Webサービスにおけるログイン機能の仕様とセキュリティ観点 - Flatt Security Blog

はじめに こんにちは。株式会社Flatt Securityセキュリティエンジニアの村上 @0x003f です。 本稿では、Webアプリケーション上で実装される「ログイン機能」の実装パターンをいくつか示し、その「仕様の中で起きうる脆弱性」とその対策について解説していきます。 「ログイン機能」はToB、ToC問わず多くのWebアプリケーションで実装されている機能で、XSSやSQL Injection、Session Fixationといったような典型的な脆弱性の観点については、なんらかの解説を見たことのある方も多いと思います。 しかし、「仕様の脆弱性」というのはあまり多く語られていない印象です。今回はそのようなタイプの脆弱性についての解説を行います。なお、IDaaSを用いずに自前でログイン機能を実装しているケースを複数パターン想定しています。 はじめに ログイン機能の仕様パターンとセキュリティ

[T-miura]

社内に、認証作るな。IDP使えって書いて流した。いうてもわからん連中向けっていう意味で、非常に助かる内容。

[sin20xx]

わからん。何がわからんかというと、ほぼ大半の要件は主要なフレームワーク又はフレームワークに一部追記する程度で対策に記載されている内容又はそれ以上のレベルで対応できるわけだが、その上での課題がわからない

[yuu665]

メールアドレスが存在しない場合のエラーをださないほうがいいってよく聞くけど、Googleとかマイクロソフトとかの大手のサイトは、まずメールアドレスの存在チェックしてからパスワードの入力がでるイメージ

[tettekete37564]

え、ブコメこれぐらい考えられないと普通のフォーム入力関係でも設計に穴開くと思うぞ？購入処理前後のトランザクションとか。まあもちろん提供するサービスや取り扱うデータの性格次第ではあるが

[yasu-osu]

もう極力自分達でログイン機能を作らず、iDaaS使う方向を検討すべきでしょうね。

[msukasuka]

ああ！なるほど！むかーし登録したサービスのIDとパスワードをわすれてしまって思い当たるものを片っ端から入れた時に、せめてIDかPASSかどっちが間違ってるか教えてくれ！と思う事あるけどそれは脆弱性に繋がるのか！

[helldeath]

うん、全くもって大変だ。とてもじゃないが個人でやれる気がしねえ。GoogleのFirebase認証使う方がいい。

[kachikachi2]

みんな気軽にログイン機能つけたがるけど、鍵穴なんて無いに越したことない

[takuya_1st]

ログインチェックは実行時間に対応した専用関数使え。総当たり攻撃はIPバンしろ。2行で済むのでは？

[ryunosinfx]

あと、不必要な情報収集と不必要なログイン機能提供は嫌ね。情報を振りまくのにカネがかかるのでログインして対価に個人情報というなのトラッキングデータをもらいますと言うのは倫理的に許せない。Google丸投げも嫌や

[kiririmode]

ログイン仕様ごとのセキュリティ対策

[efcl]

ウェブサービスのログイン、2段階認証周りのセキュリティチェックポイントをまとめた記事

[ducktoon]

エラーメッセージに差異があると危険な理由を上司に説明したけど理解されなかったので"親切"なエラーメッセージにしときました

[natu3kan]

IDを覚えるの面倒だからメールアドレスがIDになるの助かる。

[nekoruri]

基本の復習

[Shisama]

基本的な内容だけど、観点と対策がセットになっててわかりやすいまとめ

[chiroruxx]

基礎のおさらいという感じで良い記事

[sora_h]

ほんとにこのレベルで穴を作る人いるのか…

[lenore]

IdPは要件に寄って使えない事もあるけど、フレームワークが選べる環境なのに使わないで自作する人の気がしれない

[hiroomi]

“攻撃に対する緩和の仕組みを導入する”SAMLなどにして外のidpに逃がしてもよさそ。

[kootaro]

思ってたの上の上の対策だわ！

[hdampty7]

画像認証を「ひらがな」に変えただけでも一度はアタックを防げた。その後、また、やられたので６文字に増やしてフォントも複数かつランダムにしたら向こうも諦めた。IPはころころ変えてくるし対応ムズイ。

[pmint]

自称セキュリティ専門家がよくやるマッチポンプ。…の、かなり浅いところ。この界隈ってどうしてこうくだらないんだろう。セキュリティの3大要件も知らない。/ 思考しないのはコピペプログラミングと同等。

[pascal256]

後で読む

[dorje2009]

「観点1: PINの桁数が少ないため確率的に突破できる可能性が高まってしまう」これに当てはまるサービスを知っている。楽天証券って言うんですけどね。（2段階目が10個の絵から2つ選ぶ、つまりたった90通り）

[murlock]

一方でGoogleアカウントにメールアドレス入力するだけで結構な情報出してくれるんだけどアレはそれでいいんだろうか？って不思議に思う

[ritou]

定番のフローになるには何らかの歴史がある。他の認証方式の選択肢がなかった、離脱対策で自サービスのIDよりもEmail/SMS番号で識別とか、オートコンプリートなど。もしこの辺りに興味があるなら、おすすめの勉強会があ

[fuyu77]

勉強になる。

[otchy210]

序盤でちらっと IDaaS に触れてるけど、ほぼ全てのケースにおいてもはや自前で実装する事自体がアンチパターンじゃないのか。

[tkrd]

GoogleのOAuth審査も結構ハードルが高いから、自分で作りたくなる気持ちもわかる。

[send]

すごくよくまとまってて良い記事だ

[daira4000]

ログイン機能の脆弱性と対策

[Nilfs]

仕様の脆弱性

[Aizakku]

WEB