タグ

2023年11月17日のブックマーク (5件)

  • リスト攻撃事案から得られるユーザー周りの設計の学び - Qiita

    新規登録やリセット機能を用いたスクリーニングが行われたと思われる事案がよく出てきますが、だんだん拾うのめんどくさくなったのでお暇な方は編集リクエストをください 概要 パスワードリスト攻撃を受けた経緯がニュースになっていました。 対岸の火事ではない、ディノス・セシールを襲った新型リスト攻撃 有料会員限定記事なので見れない人は Googleのキャッシュとかでなんとか この記事をどうぞ。 巧妙化するECサイトへの不正アクセス。セシールの被害は「二重登録防止機能」の悪用が原因 まとめると リスト攻撃を受けた 施行されたメアドは登録済みのものだけだった 内部からの漏洩?はしてないっぽい 登録時に多重登録防止の仕組みがあった 新規登録試行いっぱいあった 攻撃対象のメアド抽出に使われたなこれは というお話です。 このお話に関連する、ユーザー周りの設計時に気をつけてることを書き残しておきます。 攻撃者にも

    リスト攻撃事案から得られるユーザー周りの設計の学び - Qiita

  • サービスの新規登録とログインを分けるかまとめるかの考え方

    ritouです。 Digital Identity技術勉強会 #iddance Advent Calendar 2021 の18日目の記事です。(代わりに書いた) 今回のお話は 新しいサービス作る時とか、登録/ログインフロー考えるよね?考えない?おじさんそう言うお仕事してるの パスワードレスな認証方式やID連携とか使いだすと、登録もログインも一緒でええかみたいな話も出てくるでしょ?こない?おじさんとこは出るの 分けたまま、一緒にする場合にそれぞれ気をつけないといけないことを整理しましょ というお話です。 1. パスワード認証時代は分けてりゃ良かった パスワード認証の場合、新規登録とログインでUXの要件が異なります。 新規登録 : ユーザーが主張する識別子や連絡先としてメールアドレスやSMS番号を確認し、パスワードを登録させる ログイン : ユーザーが主張する識別子とパスワードを入力させて検

    サービスの新規登録とログインを分けるかまとめるかの考え方

  • OIDCを用いたID連携における "確認済みメールアドレス" の使い方と注意点

    ritou です。 前の記事でちょっと確認済みメアドについての記載をしたあと、Twitterでちょっとやりとりしたり個別にDMで質問が来たりしたのでまとめます。 まとめ "確認済みメアド" のユースケースはいくつかある 新規登録時に自サービスで確認処理を行わずに利用 未登録ユーザーがソーシャルログインしてきた時に既存ユーザーとの紐付け IdPからもらった確認済みメアドをそのまま使っていい場合とそうじゃない場合がある 自サービスで提供しているメールアドレスかどうかで変わる部分を許容するかどうか email_provided のようなclaim があると便利かもしれない 確認済みメアドのユースケース 新規登録時の確認処理をスキップ これはID連携、ソーシャルログインのメリットとしてずっと言われているものです。 IdPで確認済みなのでRPは確認せずに信用して使おう というお話です。 よく知られて

    OIDCを用いたID連携における "確認済みメールアドレス" の使い方と注意点

  • メールアドレスをキーにしてID連携を行う設計の危うさ|ritou

    ritouです。このしずかなインターネットにおける初投稿です。 おそらく、このしずかなインターネットのID連携では次のような設計になっていま「した」。問い合わせをさせていただき、対応いただきました。 これまでもQiitaなどで同様の実装例が紹介されていた際にはコメントさせていただいていたものですので、アンチパターンの紹介記事として読んでいただければと思います。 「Googleアカウントでログイン」ではじめると、ユーザーが作成され、Googleから受け取ったメールアドレス([email protected])が設定される 次回から「Googleアカウントでログイン」をすると、Googleから受け取ったメールアドレスでユーザーを参照 試しに、次のような流れで動作を確認してみます。 「Googleアカウントでログイン」でアカウント作成([email protected]) 「メールアドレス変更」

    メールアドレスをキーにしてID連携を行う設計の危うさ|ritou

  • ラマヌジャンは本当に何も知らなかったのか

    $$\newcommand{a}[0]{\alpha} \newcommand{Aut}[0]{\operatorname{Aut}} \newcommand{b}[0]{\beta} \newcommand{C}[0]{\mathbb{C}} \newcommand{d}[0]{\delta} \newcommand{dis}[0]{\displaystyle} \newcommand{e}[0]{\varepsilon} \newcommand{F}[4]{{}_2F_1\left(\begin{matrix}#1,#2\\#3\end{matrix};#4\right)} \newcommand{farc}[2]{\frac{#1}{#2}} \newcommand{G}[0]{\Gamma} \newcommand{g}[0]{\gamma} \newcommand{Gal}[0]

    ラマヌジャンは本当に何も知らなかったのか
    alcus
    alcus 2023/11/17
    リンク

お知らせ

もっと読む

公式Twitter

  • @HatenaBookmark

    リリース、障害情報などのサービスのお知らせ

  • @hatebu

    最新の人気エントリーの配信

はてなブックマーク

公式Twitter

はてなのサービス

  • App Storeからダウンロード
  • Google Playで手に入れよう
Copyright © 2005-2024 Hatena. All Rights Reserved.