PEAK XOOPS - 2.0.11.1 JPでオートログインハック(V3) 
2.0.11.1 JPでオートログインハック(V3)
- You cannot open a new topic into this forum
- Guests cannot post into this forum
Previous post
-
Next post
|
Parent
-
Children.1
|
Posted on 2005/8/16 0:18
kihee
Posts: 3
Posts: 3
2.0.11.1 JPにアップグレードしてからオートログインハック(V3)を行いましたが自動ログインが効きません。
「IDとパスワードを記憶」というチェックボックスも表示出来ています
動作の流れの確認なのですが・・・
1.ユーザID・パスワードを入力
2.IDとパスワードを記憶をチェックしてログイン
3.ログアウト
4.再度サイトを表示するとクッキーに記憶されているユーザID・パスワードで自動ログイン
で間違いありませんでしょうか?
4.の所が自動で処理できません。
ブラウザはIE・FFで確認しましたが両方だめです。
よろしくお願いいたします。
「IDとパスワードを記憶」というチェックボックスも表示出来ています
動作の流れの確認なのですが・・・
1.ユーザID・パスワードを入力
2.IDとパスワードを記憶をチェックしてログイン
3.ログアウト
4.再度サイトを表示するとクッキーに記憶されているユーザID・パスワードで自動ログイン
で間違いありませんでしょうか?
4.の所が自動で処理できません。
ブラウザはIE・FFで確認しましたが両方だめです。
よろしくお願いいたします。
Votes:0
Average:0.00
GIJOE
Posts: 4110
Posts: 4110
kiheeさん、こんにちは。
それは、オートログインの意味を誤解してます。
ログアウトしたら、クッキー内のログイン情報も消えます。
それが正常です。
ログアウトしない状態でブラウザを閉じても、翌日、そのサイトにアクセスしたら、ログインしている状態である
これがオートログインです。
それは、オートログインの意味を誤解してます。
ログアウトしたら、クッキー内のログイン情報も消えます。
それが正常です。
ログアウトしない状態でブラウザを閉じても、翌日、そのサイトにアクセスしたら、ログインしている状態である
これがオートログインです。
Votes:0
Average:0.00
kihee
Posts: 3
Posts: 3
Quote:GIJOEさん、レスありがとうございます。
恥を承知でもう1回すいません。
よくログアウトしないでブラウザを閉じてしまう事があります(ハック前)が、そうすると再度アクセスした時前回のセッションが残っていてログインせずに入れませんでしょうか?
とすると、このオートログインハックをする事自体の意味が分かりません。 情けない・・・
お手数ですがよろしくご教授願います
ログアウトしない状態でブラウザを閉じても、翌日、そのサイトにアクセスしたら、ログインしている状態である
これがオートログインです。
恥を承知でもう1回すいません。
よくログアウトしないでブラウザを閉じてしまう事があります(ハック前)が、そうすると再度アクセスした時前回のセッションが残っていてログインせずに入れませんでしょうか?
とすると、このオートログインハックをする事自体の意味が分かりません。 情けない・・・
お手数ですがよろしくご教授願います
Votes:0
Average:0.00
GIJOE
Posts: 4110
Posts: 4110
kiheeさん、こんにちは。
Quote:いえいえ。良い質問だと思いますよ。このあたりをちゃんと理解している人はさほど多くないですから。
私自身、きちんと説明したことがないため、ここで書いてみます。
結論から言うと、前のセッションが残っていることと、オートログインは根本的に違います。
まずセッションIDは、その場限りのクッキーとしてやりとりされます。
通常、ブラウザを完全に閉じれば、そのセッションクッキーは削除されるため、再度アクセスしたらログアウトされています。
ブラウザによっては、セッションクッキーが何らかの条件で残ることがあるため、セッションが継続されることはあります。
ただし、セッションは通常24分で切れます。php.ini でも、XOOPSカスタムセッションでも、それ以上に設定できますが、長すぎるセッション生存時間とすると、セッションハイジャックされやすくなります。
一方、オートログインに必要な情報は、有効期限付で保存されるクッキーとして保存されます。だから、ブラウザを閉じても、その有効期限が切れるまでは、ブラウザに保存されています。(このオートログインでは、初期値を1週間としています)
オートログインでは、そのクッキー値を利用して、新たなセッションに対してログイン処理を行います。だから、セッションとしては別物ですし、最終ログイン日なども更新されます。
ついでに有効期限について説明しておきますが、V3では、その有効期限を暗号化のキーにも利用しているため、有効期限の過ぎたクッキーをマニュアルでセットしても、認証がはねられるようになっています。
以上、まったくの別物であることがご理解いただけましたでしょうか?
Quote:
よくログアウトしないでブラウザを閉じてしまう事があります(ハック前)が、そうすると再度アクセスした時前回のセッションが残っていてログインせずに入れませんでしょうか?
とすると、このオートログインハックをする事自体の意味が分かりません。 情けない・・・
私自身、きちんと説明したことがないため、ここで書いてみます。
結論から言うと、前のセッションが残っていることと、オートログインは根本的に違います。
まずセッションIDは、その場限りのクッキーとしてやりとりされます。
通常、ブラウザを完全に閉じれば、そのセッションクッキーは削除されるため、再度アクセスしたらログアウトされています。
ブラウザによっては、セッションクッキーが何らかの条件で残ることがあるため、セッションが継続されることはあります。
ただし、セッションは通常24分で切れます。php.ini でも、XOOPSカスタムセッションでも、それ以上に設定できますが、長すぎるセッション生存時間とすると、セッションハイジャックされやすくなります。
一方、オートログインに必要な情報は、有効期限付で保存されるクッキーとして保存されます。だから、ブラウザを閉じても、その有効期限が切れるまでは、ブラウザに保存されています。(このオートログインでは、初期値を1週間としています)
オートログインでは、そのクッキー値を利用して、新たなセッションに対してログイン処理を行います。だから、セッションとしては別物ですし、最終ログイン日なども更新されます。
ついでに有効期限について説明しておきますが、V3では、その有効期限を暗号化のキーにも利用しているため、有効期限の過ぎたクッキーをマニュアルでセットしても、認証がはねられるようになっています。
以上、まったくの別物であることがご理解いただけましたでしょうか?
Votes:1
Average:10.00
Previous post
-
Next post
|
Parent
-
No child
|
Posted on 2005/8/16 12:55
kihee
Posts: 3
Posts: 3
GIJOEさん、分かりやすいご説明ありがとうございました。
Quote:が、なるほど!って感じでした
ありがとうございました。
Quote:
最終ログイン日なども更新されます
ありがとうございました。
Votes:0
Average:0.00
Login