記事へのコメント36

    • 注目コメント
    • 新着コメント
    kiririmode
    kiririmode ログイン仕様ごとのセキュリティ対策

    2022/03/19 リンク

    その他
    efcl
    efcl ウェブサービスのログイン、2段階認証周りのセキュリティチェックポイントをまとめた記事

    2022/02/17 リンク

    その他
    ducktoon
    ducktoon エラーメッセージに差異があると危険な理由を上司に説明したけど理解されなかったので"親切"なエラーメッセージにしときました

    2022/01/27 リンク

    その他
    natu3kan
    natu3kan IDを覚えるの面倒だからメールアドレスがIDになるの助かる。

    2022/01/26 リンク

    その他
    ryunosinfx
    ryunosinfx あと、不必要な情報収集と不必要なログイン機能提供は嫌ね。情報を振りまくのにカネがかかるのでログインして対価に個人情報というなのトラッキングデータをもらいますと言うのは倫理的に許せない。Google丸投げも嫌や

    2022/01/26 リンク

    その他
    nekoruri
    nekoruri 基本の復習

    2022/01/26 リンク

    その他
    Shisama
    Shisama 基本的な内容だけど、観点と対策がセットになっててわかりやすいまとめ

    2022/01/26 リンク

    その他
    chiroruxx
    chiroruxx 基礎のおさらいという感じで良い記事

    2022/01/26 リンク

    その他
    sora_h
    sora_h ほんとにこのレベルで穴を作る人いるのか…

    2022/01/26 リンク

    その他
    lenore
    lenore IdPは要件に寄って使えない事もあるけど、フレームワークが選べる環境なのに使わないで自作する人の気がしれない

    2022/01/25 リンク

    その他
    hiroomi
    hiroomi “攻撃に対する緩和の仕組みを導入する”SAMLなどにして外のidpに逃がしてもよさそ。

    2022/01/25 リンク

    その他
    kootaro
    kootaro 思ってたの上の上の対策だわ!

    2022/01/25 リンク

    その他
    tettekete37564
    tettekete37564 え、ブコメこれぐらい考えられないと普通のフォーム入力関係でも設計に穴開くと思うぞ?購入処理前後のトランザクションとか。まあもちろん提供するサービスや取り扱うデータの性格次第ではあるが

    2022/01/25 リンク

    その他
    hdampty7
    hdampty7 画像認証を「ひらがな」に変えただけでも一度はアタックを防げた。その後、また、やられたので6文字に増やしてフォントも複数かつランダムにしたら向こうも諦めた。IPはころころ変えてくるし対応ムズイ。

    2022/01/25 リンク

    その他
    yuu665
    yuu665 メールアドレスが存在しない場合のエラーをださないほうがいいってよく聞くけど、Googleとかマイクロソフトとかの大手のサイトは、まずメールアドレスの存在チェックしてからパスワードの入力がでるイメージ

    2022/01/25 リンク

    その他
    pmint
    pmint 自称セキュリティ専門家がよくやるマッチポンプ。…の、かなり浅いところ。この界隈ってどうしてこうくだらないんだろう。セキュリティの3大要件も知らない。/ 思考しないのはコピペプログラミングと同等。

    2022/01/25 リンク

    その他
    pascal256
    pascal256 後で読む

    2022/01/25 リンク

    その他
    dorje2009
    dorje2009 「観点1: PINの桁数が少ないため確率的に突破できる可能性が高まってしまう」これに当てはまるサービスを知っている。楽天証券って言うんですけどね。(2段階目が10個の絵から2つ選ぶ、つまりたった90通り)

    2022/01/25 リンク

    その他
    murlock
    murlock 一方でGoogleアカウントにメールアドレス入力するだけで結構な情報出してくれるんだけどアレはそれでいいんだろうか?って不思議に思う

    2022/01/25 リンク

    その他
    ritou
    ritou 定番のフローになるには何らかの歴史がある。他の認証方式の選択肢がなかった、離脱対策で自サービスのIDよりもEmail/SMS番号で識別とか、オートコンプリートなど。もしこの辺りに興味があるなら、おすすめの勉強会があ

    2022/01/25 リンク

    その他
    takuya_1st
    takuya_1st ログインチェックは実行時間に対応した専用関数使え。総当たり攻撃はIPバンしろ。2行で済むのでは?

    2022/01/25 リンク

    その他
    fuyu77
    fuyu77 勉強になる。

    2022/01/25 リンク

    その他
    otchy210
    otchy210 序盤でちらっと IDaaS に触れてるけど、ほぼ全てのケースにおいてもはや自前で実装する事自体がアンチパターンじゃないのか。

    2022/01/25 リンク

    その他
    msukasuka
    msukasuka ああ!なるほど!むかーし登録したサービスのIDとパスワードをわすれてしまって思い当たるものを片っ端から入れた時に、せめてIDかPASSかどっちが間違ってるか教えてくれ!と思う事あるけどそれは脆弱性に繋がるのか!

    2022/01/25 リンク

    その他
    tkrd
    tkrd GoogleのOAuth審査も結構ハードルが高いから、自分で作りたくなる気持ちもわかる。

    2022/01/25 リンク

    その他
    send
    send すごくよくまとまってて良い記事だ

    2022/01/25 リンク

    その他
    daira4000
    daira4000 ログイン機能の脆弱性と対策

    2022/01/25 リンク

    その他
    Nilfs
    Nilfs 仕様の脆弱性

    2022/01/25 リンク

    その他
    helldeath
    helldeath うん、全くもって大変だ。とてもじゃないが個人でやれる気がしねえ。GoogleのFirebase認証使う方がいい。

    2022/01/25 リンク

    その他
    Aizakku
    Aizakku WEB

    2022/01/25 リンク

    その他

    注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています

    アプリのスクリーンショット
    いまの話題をアプリでチェック!
    • バナー広告なし
    • ミュート機能あり
    • ダークモード搭載
    アプリをダウンロード

    関連記事

    Webサービスにおけるログイン機能の仕様とセキュリティ観点 - Flatt Security Blog

    はじめに こんにちは。株式会社Flatt Securityセキュリティエンジニアの村上 @0x003f です。 稿では、...

    ブックマークしたユーザー

    • feltngen2024/10/06 feltngen
    • nabetk2024/09/05 nabetk
    • kyaido2024/05/09 kyaido
    • hatomato092024/03/16 hatomato09
    • knj29182023/12/08 knj2918
    • mazarimono2023/12/01 mazarimono
    • techtech05212022/12/17 techtech0521
    • debslink2022/11/08 debslink
    • cos312022/09/30 cos31
    • t-kohno2252022/09/29 t-kohno225
    • havanap2022/08/08 havanap
    • kochi152022/07/14 kochi15
    • k1LoW2022/07/04 k1LoW
    • sato_shin2022/05/20 sato_shin
    • dealforest2022/05/09 dealforest
    • JUJI2022/04/20 JUJI
    • snaka722022/04/19 snaka72
    • ken31542444362022/04/07 ken3154244436
    すべてのユーザーの
    詳細を表示します

    同じサイトの新着

    同じサイトの新着をもっと読む

    いま人気の記事

    いま人気の記事をもっと読む

    いま人気の記事 - テクノロジー

    いま人気の記事 - テクノロジーをもっと読む

    新着記事 - テクノロジー

    新着記事 - テクノロジーをもっと読む

    同時期にブックマークされた記事