無料ブログ「rentafree.net」の管理人ブログ

不正ログイン対策その2

公式サイトとSSLログインにもログイン失敗端末の10秒ブロックを導入しました。

こっちは、
パスワードログインなら問題ないが、
セッションログインだと、確率的にはありえないが、
ユーザー情報をメモリ記憶しちゃうとセッションIDの重複がゼロではなくなって、
無効セッションでのログインができてしまう可能性があるので、
メモリ記憶はなしでデータベース記憶にしました。

ログイン失敗とは、パスワードを利用したログインなので、
セッションIDでのログイン失敗は失敗とカウントしません。

ユーザー端末がウイルスに感染していて正規端末からの不正ログインとかなら別ですが、
セッションIDは端末と一致しないと無効なので、
セッションIDによる不正ログインは考えられません。