ワンタイム認証と不正ログイン防御の強化
まず、ワンタイム認証ですが、
現在のセッションログインは、
セッションID(パスワードログイン時に発行し、クッキーに保存する)
と、
IPアドレス
でセッション維持するんですが、
グローバルIPがもらえないプロバイダってもんが存在するらしいんですね。
スマートフォンなんかも多分そうだし、モバイル機器だと公衆LANの利用とかも考えられるし。
そういう場合にセッションの維持ができないので、
一時的に有効なパスワードを発行してクッキーに保存して、
クッキーだけでログインできる機能を用意しようかなって思います。
あと、不正ログイン防御の強化ですが、
この前、不正ログイン防御機能を導入しましたが、
IPアドレス変えてアタックされると防げない仕組みなんで、
一定期間のアタックが多い場合に、
セッションログイン以外のログイン機能を停止するような機能を導入しようかな・・・
って考えました。
防御中でもIPセッションログインは安全なので通します。
現在のセッションログインは、
セッションID(パスワードログイン時に発行し、クッキーに保存する)
と、
IPアドレス
でセッション維持するんですが、
グローバルIPがもらえないプロバイダってもんが存在するらしいんですね。
スマートフォンなんかも多分そうだし、モバイル機器だと公衆LANの利用とかも考えられるし。
そういう場合にセッションの維持ができないので、
一時的に有効なパスワードを発行してクッキーに保存して、
クッキーだけでログインできる機能を用意しようかなって思います。
あと、不正ログイン防御の強化ですが、
この前、不正ログイン防御機能を導入しましたが、
IPアドレス変えてアタックされると防げない仕組みなんで、
一定期間のアタックが多い場合に、
セッションログイン以外のログイン機能を停止するような機能を導入しようかな・・・
って考えました。
防御中でもIPセッションログインは安全なので通します。