テクノロジー
Webサービスにおけるログイン機能の仕様とセキュリティ観点 - GMO Flatt Security Blog

気に入った記事をブックマーク

気に入った記事を保存できます
保存した記事の一覧は、はてなブックマークで確認・編集ができます
記事を読んだ感想やメモを書き残せます
非公開でブックマークすることもできます

Webサービスにおけるログイン機能の仕様とセキュリティ観点 - GMO Flatt Security Blog

テクノロジーカテゴリーの変更を依頼記事元:

blog.flatt.tech

適切な情報に変更

エントリーの編集

エントリーの編集は全ユーザーに共通の機能です。
必ずガイドラインを一読の上ご利用ください。

このページのオーナーなので以下のアクションを実行できます

タイトル、本文などの情報を
再取得することができます

コメントを非表示にできますコメント表示の設定

ブックマークしました

ここにツイート内容が記載されますhttps://b.hatena.ne.jp/URLはspanで囲んでください

Twitterで共有

次回からTwitterへ自動リダイレクト

ONにすると、次回以降このダイアログを飛ばしてTwitterに遷移します

707usersがブックマークコメント

コメントするにはログインが必要ですブックマークを追加

ブックマークを追加

よく使うタグ

Webサービスにおけるログイン機能の仕様とセキュリティ観点 - GMO Flatt Security Blog

707 users

blog.flatt.tech

よく使うタグ

はてなブックマークで
関心をシェアしよう

みんなの興味と感想が集まることで
新しい発見や、深堀りがもっと楽しく

ユーザー登録

アカウントをお持ちの方はログインページへ

記事へのコメント36件

注目コメント
新着コメント

T-miura社内に、認証作るな。IDP使えって書いて流した。いうてもわからん連中向けっていう意味で、非常に助かる内容。

2022/01/25リンク

その他

sin20xxわからん。何がわからんかというと、ほぼ大半の要件は主要なフレームワーク又はフレームワークに一部追記する程度で対策に記載されている内容又はそれ以上のレベルで対応できるわけだが、その上での課題がわからない

2022/01/25リンク

その他

yuu665メールアドレスが存在しない場合のエラーをださないほうがいいってよく聞くけど、Googleとかマイクロソフトとかの大手のサイトは、まずメールアドレスの存在チェックしてからパスワードの入力がでるイメージ

web制作

2022/01/25リンク

その他

tettekete37564え、ブコメこれぐらい考えられないと普通のフォーム入力関係でも設計に穴開くと思うぞ？購入処理前後のトランザクションとか。まあもちろん提供するサービスや取り扱うデータの性格次第ではあるが

2022/01/25リンク

その他

yasu-osuもう極力自分達でログイン機能を作らず、iDaaS使う方向を検討すべきでしょうね。

220124

2022/01/25リンク

その他

msukasukaああ！なるほど！むかーし登録したサービスのIDとパスワードをわすれてしまって思い当たるものを片っ端から入れた時に、せめてIDかPASSかどっちが間違ってるか教えてくれ！と思う事あるけどそれは脆弱性に繋がるのか！

2022/01/25リンク

その他

helldeathうん、全くもって大変だ。とてもじゃないが個人でやれる気がしねえ。GoogleのFirebase認証使う方がいい。

2022/01/25リンク

その他

kachikachi2みんな気軽にログイン機能つけたがるけど、鍵穴なんて無いに越したことない

2022/01/25リンク

その他

takuya_1stログインチェックは実行時間に対応した専用関数使え。総当たり攻撃はIPバンしろ。2行で済むのでは？

2022/01/25リンク

その他

ryunosinfxあと、不必要な情報収集と不必要なログイン機能提供は嫌ね。情報を振りまくのにカネがかかるのでログインして対価に個人情報というなのトラッキングデータをもらいますと言うのは倫理的に許せない。Google丸投げも嫌や

