Twilio と Web アプリ 連携におけるセキュリティ

ɹ@shin1x1 2016/02/27 TwilioJP-UG大阪＆AWScean合同勉強会 5XJMJPͱ8FCΞϓϦ  ࿈ܞʹ͓͚ΔηΩϡϦςΟ

https://github.com/shin1x1/twilio-api-security-demo

5XJMJPͱ8FCΞϓϦͷ࿈ܞ

αϯϓϧΞϓϦέʔγϣϯ D .BTBTIJ4IJOCBSB!TIJOY wձһ޲͚ϙΠϯτ؅ཧγεςϜ wి࿩Λ͔͚ΔͱݱࡏͷϙΠϯτ͕ฉ͚Δ wి࿩൪߸Ͱೝূ

D .BTBTIJ4IJOCBSB!TIJOY ి࿩Λ͔͚Δ 図図 - twilio 図図 -
twilio Twilio Webαʔό ձһ YYYYYYYY

D .BTBTIJ4IJOCBSB!TIJOY ి࿩൪߸͕ૹΒΕΔ 図図 - twilio 図図 -
twilio )551ϦΫΤετ  'SPNYYYYYYYY ʢൃ৴ݩి࿩൪߸ʣ

D .BTBTIJ4IJOCBSB!TIJOY ձһೝূ 図図 - twilio 図図 -
twilio YYYYYYͰ%#Λࢀরͯ͠ ձһΛಛఆ͢Δ

D .BTBTIJ4IJOCBSB!TIJOY ৘ใΛ9.-Ͱฦ͢ 図図 - twilio 図図 -
twilio 5XJ.-ʢ9.-ʣΛฦ͢

D .BTBTIJ4IJOCBSB!TIJOY ৘ใΛ5XJ.-Ͱฦ͢ 図図 - twilio 図図 -
twilio 5XJ.-ʢ9.-ʣΛฦ͢ YNMWFSTJPOFODPEJOH65' 3FTQPOTF 4BZWPJDFXPNBOMBOHVBHFKB+1  ླ໦͞ΜͷϙΠϯτ͸ϙΠϯτͰ͢ɻ 4BZ 3FTQPOTF

D .BTBTIJ4IJOCBSB!TIJOY Ի੠Λྲྀ͢ 図図 - twilio 図図 -
twilio Ի੠࠶ੜ

D .BTBTIJ4IJOCBSB!TIJOY σϞ

D .BTBTIJ4IJOCBSB!TIJOY ى͜Γ͏Δ໰୊

D .BTBTIJ4IJOCBSB!TIJOY )551ͷੈք 図図 - twilio 図図 -
twilio Twilio Webαʔό ձһ

D .BTBTIJ4IJOCBSB!TIJOY ِ૷ϦΫΤετ 図図 - twilio 図図 -
twilio ి࿩൪߸Λ 1045

twilio 5XJ.-Λ औಘ

twilio Twilio Webαʔό ձһ DVSME'SPN#  IUUQTFYBNQMFDPNBQJDBMMJOH YNMWFSTJPOFODPEJOH65' 3FTQPOTF 4BZWPJDFXPNBOMBOHVBHFKB+1  ాத͞ΜͷϙΠϯτ͸ϙΠϯτͰ͢ɻ 4BZ 3FTQPOTF

D .BTBTIJ4IJOCBSB!TIJOY 5XJMJPΛِͬͨϦΫΤετ wِ૷ͨ͠ϦΫΤετΛ8FCΞϓϦʹૹ৴ w৘ใऔಘɺૢ࡞ͳͲͷෆਖ਼ར༻ͷՄೳੑ

D .BTBTIJ4IJOCBSB!TIJOY ରࡦ

ِ૷ϦΫΤετରࡦ D .BTBTIJ4IJOCBSB!TIJOY ௨৴ܦ࿏ͷ҉߸Խ ௨৴ݩΛ੍ݶ ϦΫΤετΛݕূ

D .BTBTIJ4IJOCBSB!TIJOY ௨৴ܦ࿏ͷ҉߸Խ w)5514Λར༻͢Δ wࣗݾॺ໊ͷূ໌ॻ͸/( w5-4Λར༻ʢ44-W͸ɺഇࢭ༧ఆʣ

D .BTBTIJ4IJOCBSB!TIJOY 8FCΞϓϦέʔγϣϯͷΤϯυϙΠϯτ IUUQTʹ͢Δ

D .BTBTIJ4IJOCBSB!TIJOY ௨৴ݩΛ੍ݶ w)551#BTJDೝূ%JHFTUೝূ wϢʔβɺύεϫʔυΛ63-ʹؚΊΔ wIUUQTVTFSQBTT!FYBNQMFDPN

