Webアプリケーションのログイン画面のセキュリティについて
WEBアプリケーションのセキュリティチェック項目の中に、 ログイン画面でアカウントの存在有無を検知されないこと という項目がありますよね。 例えば、 認証に失敗したとき、アカウントの存在有無によってエラーメッセージを変えるな ハッシュ化されたパスワードの検証で、アカウントの存在有無によって応答時間を変えるな とか、そういう指摘を受けることがあります。 でも、最近の大手サービスでも、アカウント名とパスワードが同じ画面にあるのではなく、まずはアカウント名を入力して次の画面でパスワードを入力させるというパターンが増えています。 これって最初に書いた「ログイン画面でアカウントの存在有無を検知されないこと」に反していると思いますが、なぜAmazon, Google等のサービスではこのような設計が許容されているのでしょうか?
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
デフォルトゲートウェイにpingが通らない
DNSの設定が反映されない
オンプレ環境からの移行についてアドバイスいただきたいです
ラズパイ4B の起動時認証ユーザの変更方法がわかりません。
APIキーの扱いに関して
EC2(RHEL)Linuxで利用する為のtelnetパッケージをローカル環境(Windows)にインストールしてS3にアップしたい
インフラ資格持ち、未経験エンジニアはインフラエンジニアかプログラマか
pythonを使って線の数を数えたい
SES企業に就職する理由
【React】useStateフックで管理されていない関数が引数をとって関数のように振る舞うことができるのはなぜでしょうか?
パスワード剽窃防止で
MySQLでランダムなn文字を入れたいのですが、良いコードはございませんでしょうか?
イントラ端末上での社内向けWebアプリ開発について
メールアドレスの暗号化は必要でしょうか?
シェルがジョブ制御のためにプロセス生成時にしていることの確認
リンクを踏んだだけで感染するコンピュータウイルスはあるか
h1要素は1つであるべきという理由について
特殊文字\rは環境依存で結果が変わるのか
ログインつきサイトのスクレイピング