_______________________________________________________________
新居雅行/Masayuki Nii <n...@msyk.net> <ms...@mac.com>:iChat Ready
Web Site <http://msyk.net> / INTER-Mediator [for Web App] http://msyk.net/im
Twitter: @msyknii (Japanese), @MasayukiNii (English) / Facebook: Masayuki Nii
ユーザー認証用のテーブルにあるclienthostについてですが、IPアドレスが
変わる環境の場合だと何か影響はないでしょうか。
IPv6のことも考慮すると、IPv6には一時アドレスの仕組みもありますので、
IPアドレス以外を利用するほうがいいように思いました。
--
松尾 篤
http://www.famlog.jp/
いや、思いっきり影響がありますよ。一方、IPアドレスの共有をしていると、やっぱ
り影響が出ますね。IPアドレスにするのはとりあえずの一時しのぎです。何かいいの
がないかと考えているところです。ただ、ユーザ名だけではどうかと思いますし、2
台から同じアカウントで接続したとき、それぞれで認証するのはいいとしても、相手
の認証情報を殺したくはないので、ユーザ名+クライアント識別が欲しいと思ったの
です。
>
> IPv6のことも考慮すると、IPv6には一時アドレスの仕組みもありますので、
> IPアドレス以外を利用するほうがいいように思いました。
デバイスIDでもいいんだけど、なんか使えない方向みたいなので、ちょっと考えあぐ
ねています。
初回に認証が成功したときに、UUIDを発行するとかになるのかな。
なんか、クーポン券のばらまきみたいになってきますね(笑)。
P.S. 3/7はKDDIの都合で部屋が取れず、3/14にリスケしました。
プライバシー上の懸念があるので機種に固有のID等を使うのは避けて、UUIDv4
を発行してクライアントのCookieおよびサーバー上の認証用テーブルに保存と
いう方向でいいと思います。クーポン券であるべきなのかと。
> P.S. 3/7はKDDIの都合で部屋が取れず、3/14にリスケしました。
分かりました。お知らせありがとうございます。
チャレンジとクレデンシャルのセットができあがるので、それを大量に収集したら、
もしかしたら、ハイジャックされるのかもしれませんが、非常に確率が低いですね。
ただ、今まではチャレンジとクレデンシャルが別セッションだったので、正しい組み
合わせを得る事自体のハードルが高かったのですが、セットにすると、それは容易に
できてしまう。
あ!チャレンジのハッシュを戻すという手もあるなぁ。サーバ側ではチャレンジを覚
えているのだから、比較ならそれでOKですね。あ、でも、正しい応答のセットが得ら
れる点では同じか。別にハッシュにしなくてもいいな。
うーん、もう少し悩みます。
Atsushi Matsuo <fam...@gmail.com> さんが、2012/2/16 0:37:50に送られた
---“Re: [IM-ML-J] Re-認証とアクセス権の説明を書きました”によりますと
_______________________________________________________________