D .BTBTIJ4IJOCBSB!TIJOY *1ΞυϨεʹΑΔ੍ݶ͸ʁ https://www.twilio.com/help/faq/twilio-basics/which-ip-addresses-will-twilios-requests-come- from w5XJMJPͷૹ৴ݩ*1ΞυϨε͸ඇެ։ w୅ΘΓʹϦΫΤετͷݕূΛߦ͏ wͲ͏ͯ͠΋ඞཁͳΒ૬ஊ

D .BTBTIJ4IJOCBSB!TIJOY ϦΫΤετͷݕূ ɾ5XJMJP͔ΒͷϦΫΤετͰ͋Δ͜ͱΛ֬ೝ wଥ౰Ͱ͋Ε͹ॲཧΛ࣮ߦ wͦ͏Ͱͳ͚Ε͹ॲཧΛதஅʢΤϥʔʣ

D .BTBTIJ4IJOCBSB!TIJOY )."$4)"ॺ໊ʹΑΔݕূ ɾ95XJMJP4JHOBUVSFϔομ wॴఆͷΞϧΰϦζϜͰॺ໊Λࢉग़ w্هɺ̎ͭΛൺֱͯ͠߹க͢Ε͹PL

95XJMJP4JHOBUVSFϔομ 95XJMJP4JHOBUVSF TOEGBQB2 N11;6MO-L)X

ॺ໊ࢉग़ ɾ63-IUUQTFYBNQMFDPNDBMMJOH ɾ1045ύϥϝʔλʢΩʔͰιʔτʣ  ,FZWBMVF ,FZWBMVF 'SPN IUUQTFYBNQMFDPNDBMMJOH  'SPN ,FZWBMVF,FZWBMVF

ॺ໊ࢉग़ ɾ"VUI5PLFOΛΩʔʹͯ͠ɺ)."$4)"ॺ໊ ɾCBTFͰΤϯίʔυ TOEGBQB2 N11;6MO-L)X IUUQTFYBNQMFDPNDBMMJOH  ,FZWBMVF,FZWBMVF'SPN

ॺ໊͕Ұக͢Δ͔ ੜ੒ͨ͠ॺ໊ TOEGBQB2 N11;6MO-L)X 95XJMJP4JHOBUVSF TOEGBQB2 N11;6MO-L)X ߹க͢ΔͷͰɺ5XJMJP͔ΒͷϦΫΤετͱΈͳ͢

UXJMJPTELʹΑΔݕূ $validator = new Services_Twilio_RequestValidator($authToken);    // ϔομ͔Βॺ໊औಘ $signature =
$request->header('X-Twilio-Signature');    // URL औಘ Request::setTrustedProxies([$request->getClientIp()]);  $url = $request->getUri();    // POST ύϥϝʔλऔಘ $postParameters = $request->input();    // ॺ໊ݕূ if (!$validator->validate($signature, $url, $postParameters)) {  // OK  } else {  // NG  }

·ͱΊ D .BTBTIJ4IJOCBSB!TIJOY w5XJMJPͱ8FCΞϓϦέʔγϣϯ͸  )551 4 Ͱ࿈ܞ wِ૷ϦΫΤετ͕ૹ৴͞ΕΔ͜ͱΛҙࣝ w5XJMJPެࣜυΩϡϝϯτΛࢀߟʹ https://jp.twilio.com/docs/api/security

