会員パスワードの暗号化
新着情報/WEBインベンター

バージョンUP、最新情報、キャンペーン情報などを、月1回ほど配信 - WEBインベンター

新着情報/WEBインベンター 新着情報/WEBインベンター

会員パスワードの暗号化の機能を実装 2010年06月17日

会員パスワードの暗号化の機能を実装

※セキュリティー強化版の進行状況⇒修正履歴

WEBインベンターのご利用に心から感謝いたします。当社のショッピングカートのセキュリティー強化版をさらに一層強化し、会員パスワードの暗号化の機能を実装いたしましたのでお知らせいたします。

(1)会員パスワードの暗号化のメリット
(2)バージョンUPの方法
(3)ショッピングカートのセキュリティーについて


━━━━━━━━━━━━━━━━━━━━━━━━━━━
1.会員パスワードの暗号化のメリット
━━━━━━━━━━━━━━━━━━━━━━━━━━━
大手のサイトを除いてまだ多くの会員制システムでは暗号化しない(平文)でパスワードを管理しているというのが実情のようです。しかし、ここ数年、会員パスワードの暗号化が勧められています。それで、当社でも会員パスワードの暗号化を実施いたしました。
会員パスワードの暗号化は特に会員データが流出してしまった場合に必要なものであり、完全に流出しないのであれば暗号化が必要であるわけではありません。しかし、人為的な脆弱性をふくめ何らかの理由により流出することを考慮する必要があります。

会員パスワードの暗号化の第一のメリットは、流出の際、パスワードを悪用されるまでの時間を稼ぐことができる、という点です。いずれにしましても、会員データが流出してしまったという事実は変わらないので、早急な対策が必要なことには変わりがありません。

【注】この暗号化に伴い、ログイン時に『会員IDとパスワードを保存する』にチェックした場合はクッキーを90日間保存するように変更しました(楽天と同じ)。

会員パスワードの暗号化の第二のメリットがあります。それは携帯電話の会員システムのセキュリティーの向上です。携帯電話ではこれまでドコモでクッキーが使えなかっために、どうしても会員IDやパスワード(あるいはセッションID)をURLに付けて受け渡さなければなりませんでした(URL埋め込み)。これは現在も一般的な手法であり、止むを得ないことです。しかし、携帯の場合、リファラースパムやセッションハイジャックがPCほど簡単にはできないために救われていました。しかし、携帯電話の性能が向上するにつれてその脅威は増大しつつあります。そうした中で、会員パスワードを暗号化することはセキュリティーの向上に役立つのです。

携帯電話では、固体識別番号などが取得できる場合があり、会員パスワードを暗号化する際に利用するならさらにセキュリティーを向上させることができます。また、暗号化に時間的な制限を設けることもできます。こうした可能な方法をすべて活用するならセキュリティーをかなり強固なものにすることができます。

詳しくは、下記のショッピングカートのセキュリティーのページを参考にしてください。
http://wb-i.net/security.html

※空メール会員登録のプログラムをお使いの場合は、auto_entry.cgiも新しくする必要があります。その場合、メールにてお問合せください。⇒空メール会員自動登録システム

━━━━━━━━━━━━━━━━━━━━━━━━━━━
2.バージョンUPの方法
━━━━━━━━━━━━━━━━━━━━━━━━━━━
パスワードは会員登録時、及び会員情報変更時に暗号化されてサーバに保存されます。しかし、会員データを読む際にはパスワードが暗号化されているかどうかを判断して比較しますので、これまでの会員データをそのまま使うことができます。

パスワードの暗号化はハッシュ(不可逆暗号)を用いています。それで、パスワードの再発行ができません。それで、この場合、仮パスワードをランダムに作成して送信するという手法を用いています。会員は、仮パスワードでログインしてから、パスワードを変更して使うことになります。

今回のこのバージョンUPは下記のショッピングカートが対象です。
SP-Final Ver.10
reserve Ver.11
epsilon-NPZ Ver.12
Multi-AFF Ver.12
PCtoMobile Ver.14
PCtoMobile2 Ver.14
PCtoMobile-Unicode Ver.14
Contents-Cart Ver.14
Contents-Mall Ver.15

ショッピングカート内の変更したプログラムは下記のものです。ショッピングカートにより含まれているものが多少異なるかもしれませんが、ここに示されたファイルが今回変更追加されたファイルのすべてです。追加されたファイルは←で示されています。含まれるファイルを変更し、追加されたファイルを追加してください。

修正プログラム:

【2010/06/17】会員パスワードの暗号化

entry.cgi
member.cgi
form.cgi
histry.cgi
k_entry.cgi
k_shop.cgi
formk.cgi
address.cgi(PCtoMobile2のみ)
set_class_pl/pass_code.pl ←←追加
shop_pl/common.pl
shopssl_pl/order_form.pl
       sure.pl
       order_mail.pl
        order_form_pre.pl(PCtoMobile2のみ)
analyzer/analyzer_put.pl
      analyzer.cgi

k_shop_pl/orderform.pl
       order_mail.pl
       home_put.pl
       mypage_kadm.pl
       mypage_kshop.pl
       orderform_pre.pl(PCtoMobile2のみ)
       address.pl(PCtoMobile2のみ)
html_maker.cgi(バグの修正)


※SPF10、reserve11の場合は下記になります。
entry.cgi
member.cgi
shop.cgi
histry.cgi
k_entry.cgi
k_shop.cgi
shopssl.cgi(reserveのみ)
set_class_pl/pass_code.pl ←←追加
analyzer/analyzer_put.pl
      analyzer.cgi
html_maker.cgi(バグの修正)

【2010/06/18】上記ファイルのうちいくつかを調整(ログインの操作性の改善)。

※これまでの修正履歴⇒修正履歴
※バージョンUPの方法:4月以降に更新されたプログラム(データは含まない!)がセキュリティー強化版になります。古いバージョンをお使いの方は新機能が追加されていますので、すべてのプログラムを更新する必要があります。⇒2010/04/07の記事


━━━━━━━━━━━━━━━━━━━━━━━━━━━
3.ショッピングカートのセキュリティーについて
━━━━━━━━━━━━━━━━━━━━━━━━━━━
ショッピングカートのセキュリティーについてまとめてみました。下記のページをご覧ください。
カートのセキュリティー対策


今回のバージョンUPにあたり、さまざまな方からの貴重なご意見をいただきました。心から感謝いたします。引き続き皆様のご意見を取り入れながら、さらに優れたシステムを開発して行きたいと思います。ご指導の程、よろしくお願いいたします。


Copyright (C) 2010  WEBインベンター All rights reserved.