愛車:マツダアテンザ
Webを中心とした、ビジネス&テクノロジーに関する思いつき
by F-shin
[ このサイトについて ] [ F-shinについて ] [ トップ ]
iPhoneアプリ
author:えふしん
photo_20.jpg
藤川真一について


初代モバツイ開発者
想創社再創業 / KMD博士課程
著書〜100万人から教わったウェブサービスの極意―「モバツイ」開発1268日の知恵と視点 [Kindle版]
お求めやすい夏休み特価!
このカテゴリ[Web系]の最新30件
本ブログは移転しました インターネットの遊び方を身につけよう ネットでの選挙活動と投票率 Web2.0がうまくいかなかったワケ WebにおけるMVCアーキテクチャの勃興と変遷 何故、PCはブラウザ、スマホはアプリなのか。 言っとくけどスマホは退化でもあるからな。 アイコン5000円とか、Web受注(発注)価格について。 残念なWeb論の骨子 HTMLってホントよく出来てるな。 「やまもといちろう×イケダハヤト対談イベント」のログを読んで ネットサービスの成功者は「とりあえず受託」という言葉使うのやめません? 全収集型RSSリーダーの終焉とソーシャル化するWeb 頑張ると報われるプログラマーの社会とは。 Perlが○○な話 アメリカ製品のすごさと不思議とワイヤフレーム どの人件費を考えても絶対にお得!利用規約ナイトがきっかけの本が出ます。 クラウドやモバイルを、もっと仕事で活用したいけど、どうやって会社を説得したら良いかわからない! スマホアプリらしいUXとは。 インターネットの変化に対して起こるモヤモヤすることを考え、整理する活動 Facebookは見なくてもいい情報が出てくるSNS 「あなたは影響力があるから、そんなことを言っちゃいけません」の問題点 Facebookに時間を取られすぎる対策 Paypalの本人確認がむかつく件 ネット系イベントがとても主催しやすくなった件 モバイルファーストが失敗なハズはないが、今はまだ時期尚早 やりがいはソートできない…非情なデータベース社会 2012年までのふりかえりと2013年へ ブラウザという平面の限界 ブログ記事の流通の難しさ
[このカテゴリをもっと見る]
Powered by
Movable Type

May 19, 2005

スポンサーリンク

MTの脆弱性か否かという話は僕にとってタイムリーでした。
ログインプロセスを簡略化するためにクッキー認証を使いたいんだが、何ならOKで何ならダメかということのガイドラインがほしいなぁと思ってたので。

クッキー認証の問題点は、クッキーが漏れるとログインできてしまうというのと、CSRF(Cross-Site Request Forgeries)というものである。クッキーの正式な所有者に、問題になるURLを踏ませることで何がしかの攻撃ができるというもの(はまちちゃん問題がコレ)

詳しくは他サイト参照。
「ぼくはまちちゃん」 ――知られざるCSRF攻撃
Movable Type における CSRF の可能性と各種対処法

とはいえだな、amazonにせよ、クッキー認証で何がしかの状態は復帰されるわけで、そのものが根本的に悪ということではない。コレを使いたいからには何に使うか?ということを見極めて使えというわけですな。

で、是非、自動ログインをなんとかしたいのでいろいろ考えてみる。

1.自動ログイン可能な入り口は固定しておくことで、コーディングミスなどによるCSRFの発生は避けられる。(なんとも消極的だが)、URLのブックマーク対策には、ログイン&リダイレクトするようなプログラムを一度経由させてログイン。(これは、イマイチ)

これによりログイン処理をあっちこっちに持たせないようにするのと、CSRFによって被害を受けるようなページは、ログインなしでは動かないようエラーにしておけば、デバッグ時はURLを叩くだけで検証ができる。
(本来のセッション維持は、Appサーバ実装のセッション変数を使う。)

2.個人情報を扱うところと、カード番号を入力する直前は、今一度、ユーザーID、パスワードで認証を行い、クッキーが漏れたときの損害とのトレードオフを考える。(アマゾンがこれですな。)

3.クッキーの有効期間を1週間や数日にしておき、ログイン時は、ID+パスワード+時間でハッシュ化してDBに保存しておき、ログイン時にID認証と時間を変数に使った暗号で認証する。時間をパラメータに使うことで毎回同じ値を出力しないで推測しにくくするためのものである。(意味ないか。)

HTTPリクエストをキャプチャされたら漏れる件は無視。どうせその場合は、この認証を使わずともID、パスも漏れるからSSL使わないことには、セキュリティレベルは同じでしょ?

と、まぁそこまで書いたところで、ホントに興味ある方は、下記を参考してくださいまし(w

クロスサイトリクエストフォージェリ(CSRF)の正しい対策方法

上記の記事を参考にすると、さほど問題ではなさそうな気がするのだが、どこぞに報告すると脆弱性として認められるという話もあり、さて重要度はどんなものなのでしょうか。

スポンサーリンク
■同じカテゴリ[Web系]のエントリー
<<前の記事 スマートクライアント VS2003を前提にした場合の調査
>>次の記事 多メディア時代のTVCM
■このblogの書き込み最新3件
本ブログは移転しました インターネットの遊び方を身につけよう トトロが陽なら、『風立ちぬ』は陰?〜『風立ちぬ』の感想