なぜPHPアプリにセキュリティホールが多いのか?
【スクリプトインジェクション対策18】ログイン処理を正しく実装する
言うまでもなくログイン処理はセキュリティ上最も重要な処理です。しかし,ログイン処理が正しく行われていないサイトも少なくありません。例えば,PayPalのログインページがスクリプトインジェクションに脆弱であったことは有名です。ログインページがスクリプトインジェクションに脆弱であると,簡単にユーザ名とパスワードを盗めてしまいます。PayPalのログインページはHTTPSで保護されていましたが,スクリプトインジェクションに脆弱ではHTTPSは何の役にも立ちません。
ログインページがスクリプトインジェクションに脆弱であるのは論外であるとしても,ログインの実装方法が正しくない場合が少なくありません。ログインに成功した場合,新しいセッションIDを割り当てるべきです。これは,「セッションIDを頻繁に変更する」のエントリでも解説したように,セッションIDの盗聴や固定化などから防御するために行います。
Webサイトによってはログインした後,どこでログオフすればよいのか分かり難いサイトもあります。安全性を重視するならサイトの利用が終わったらすぐにログオフしたほうがよいです。ログインしたままのユーザが多いからといってログオフの機能を実装しなかったり,分かり難い場所にログオフ用のリンク/ボタンを配置するのは好ましくありません。言うまでもなくログオフしたらセッションIDとセッション情報は破棄し,必要であれば新しいセッションIDを割り当てます。
すべてのWebアプリケーションは少なくとも最後に何時のどのIPアドレス(できればDNSを逆引きも行いホスト名も)からログインしたか確認できるようにすべきです。この機能を実装するだけで軽い悪戯目的の成りすましを思いとどまらせることが可能となる確率が高まります。ユーザ自身が不正ログインに気付けば,パスワードの変更やデータ改ざんの確認等,適切な対応を行える確率も高くなります。セキュリティが重要なWebアプリケーションでは過去数回のログイン履歴も参照できるようにするとよりよいでしょう。
自動ログインは正しく実装されていないアプリケーションが非常に多いです。「自動ログインを実装しない。実装する場合は正しく実装する」でも解説したとおり,自動ログインを実装する場合,自動ログイン用の鍵となるクッキーをパス付きで保管すべきです。鍵には必ず十分に長いランダムな文字列(/dev/urandomを利用したSHA1ハッシュなど)を利用し,ログインのたびに新しい鍵を設定します。一度使った鍵は無効となるようにデータベース等から削除します。
決してユーザ名とパスワードをハッシュ化した値などを自動ログイン用の鍵に使用してはなりません。笑いごとのように思われるかも知れませんが,過去にはBASE64でエンコードしたユーザ名とパスワードを自動ログイン用の鍵に設定していたWebアプリケーションもありました。BASE64は可逆変換可能なエンコード方式なので平文と変わりません。
Webサーバが標準でサポートしていることが多いBASIC認証はBASE64でエンコードしたユーザ名とパスワードをリクエストの度に送信しています。このことからも分かるようにBASIC認証は非常に危険な認証方式です。通常は使用してはならない認証方式であることを覚えておいてください。
固定化した自動ログインキーを採用しているシステムは,セッションIDが固定化しているよりも脆弱です。固定や固定に近い自動ログインキーは絶対に使用してはなりません。必ずランダム文字列ソース(/dev/urandom等)からSHA1ハッシュ値等を取得してその値を利用します。
盗聴などによりパスワードが漏洩してしまうと,そのアカウントが長期間不正利用される可能性があります。JavaScriptが有効なクライアントであれば,平文のパスワードを送信するのではなく,平文のパスワードがネットワーク上に流れないチャレンジレスポンス型の認証を行ったほうが安全です。HTTPSプロトコルが利用できる場合はHTTPSプロトコルを利用したほうがより安全であることには言うまでもありません。
チャレンジレスポンス認証のフロー
- サーバ側で毎回ランダムに設定されたチャレンジ文字列(これも通常はランダム文字列のSHA1ハッシュなどを利用する)をクライアントに送信する
- クライアント側でJavaScriptが有効な場合,ユーザが入力したパスワードとチャレンジ文字列のハッシュ値(SHA1など。この値がレスポンスとなる)を計算し,この値をログインフォーム送信時に送信する。このとき,平文のパスワードを送信してしまうと意味がないので平文のパスワードは送信しないようにする
