Unofficial translation: Persistent Login Cookie Best Practice

Date: 2005-10-13 (Thu)

ちょっと考える所があって、調べものをしていて、面白い記事を見つけたのでついでに公開します。Persistent Login Cookie Best Practice 、邦題は『ログイン保持クッキー（Persistent Login Cookie）の上手な使い方』とでもしておきましょうか。原著: Charles Miller, 2004 翻訳: Takashi Mizohata, 2005.

ただ、この方法だと被害は少ないですが、実際に盗まれちゃった時に、盗まれたことがわかるだけ、ま、わかるだけいいのかな…

ログイン保持クッキー（Persistent Login Cookie）の上手な使い方

Persistent login cookie とは、“次回からログインを省略”や“ユーザ情報を記録する”などのチェックを入れてログインした時、あなたのブラウザに保存される Cookie です。申し上げられることは、そういった Cookie は時代遅れで、我々はユーザログインを取り扱うよりよい方法があるにも関わらず、未だに Cookie は使われているし、我々は新しい方法に移行もしていません。

以下の処方は、暗号を使用しませんが、より強力である優良な乱数生成を必要とします。

前提事項

Cookie は脆弱です。よく使われているブラウザの Cookie 盗難に関する脆弱性と、クロスサイトスクリプティング（Cross Site Scripting）攻撃を念頭において、Cookie の取り扱いは安全でないことを理解しなくてはいけません。
Persistent login cookie は、それらが使用されている Web-site で、十分な認証機構となっています。正しい username と password と等価で、ひとつに纏まっています。
ユーザは同じパスワードを各所で使います。したがって、ユーザパスワードが回収できるログイン Cookie は、そうでないものと比べて、悪影響をもたらす可能性が著しくあります。
Persistent login cookie と一定の IP アドレスを関連付けることは、ごく一般的な使用例においても、その Cookie によるログインを妨げるでしょう。
ユーザは、数種類のコンピュータ上で数種類のブラウザを使って、いくつかのPersistent login cookie を保持することを期待しているかもしれません。

Charles の処方

Cookie は、ユーザの username、それに続く区切り記号、さらにある大きな乱数（128 bits もあれば、気の遠くなる程大きく、十分だと思います）の３つで構成されるべきです。サーバ側は、その乱数と username の関連をデータベースに保持し、クッキーの有効性を確認できます。もし cookie が、データベース上で一致する乱数と username を持っていれば、ログインは成功したことにします。

いかなる時にも、username はいくつかのそのような乱数に関連付けられているかもしれません。そして、起こりえないと思われますが、もし２つの username が、１つの同じ乱数に関連付けられていたとしても、あまり問題にはなりません。

Persistent cookie はログインを一回で済ますにはとてもいい方法です。認証が確認されたら、ログインに使用された乱数は、無効化され、新しい Cookie が割り当てられます。標準的な session 管理は、セッションの間ぶん、ログイン情報を保持します。つまり、新しく割り当てられた乱数を含む cookie は、次のセッションまで確認されることはありません（もちろんこの Cookie も次回アクセスのあったときに無効化されます）。

サーバ側は、既に一度でも使われたような乱数を割り当てないよう、意図的に何かをする必要はありません。それが起こるような確率は非常に低いですし、もし起こったとしても、悪用するために（乱数の再利用が起こったことを）知ることはできません。

あるユーザが意図してログアウトした場合、そのユーザの持つ乱数は無効化されるべきでしょう。加えてもしもの時のため、各ユーザのオプションとして、システム側で記録しているそのユーザすべてのログイン（乱数）情報を消去できる機能はあるといいかもしれません。

周期的にデータベースは、ある一定の期間使われていないユーザ情報−乱数の関連を消去したほうがよいでしょう（例えば３ヶ月とか：128 bit の乱数空間におけるキーの衝突というよりも、テーブルサイズの方がずっと大きな問題となりえそうです）。

以下にあげるような機能は、cookie によるログイン保持では絶対に使用できないようにすべきで、必ず正しいパスワードの入力を必要としましょう。

ユーザパスワードの変更

ユーザの email アドレスの変更（特に email によるパスワード復旧機能がある場合）

ユーザの住所、支払い詳細、財務情報にアクセスする場合

購入に関するあらゆる機能

結果

もしログイン cookie が奪われたら、攻撃者はユーザとして web-site の機能を使うことができます。これは cookie が何を含んでいようとも、避けることはできません。しかし、攻撃者は以下のことができません。

ユーザの機密情報にアクセスする
ユーザのお金を使う
ユーザのパスワードを手に入れて他のサイトで使う
ユーザがその人の名に於いて行ったことの通知を受け取るのを横取りする
盗んだログイン情報を他者と共有する

