Rfssica'sEn

記事#1118

account (2020-03-11 21:54:32)

セッションIDの仕様を変更しました。

当サイトではアカウントへのログイン時に、
セッションIDによるログイン状況の管理を行っていますが、
これの仕様を変更しました。

これまでは、セッションIDは、
ログインの際に使用したIPアドレスやブラウザ情報、
回線情報などと併用して使用していました。
そのため、仮にセッションIDが第三者に流出したとしても、セッションIDからだけでは、
その所有者のアカウントにアクセスすることはできない仕様になっていました。

しかしながら、
当サイトはサイト全体をSSL化したことや、
セッションID自体を原則として非表示にしたこともあり、利用者が意図しない限り、
他人にセッションIDが流出することはほぼない状態になったと考えます。

また、一部の利用者の方におかれましては、
プロバイダやスマートフォンキャリアから、固定IPアドレスが貸与されていないこともあり、
アクセスの度に高い頻度で再ログインを行わねばならず、ご不便をおかけしていました。

こういった状況を鑑みて、当サイトのアカウントへのアクセスは、
セッションIDのみで行えるようにし、該当セッションIDにアクセスした、
IPアドレスやWebブラウザ、接続回線に関しての検証を削減することにしました。

これに伴い、IPアドレスが高頻度で変動する方におかれましても、
セッションIDをきちんと管理していただければ、1ヶ月間の有効期限を維持できるようになり、
また認証の手間が省けるためサイト全体のパフォーマンスもやや改善するものと見込まれます。

ただし、セッションIDの認証基準が甘くなったことで、
セッションID自体を意図して流出させた場合、第三者がアカウントへのアクセスが可能となるため、
セッションIDの取り扱いには十分に注意してください。
その対策の一環として、当サイトではこれまで情報として表示していた、
セッションIDに関して、一律非表示とし、
利用者の方が意図して表示させない限り、サイト内で自然と表示される部分をなくしました。

また、万が一の漏洩時の対策のために、
当サイトIDに対して、メールアドレスの認証を行っている方におかれましては、
セッションIDの取り扱いに関して、IPアドレスのホワイトリスト制度の導入や、
希望する方にはこれまで通りの厳格なセッションID認証方式の継続、
アカウント管理画面から、他のセッションIDの強制ログアウト実行等、
セキュリティ上のオプションを無料標準にて実装、提供を予定しています。

引き続き当サイトのアカウント機能をお楽しみください。

以上。