認証しないWeb認証 限定公開URLのセキュリティについて考える 公開版

認証しないWeb認証 限定公開URLのセキュリティについて考える 2020/8/7 API Meetup Online #3- フューチャー株式会社 渋川よしき

[and_hyphen]

限定公開は機密性が問われるものには基本やらない。強度云々以前に誰かがSNSか何かに流した時点で終わるので。あと有効期限は設定してる

[Songmu]

人間がミスってどこかに貼り付けてしまうリスクをどう評価するかという話があると思ってる。Slack等のチャットに貼られてどこかにログが残ってしまうとか。要素数が1というのがリスクではあるという話なのかな

[hirata_yasuyuki]

以前の仕事で契約更新用限定公開URLを提供したけど、第三者アクセスによる損害は限定的 (最悪自社負担も許容出来る) で、約款で限定公開URLを利用すること・意思表示のみなし規定・管理責任等を明記した。

[taiyow]

S3のpresigned URLとか漫然と「まあ大丈夫っしょ」と使ってるので、暗号強度の考察があるのは参考になる

[tettekete37564]

読んだ。たいしたことは書かれていない。公開情報には変わりない。

[ifttt]

まぁ時限にしときゃ故意に流出させない限り大丈夫っしょ〜というなんとなくの認識でやってたけど概ね間違ってなかったようだな

[Silica]

全然レベルの違う話なんだけどURLが漏れる話>https://twitter.com/P9Silica/status/1033160454577606657

[miki3k]

ランダムなアクセスに対する的中可能性

[mayumayu_nimolove]

あくまで限定だから、相手が確認したら速攻消すのがルールだよね

[umisora2]

これ本当どう解釈して取り扱うか悩んでたので良い。

[harumomo2006]

昔メールサービスにログインできる限定公開URLを複数サービスまとめて発見してしまったのでそれぞれの運営に連絡したらみんな諦めてサービス終了してしまった。いまでも限定公開URLを前提にしてるところは結構ありそう

[kw5]

Gist も Qiita もユーザごとの空間ではないっぽい (URL のユーザー名部分は削ってもたどり着ける) のと、使われる文字は 0-9a-f なので、計算は惜しい気がする

[kaiton]

限定公開は、ダウンロードしたら通知があるものしか怖くて使えない、それか漏れても問題もの・公開予定のものぐらいかな？

[areant]

限定公開

[braitom]

限定公開用URLのセキュリティについて。メリット・デメリット、セキュリティ強度の考え方などがまとめられている。

[yujiorama]

パスワード変更も HTTP -> SMTP -> HTTP になること多いな。ユーザーコンテンツの更新通知もか。とても身近な話に思えてきた

[t-sat]

spamメールに一通一通ユニークなurlを割り振って、アクセスしてきた鴨のメールアドレスを特定するという話を思い出した。

[strawberryhunter]

各個人にURLを割り当てて個人情報でも掲載しておけばURLをばらされるリスクはかなり低くなるな。買った電子書籍に自分のメールアドレスが載ってるようなもの。

[infobloga]

Signed URLはjsから使うものであって、srcに直接指定しちゃだめだろ常識的に考えて

[getcha]

まとめると「長いURLを使うと推測しにくくなるよ」全員が指摘しているようにネットに貼られたら一瞬で終わる話なので、セキュリティを深く考える必要も無い気がする。

[simochee]

限定公開URLの秘匿性どうよ？と思ってたけど、こう見ると案外守れてるのねとわかる

[kibitaki]

URLの総当たりへの的中可能性を、強度って言われるのはちょっともにょる。

[biwakonbu]

考察として非常に勉強になるけど、やっぱり共有などには弱いという結論。そのため性質上は秘匿レベルが高くない情報になるくらいの話だな。

[takuya_1st]

「アドレスバーを書き換える」コレって、、、

[redmagic1417]

こういう掘り下げは学術的には意味があると思うが、実践的には「知ってりゃアクセス出来る」以外の何物でもないので、そういう前提を利用者とどれだけ共有出来るかを考える方が効果は高いとは思う。

[takc923]

限定公開URL、SNSに投稿とかは気が緩んでもやんないと思うけど、はてブは気が緩むとやってしまいそうになるんだよな。

[cinefuk]

電子マネーの二次元バーコードをテレビでひらひらさせて「ほほう、これが電子マネー」とTVキャスターが言った瞬間に全額盗まれた、という話があったような。「FOR YOUR EYES ONLY」は守られない、と覚悟しなければ

[natu3kan]

機密性がどうしても必要な事は極力Webでやらないのは確かに。身内や第三者の偶然のアクセスから録画やスクショで拡散できちゃうし。ちょっとお得な袋とじレベルにしておくくらいがいいと。

[pixmap]

アクセスする人のログイン情報や個人情報を取得しないでサービス提供できるのが運営側の利点。 ただしURLはSNSなどで公開されることを、ユーザーもそのURLを公開したらどうなるか理解できることが前提。

[fai_fx]

YouTubeの限定公開URLも文字数少なめ。長すぎると手打ち出来なくなる不便がある。ブルートフォース攻撃に対策しているかどうかでかなり違いそう。

[djsouchou]

メモ

[hiro7373]

スライド中でも言及されてたがボット弾く意味ではreCAPTCHA組み合わせたらいいのかな

[yodelx]

"限定公開は機密性が問われるものには基本やらない。強度云々以前に誰かがSNSか何かに流した時点で終わるので。あと有効期限は設定してる" 本当にこれ

[rti7743]

限定公開は仮に偶然アクセスされてもそれほど影響がないコンテンツに限る。他人にアクセスされたら困るものはパスで鍵かけとかないと。ただcookieだって同じトークン認証なんだよな。