2022/01/26リンク

その他

kiririmodeログイン仕様ごとのセキュリティ対策

2022/03/19リンク

その他

efclウェブサービスのログイン、2段階認証周りのセキュリティチェックポイントをまとめた記事

2022/02/17リンク

その他

ducktoonエラーメッセージに差異があると危険な理由を上司に説明したけど理解されなかったので"親切"なエラーメッセージにしときました

2022/01/27リンク

その他

natu3kanIDを覚えるの面倒だからメールアドレスがIDになるの助かる。

security

2022/01/26リンク

その他

2022/01/26リンク

その他

nekoruri基本の復習

security

2022/01/26リンク

その他

Shisama基本的な内容だけど、観点と対策がセットになっててわかりやすいまとめ

2022/01/26リンク

その他

chiroruxx基礎のおさらいという感じで良い記事

2022/01/26リンク

その他

sora_hほんとにこのレベルで穴を作る人いるのか…

2022/01/26リンク

その他

lenoreIdPは要件に寄って使えない事もあるけど、フレームワークが選べる環境なのに使わないで自作する人の気がしれない

あとで読む

2022/01/25リンク

その他

hiroomi“攻撃に対する緩和の仕組みを導入する”SAMLなどにして外のidpに逃がしてもよさそ。

2022/01/25リンク

その他

kootaro思ってたの上の上の対策だわ！

2022/01/25リンク

その他

2022/01/25リンク

その他

hdampty7画像認証を「ひらがな」に変えただけでも一度はアタックを防げた。その後、また、やられたので６文字に増やしてフォントも複数かつランダムにしたら向こうも諦めた。IPはころころ変えてくるし対応ムズイ。

2022/01/25リンク

その他

web制作

2022/01/25リンク

その他

pmint自称セキュリティ専門家がよくやるマッチポンプ。…の、かなり浅いところ。この界隈ってどうしてこうくだらないんだろう。セキュリティの3大要件も知らない。/ 思考しないのはコピペプログラミングと同等。

2022/01/25リンク

その他

pascal256後で読む

2022/01/25リンク

その他

dorje2009「観点1: PINの桁数が少ないため確率的に突破できる可能性が高まってしまう」これに当てはまるサービスを知っている。楽天証券って言うんですけどね。（2段階目が10個の絵から2つ選ぶ、つまりたった90通り）

2022/01/25リンク

その他

murlock一方でGoogleアカウントにメールアドレス入力するだけで結構な情報出してくれるんだけどアレはそれでいいんだろうか？って不思議に思う

2022/01/25リンク

その他

ritou定番のフローになるには何らかの歴史がある。他の認証方式の選択肢がなかった、離脱対策で自サービスのIDよりもEmail/SMS番号で識別とか、オートコンプリートなど。もしこの辺りに興味があるなら、おすすめの勉強会があ

2022/01/25リンク

その他

takuya_1stログインチェックは実行時間に対応した専用関数使え。総当たり攻撃はIPバンしろ。2行で済むのでは？

2022/01/25リンク

その他

fuyu77勉強になる。

2022/01/25リンク

その他

otchy210序盤でちらっと IDaaS に触れてるけど、ほぼ全てのケースにおいてもはや自前で実装する事自体がアンチパターンじゃないのか。

2022/01/25リンク

その他

2022/01/25リンク

その他

tkrdGoogleのOAuth審査も結構ハードルが高いから、自分で作りたくなる気持ちもわかる。

2022/01/25リンク

その他

sendすごくよくまとまってて良い記事だ

2022/01/25リンク

その他

daira4000ログイン機能の脆弱性と対策

2022/01/25リンク

その他

Nilfs仕様の脆弱性

2022/01/25リンク

その他

helldeathうん、全くもって大変だ。とてもじゃないが個人でやれる気がしねえ。GoogleのFirebase認証使う方がいい。

2022/01/25リンク

その他

AizakkuWEB

2022/01/25リンク

その他

コメントするにはログインが必要ですログインしてコメント

注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています

リンクを埋め込む

以下のコードをコピーしてサイトに埋め込むことができます

プレビュー

はてなブックマークボタンを作成して埋め込むこともできます

規約違反を報告

いまの話題をアプリでチェック！

バナー広告なし
ミュート機能あり
ダークモード搭載

アプリをダウンロード

usersに達しました！

さんが1番目にブックマークした記事「Webサービスにおけ...」が注目されています。

気持ちをシェアしよう

ツイートする

Webサービスにおけるログイン機能の仕様とセキュリティ観点 - GMO Flatt Security Blog

はじめにこんにちは。株式会社FlattSecurity セキュリティエンジニアの村上 @0x003f です。本稿では、...はじめにこんにちは。株式会社FlattSecurity セキュリティエンジニアの村上 @0x003f です。本稿では、Webアプリケーション上で実装される「ログイン機能」の実装パターンをいくつか示し、その「仕様の中で起きうる脆弱性」とその対策について解説していきます。「ログイン機能」はToB、ToC問わず多くのWebアプリケーションで実装されている機能で、XSSやSQL Injection、Session Fixationといったような典型的な脆弱性の観点については、なんらかの解説を見たことのある方も多いと思います。しかし、「仕様の脆弱性」というのはあまり多く語られていない印象です。今回はそのようなタイプの脆弱性についての解説を行います。なお、IDaaSを用いずに自前でログイン機能を実装しているケースを複数パターン想定しています。はじめにログイン機能の仕様パターンとセキュリティ