気に入った記事をブックマーク
- 気に入った記事を保存できます
保存した記事の一覧は、はてなブックマークで確認・編集ができます
- 記事を読んだ感想やメモを書き残せます
- 非公開でブックマークすることもできます
エントリーの編集
エントリーの編集は全ユーザーに共通の機能です。
必ずガイドラインを一読の上ご利用ください。
111users
がブックマーク
3
3
Passkey認証におけるアカウント乗っ取り - Non Discoverable Credentialフローとの混在に起因する脆弱性(CVE-2025-26788)解説 - GMO Flatt Security Blog
111 users
blog.flatt.tech
blog.flatt.tech
記事へのコメント3件
- 注目コメント
- 新着コメント
inabajunmr
ユーザー指定の場合は allowCredentials に指定した credentialId が実際に返ってきたかどうか見るだけで防げそうだけどそもそも allowCredentials 未指定のケースなのかな 対象ユーザー以外のパスキー表示されちゃって不便そうだけど
rawwell
“Passkey認証の場合(discoverableCredがTrue)、Credential IDから取得したレコードに紐づくユーザー名を取得しています。「https://blog.flatt.tech/entry/passkey_security」で説明している「7. ユーザーの検証不備」には不備がないと言えます。
注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています
いまの話題をアプリでチェック!
- バナー広告なし
- ミュート機能あり
- ダークモード搭載
関連記事
Passkey認証におけるアカウント乗っ取り - Non Discoverable Credentialフローとの混在に起因する脆弱性(CVE-2025-26788)解説 - GMO Flatt Security Blog
はじめに こんにちは、GMO Flatt Security株式会社 セキュリティエンジニアの小武です。 先日公開した記... はじめに こんにちは、GMO Flatt Security株式会社 セキュリティエンジニアの小武です。 先日公開した記事「Passkey認証の実装ミスに起因する脆弱性・セキュリティリスク」では、「8. Non Discoverable Credentialのフローとの混在」において、StrongKey FIDO Serverのアカウント乗っ取りが可能な脆弱性について言及しました。StrongKey FIDO Serverはオープンソースで提供されているFIDOサーバー製品です。 この脆弱性は、様々なセキュリティ的利点を持つPasskey認証であっても、実装ミスによって脆弱になり得るということを示しています。本記事では、この脆弱性がソースコードレベルでどのような問題を含み、どのように修正されたのかを詳しく解説します。 また、GMO Flatt SecurityはPasskey認証に特化した脆
ブックマークしたユーザー
すべてのユーザーの
詳細を表示します
詳細を表示します
blog.flatt.tech
blog.flatt.tech
blog.flatt.tech
blog.flatt.tech
www.oricon.co.jp
president.jp
www.news-postseven.com
togetter.com
smhn.info
www.nikkei.com
gigazine.net
www.itmedia.co.jp
www.itmedia.co.jp
gihyo.jp
www.s.u-tokyo.ac.jp
www.nikkei.com
news.yahoo.co.jp
onaji.me
inside.pixiv.blog
levtech.jp
www.e-aidem.com
2025/08/06 リンク