ログイン時のセキュリティレベルについての
情報が見つかりません。
安全性の保証等はどのようになっているのでしょうか。
ログイン時のセキュリティについて (4 件の投稿)
-
tokage
3 years前の投稿 # -
IKEDA Yuriko
3 years前の投稿 #安全性の保証等はどのようになっているのでしょうか。
どれぐらいの安全性が必要なのでしょうか。
ログインに関する仕様は、あまりきっちりドキュメント化されているとは言い難いです。残念ながらソースを読むしかないです。
実は、SSL は使っていないですし、ログイン確認用のクッキーに ID および、パスワードを2回 md5 したものを記録している、という状況で、実のところ「あまりセキュアでない実装」と思います。使い捨てのセッション ID などを保管しているわけではありません。正直なところ、WordPress は全般にセキュリティーに関して意識が低いと感じています。このへんは trac に提案しまくって改善させようとは思っていますが。
-
3 years前の投稿 #やはりそうでしたか。
安全性が必要というよりも、
どのくらいのレベルになっているかの確認をしたかったので
今回は助かりました。他のブログツールはその辺どうなっているかわかりますか。
やはり同じような感じなのでしょうか。 -
3 years前の投稿 #安全性が必要というよりも、
どのくらいのレベルになっているかの確認をしたかったので
今回は助かりました。標準状態ではあまりセキュアではないのですが、ログイン関連の関数は pluggable.php に書かれているため、プラグイン等でオーバーライドすることができます。つまり、より強固な実装に入れ替えることも可能です。
拙作の Ktai Style では、クッキーが使えないドコモ端末に対応するため、ログイン状態の保持を URL にセッション ID を付与するという実装に変更していますが、これは pluggable.php でget_currentuserinfo()などをオーバーライドして実現しています。他のウェブログツールについては、使い勝手について調査したことがありますが、ログイン状態についての実装は調べていません。ほとんどの場合、クッキーを使うか PHP のセッション機能を使っているようです。たいていオープンソースなので、ソースをおっかけてみればいいかと思います。
返信
ログイン しなければ投稿できません。