Cookie は本質的に変わり続けるものなので、そのことも攻撃者が cookie を盗んで何か悪いことをする機会を減らしていると言えます。そしてそれはつまり、使い物にならない鍵を手に入れるだけにならないためには、攻撃者が手間をかけねばならないということなのです。

Comment:14

tag heuer grand carrera calibre 36:2011-09-22 (Thu) 22:42: Kirstin - indeed. Although I think it's probably still more respectable than 'magicians'.
air max shoes:2011-09-30 (Fri) 00:26: Hi, friends, sports you like, then to set the professional bar equipment. Really good.
Moncler jackets:2011-09-30 (Fri) 01:53: Hi,my friends,welcome to choose and buy ,it is very great, I like it so much
Moncler jackets:2011-09-30 (Fri) 01:55: Hi,my friends,welcome to choose and buy ,it is very great, I like it so much
cheap watches sale:2011-10-02 (Sun) 01:08: I hope you have a nice day! Very good article, well written and very thought out. I am looking forward to reading more of your posts in the future.
wholesale nfl jerseys:2011-10-07 (Fri) 02:12: Thanks for your sharing! I think you are very reasonable, What people want to see is the thing, some days ago, I have seen an article is about your writing. I think also is very good: is about. I think is also a need to share with everyone. Hope to be helpful to you. zhongchengmaoyi110post
Classic short ugg:2011-10-11 (Tue) 23:09: Thanks for your sharing!
Northface:2011-11-18 (Fri) 03:44: Pack Northface your gears; you are going to travel North Face outlet North Face Canada. Regardless of whether North Face jacket is for mountaineering, North Face jackets North Face jackets light traveling, good North Face Vancouver way trips, commuting, North Face Canada backpacking, skiing or North Face Toronto North Face Toronto for school.
True Religion Outlet:2011-11-21 (Mon) 20:24: Our all products online store have the great reputation for old customers and new customers. We sells the Cheap Air Jordans basketball shoes, Cheap Supra Shoes, Juicy Couture Outlet and True Religion Outlet, they are also Free Shipping and Discount Price. You can pick out the ones you like, as your monthly gift. Air Jordan Shoes are the hottest selling in all basketall shoes field, especially Air Jordan 11 and Jordan 13 Shoes, they are the bestsellers among all. Supra Skytop Shoes can give you the different feeling include new styles. Cheap Juicy Couture and Cheap True Religion can bring you the fashional and mainstream. So, welcome to here and choose the products follow your inclinations. All Jordan Shoes and other products with High Quality, Fast Delivery. Wish you have a good time. You can Contact us:http://www.newretroairjordans.com/
louis vuitton outlet:2011-12-14 (Wed) 01:34: New style louis vuitton outlet are all come with our online store,
100% authentic and 100% Satisfaction 2011 louis vuitton bags are accumulation cheapest price.
High quality guarantee with amazing low price from our louis vuitton outlet store online,
Come and just enjoy shopping here, what you see will the same as what you get,
buy cheap louis vuitton online now!
Hermes birkin replica :2012-01-16 (Mon) 05:00: 1982 the Mille Miglia to antique sports car rally, special car to limit year between 1927 and 1957 the factory sports car, let between game return past, also let a classic reproducibility, the event is well known in the world.
lv wallets:2012-01-16 (Mon) 05:01: Chopin in Mille Miglia series this year launched only watch money more, including many set limit to the memory of the first watch money and only designed for women of the car watch money design. First saw a Chopin's "Mille Miglia GT XL Chrono 2011" set limit to of the table, watch money in the 2010 predecessor as revised, and maintain the delicate dial decorative
chanel bags:2012-01-16 (Mon) 05:02: pattern, classic modelling design. Mille Miglia GT XL Chrono 2011 has 44 mm diameter, and the big table series features a slightly when, let a person see the mark after a deep impression. In addition the function with white comparative color small dial to reading more convenient, the scales grain dial also let people associate with antique car dashboard of decoration. Watch the ring on measuring several instrument (Tachymeter) and strengthen the car when standard
lv bags:2012-01-16 (Mon) 05:02: scale watch speed, red logo and small seconds pointer also echo racing style; In addition, the watch collocation of the 60 s Dunlop car tire rubber strap, grain to provide a comfortable to wear.
Dial three o 'clock position, Guan side and back cover of transparent sapphire crystal is carving on "1000 Migllia" arrow here, and in the back cover and set limit to sign, "highlights its

Trackback:0

TrackBack URL for this entry: http://blogs.grf-design.com/mt/mt-tb.cgi/122
Listed below are links to weblogs that reference: Unofficial translation: Persistent Login Cookie Best Practice from The Croton

Return to Page Top