移していくというものです。私はこの一覧の制作を担当していますが、ログイン処理をしてリクエストセッションにデータを保存して…というところまではいいのですがそれ以外に必要な処理が分かりません。 MySQL1.5+eclipse3.1です。 漠然としていますが、ご教授いただけますようお願いします。参考になるサイトでも結構ですのでお願いします。
- ベストアンサー
- Java
お礼
なるほど。 ということは、管理者権限を奪われない前提ならば書いていることは間違っていないということですか。 しかしその前提も、管理者権限を奪われる危険性自体が前提の前に厳然として存在するので、私の書いた前提は崩れてしまう、ということでしょうか。 しかし管理者のログインID、パスワードのような最重要なデータをどうやって盗むんでしょうかね・・・そんなことがどうやってできるのか驚くばかりです。 データセンターで高いセキュリティ対策をしたデータベースサーバであっても入ってこれるということなんでしょうかね・・・・うぅ~む・・・・・
補足
書き忘れていました。 ありがとうございましたm(_ _)m とても参考になっております。