タグ

あとで読むとIDに関するpipoのブックマーク (3)

  • 慣れた人ほど詐欺メッセージにだまされる、SMSの恐ろしい仕様に気をつけろ

    従来、詐欺サイトやウイルス(マルウエア)配布サイトに誘導する常とう手段はメールだった。だが最近ではスマートフォンの普及を受けて、SMS(ショートメッセージサービス)を使う手口が急増している。「メールでもSMSでも変わりない。注意していれば大丈夫」と思う人は少なくないだろうが大間違いだ。SMSには知る人ぞ知る恐ろしい仕様があるからだ。 偽の不在通知が猛威に SMSの偽メッセージでユーザーを偽サイトに誘導する手口はSMSフィッシングやスミッシングなどとも呼ばれる。 2018年以降、SMSの偽メッセージが大きな被害をもたらしている。特に多いのが宅配便の不在通知に見せかける手口である。佐川急便をかたる手口が猛威を振るい、その後ヤマト運輸や日郵便などを名乗る手口が出現した。 今でもこの手口は盛んに使われている。例えばフィッシング対策の業界団体であるフィッシング対策協議会は2020年7月、フィッシン

    慣れた人ほど詐欺メッセージにだまされる、SMSの恐ろしい仕様に気をつけろ
  • まちがった自動ログイン処理

    (Last Updated On: 2018年8月20日)問題:まちがった自動ログイン処理の解答です。このブログエントリは最近作られたアプリケーションでは「問題」にしたような実装は行われていないはず、と期待していたのですがあっさり期待を破られたのでブログに書きました。このブログの方が詳しく書いていますけが「Webアプリセキュリティ対策入門」にも正しい自動ログイン処理を書いています。 参考:自動ログイン以外に2要素認証も重要です。「今すぐできる、Webサイトへの2要素認証導入」こちらもどうぞ。HMACを利用した安全なAPIキーの送受信も参考にどうぞ。 間違った自動ログイン処理の問題点 まず間違った自動ログイン処理を実装しているコードの基的な問題点を一つ一つ順番にリストアップします。 クッキーにランダム文字列以外の値を設定している クッキーにユーザ名が保存されている クッキーにパスワードが保

    まちがった自動ログイン処理
  • ログアウト機能の目的と実現方法

    このエントリでは、Webアプリケーションにおけるログアウト機能に関連して、その目的と実現方法について説明します。 議論の前提 このエントリでは、認証方式として、いわゆるフォーム認証を前提としています。フォーム認証は俗な言い方かもしれませんが、HTMLフォームでIDとパスワードの入力フォームを作成し、その入力値をアプリケーション側で検証する認証方式のことです。IDとパスワードの入力は最初の1回ですませたいため、通常はCookieを用いて認証状態を保持します。ログアウト機能とは、保持された認証状態を破棄して、認証していない状態に戻すことです。 Cookieを用いた認証状態保持 前述のように、認証状態の保持にはCookieを用いることが一般的ですが、Cookieに auth=1 とか、userid=tokumaru などのように、ログイン状態を「そのまま」Cookieに保持すると脆弱性になります

    ログアウト機能の目的と実現方法
  • 1