Auth::setAdvancedSecurity()

Auth::setAdvancedSecurity() – 高度なセキュリティ機能を有効にする。デフォルトでは無効となっている

Synopsis

void Auth::setAdvancedSecurity ( bool $flag = true )

Description

高度なセキュリティ機能を有効にし、中間者攻撃 (man in the middle attack) やセッションハイジャックを困難にします。この関数の機能の中には、 クッキーや Javascript をブラウザ側で有効にする必要があるものもあります。

以下のセキュリティ機能が有効になります。

  • クライアントの IP アドレスや User-Agent ヘッダの変更が検出されると、 ユーザをログアウトさせます。

  • 各クライアントからのリクエストに対して、特別な一意のクッキーをクライアントに送信します。 次回のリクエスト時に、クライアントがそのクッキーを持っている必要があります。 このクッキーは、リクエストのたびに毎回変更されます。 もしクライアントが正しいクッキーを持っていなければ、ログアウトさせます。

  • デフォルトのログイン画面で、チャレンジレスポンス方式を有効にします。 ユーザのパスワードは、Javascript でハッシュしてからサーバに送信されます。 これにより、パスワード盗聴ツールなどでパスワードが盗まれることを防ぎます。 パスワードはランダムなキーを使用してハッシュされるので、md5 ハッシュが ブルートフォース式のクラッキングの被害にあうことはありません。 これは、チャレンジレスポンス方式のパスワード認証をサポートしている ストレージコンテナでのみ使用可能です。現在は DB、MDB および MDB2 コンテナだけが md5 およびクリアテキストのパスワードをサポートしています。

このメソッドは 1.3.0 以降で使用可能です。

Parameter

boolean $flag

高度なセキュリティ機能を有効にしたい場合は TRUE、無効にしたい場合は FALSE を指定します。

Note

This function can not be called statically.

ユーザアカウントを削除する (Previous) ユーザがログイン可能かどうかを制御する。デフォルトではオンになっている (Next)
Last updated: Sat, 20 Dec 2014 — Download Documentation
Do you think that something on this page is wrong? Please file a bug report or add a note.
View this page in:

User Notes:

Note by: user@example.com
Auth::setAdvancedSecurity()

The function should give the user more power about WHAT is checked. For example you could need to check that the ip is persistent but the user agent could change.

This is at the moment not possible, either you can use ALL or NONE of the 'advanced security functions'.