- サーバ側でパスワード値とチャレンジ文字列のハッシュ値を計算し,クライアントから送信されたレスポンスと比較する。一致した場合はユーザが正しいパスワードを入力したことを意味し,異なる場合は間違ったパスワードを入力したことが分かる
この方法はJavaScriptが有効なブラウザでなければ利用できないので,JavaScriptが無効なブラウザでは平文のパスワードが利用できるように作っておくとよりよいでしょう。
多くのWebサーバがサポートしているDIGEST認証もチャレンジレスポンス型の認証方式です。BASIC認証に比べるとかなり安全性は向上していますが,ログオフが正式に規定されていない,ログイン画面を自由に制御できない,クッキーを利用したセッション管理のようにセッションIDの更新ができないなど問題も多いので本格的なWebアプリケーションでは利用されません。
対策のまとめ
- ログインしたら新しいセッションIDを発行する
- ログオフしたらセッションを破棄する
- 前回のログインIPや時間を表示する
- セキュリティを重視するなら自動ログインは実装しない
- ログイン中のセッションの有効期限は短くする
- セッションIDをCSRF対策に利用しない
- セッションIDの管理を正しく行う
- ログインページにはHTTPSプロトコルを利用する
- チャレンジレスポンス型の認証を行う
大垣靖男(おおがきやすお)
University of Denver卒。同校にてコンピュータサイエンスとビジネスを学ぶ。株式会社シーエーシーを経て,エレクトロニック・サービス・イニシアチブ有限会社を設立。
オープンソース製品は比較的古くから利用し,Linuxは0.9xのころから利用している。オープンソースシステム開発への参加はエレクトロニック・サービス・イニシアチブ設立後から。PHPプロジェクトでは,PostgreSQLモジュールのメンテナンスを担当している。
著書
![[改訂版]PHPポケットリファレンス](http://image.gihyo.co.jp/assets/images/cover/2005/thumb/TH40_4774125024.jpg){kind=small}
補講
- 【スクリプトインジェクション対策19】ユーザを教育する
- 【スクリプトインジェクション対策18】ログイン処理を正しく実装する
- 【スクリプトインジェクション対策17】パスワードを正しく管理する
- 【スクリプトインジェクション対策16】関連するサイトが利用しているドメイン名の一覧を提供する
- 【スクリプトインジェクション対策15】JavaScriptが無効なクライアントでも利用可能なサイトにする
- 【スクリプトインジェクション対策14】HTML,CSS,JavaScriptの生成はホワイトリスト方式を利用する
- 【スクリプトインジェクション対策13】不正な文字データを保存できないようにする
- 【スクリプトインジェクション対策12】データベースなど,内部データを信用しない
- 【スクリプトインジェクション対策11】エスケープしてはならないデータ以外はすべてエスケープする
- 【スクリプトインジェクション対策10】すべての入力値を可能な限り厳しい条件で検証する
-
Webアプリセキュリティ対策入門〜あなたのサイトは大丈夫?
本書は,Webサイトのセキュリティ確保のために必要な基礎知識と,安全なコードを書くために必要な基礎知識を解説しています。Webアプリケーションは比較的簡単に作成で...
-
はじめてのPHP言語プログラミング入門
Webアプリケーション構築ツールとしてPHPを取り上げた書籍は数多くありますが,言語の解説・入門書としての書籍はあまりありません。 本書は,プログラミング言語として...
-
ログイン処理:symfonyなどのフレームワークが使えないプロジェクト。さて、セキュアなログイン処理をもう一度学びなおして実装するか ・・・ 【サイト構築】
おぉ・・・街はクリスマス、だ。
あるプロジェクト。
基礎的なデザインが終わって、これから
コーディングに入る。
・symfony や Cak...Tracked : #1 創るmetaboy (2009/12/24, 14:18)
![[改訂第3版] SQLポケットリファレンス](http://image.gihyo.co.jp/assets/images/cover/2009/thumb/TH40_9784774138350.jpg){kind=small}
![[改訂新版]これだけはおさえたい データベース 基礎の基礎](http://image.gihyo.co.jp/assets/images/cover/2009/thumb/TH40_9784774139937.jpg){kind=small}
