Djangoでログイン認証画面を作成しています。
そこでふと、疑問に思ったので、質問させてください。
ECサイトなどのショッピングサイトで、ログイン者の情報などをセッションとクッキーを使って管理していると思います。
例えば下記のような形式でセッションIDがクッキーに保存されているとき
(key) (value) SESSION_KEY: asioudasfdawefas
ChromeプラグインのEditThisCookieなどのツールを用いて、ブルートフォース攻撃でvalueを改変・編集をした場合に容易に第三者になりますしてログインされてしまうんじゃないかと思ってしまいました。
ログイン画面のときのブルートフォース攻撃は、認証に3回失敗したら、しばらく無効になるとか対策をよく見ますが、クッキー改変による不正ログインに対しては、対策があるとはまったく聞きませんし、見たこともありません。
もし、そのような対策がしかれているのであれば、ご教示いただけませんでしょうか?
逆に、対策がされていないとなると、世の中のログインサイトは自分が思っている以上に相当危険な場所なのでしょうか?
0 コメント