Firebase Authentication 7つの落とし穴 - 脆弱性を生むIDaaSの不適切な利用 - Flatt Security Blog

はじめに こんにちは、株式会社 Flatt Security セキュリティエンジニアのぴざきゃっと (@pizzacat83) です。 認証機構を自作せずに導入できる Firebase Authentication は様々なアプリケーションにて利用されていますが、その特性を十分に理解せずに導入すると、実は不具合や脆弱性が生じることがあります。そこで本稿では Firebase Authentication を利用するうえで、注意しなければ不具合や脆弱性に繋がりうる 7 個の「落とし穴」について解説します。 はじめに IDaaS の利点と欠点 落とし穴 1. 自己サインアップ リスク 対策 落とし穴 2. ユーザーが自身を削除できる 対策 落とし穴 3. 他人のメールアドレスを用いたユーザー登録 リスク リスク 3-1. メールアドレス誤入力によるユーザー乗っ取り リスク 3-2. 他人にメー

[mano-junki]

Auth0版もお願いします！読みたい

[sin_cos]

“ブルートフォース攻撃とその対策の必要性はほとんどの開発者が認識していることでしょう。しかし Firebase Authentication においてそれを防ぐための設定は Firebase コンソールから確認できるものではなく、GCP のコンソールや

[nishik-t]

こりゃいい資料

[nicht-sein]

話は聞いた！つまりはメールアドレス＆パスワード認証を辞めてGoogle認証オンリーにすれば良いのだな！(違います)

[k2wanko]

これはいい資料

[sifue]

これは素晴らしい資料。

[helldeath]

これは読まなければならない資料だ、そういう気がする！

[suekunhello]

さらにLINEなどカスタム認証を加えるとさらに考慮すべき点が増えてくる。でも超便利なんですよねー😆✨

[gonta616]

ふむ

[Keisuke69]

これはとても気になる

[razokulover]

覚えておかないと事故るやつだ

[ttskch]

ふむ

[otchy210]

"メールアドレス / パスワード認証を利用しないことが根本的な対策となります" まじこれ。IDaaS を使おうが使うまいが、自前で認証情報を管理するメリットがリスクを上回るケースなんてこの現代ほぼ存在しないと思う。

[havanap]

hie