Twilio と Web アプリ 連携におけるセキュリティ

Twilio と Web アプリ 連携におけるセキュリティ

shin1x1

More Decks by shin1x1

Other Decks in Technology

Featured

Transcript

ɹ@shin1x1 2016/02/27 TwilioJP-UG大阪＆AWScean合同勉強会 5XJMJPͱ8FCΞϓϦ  ࿈ܞʹ͓͚ΔηΩϡϦςΟ

https://github.com/shin1x1/twilio-api-security-demo

5XJMJPͱ8FCΞϓϦͷ࿈ܞ

αϯϓϧΞϓϦέʔγϣϯ D .BTBTIJ4IJOCBSB!TIJOY wձһ޲͚ϙΠϯτ؅ཧγεςϜ wి࿩Λ͔͚ΔͱݱࡏͷϙΠϯτ͕ฉ͚Δ wి࿩൪߸Ͱೝূ

D .BTBTIJ4IJOCBSB!TIJOY ి࿩Λ͔͚Δ 図図 - twilio 図図 -

D .BTBTIJ4IJOCBSB!TIJOY ి࿩൪߸͕ૹΒΕΔ 図図 - twilio 図図 -

D .BTBTIJ4IJOCBSB!TIJOY ձһೝূ 図図 - twilio 図図 -

D .BTBTIJ4IJOCBSB!TIJOY ৘ใΛ9.-Ͱฦ͢ 図図 - twilio 図図 -

D .BTBTIJ4IJOCBSB!TIJOY ৘ใΛ5XJ.-Ͱฦ͢ 図図 - twilio 図図 -

D .BTBTIJ4IJOCBSB!TIJOY Ի੠Λྲྀ͢ 図図 - twilio 図図 -

D .BTBTIJ4IJOCBSB!TIJOY σϞ

D .BTBTIJ4IJOCBSB!TIJOY ى͜Γ͏Δ໰୊

D .BTBTIJ4IJOCBSB!TIJOY )551ͷੈք 図図 - twilio 図図 -

D .BTBTIJ4IJOCBSB!TIJOY ِ૷ϦΫΤετ 図図 - twilio 図図 -

D .BTBTIJ4IJOCBSB!TIJOY ِ૷ϦΫΤετ 図図 - twilio 図図 -

D .BTBTIJ4IJOCBSB!TIJOY ِ૷ϦΫΤετ 図図 - twilio 図図 -

D .BTBTIJ4IJOCBSB!TIJOY 5XJMJPΛِͬͨϦΫΤετ wِ૷ͨ͠ϦΫΤετΛ8FCΞϓϦʹૹ৴ w৘ใऔಘɺૢ࡞ͳͲͷෆਖ਼ར༻ͷՄೳੑ

D .BTBTIJ4IJOCBSB!TIJOY ରࡦ

ِ૷ϦΫΤετରࡦ D .BTBTIJ4IJOCBSB!TIJOY ௨৴ܦ࿏ͷ҉߸Խ ௨৴ݩΛ੍ݶ ϦΫΤετΛݕূ

D .BTBTIJ4IJOCBSB!TIJOY ௨৴ܦ࿏ͷ҉߸Խ w)5514Λར༻͢Δ wࣗݾॺ໊ͷূ໌ॻ͸/( w5-4Λར༻ʢ44-W͸ɺഇࢭ༧ఆʣ

D .BTBTIJ4IJOCBSB!TIJOY 8FCΞϓϦέʔγϣϯͷΤϯυϙΠϯτ IUUQTʹ͢Δ

D .BTBTIJ4IJOCBSB!TIJOY ௨৴ݩΛ੍ݶ w)551#BTJDೝূ%JHFTUೝূ wϢʔβɺύεϫʔυΛ63-ʹؚΊΔ wIUUQTVTFSQBTT!FYBNQMFDPN

D .BTBTIJ4IJOCBSB!TIJOY 1ΞυϨεʹΑΔ੍ݶ͸ʁ https://www.twilio.com/help/faq/twilio-basics/which-ip-addresses-will-twilios-requests-come- from w5XJMJPͷૹ৴ݩ1ΞυϨε͸ඇެ։ w୅ΘΓʹϦΫΤετͷݕূΛߦ͏ wͲ͏ͯ͠΋ඞཁͳΒ૬ஊ

D .BTBTIJ4IJOCBSB!TIJOY ϦΫΤετͷݕূ ɾ5XJMJP͔ΒͷϦΫΤετͰ͋Δ͜ͱΛ֬ೝ wଥ౰Ͱ͋Ε͹ॲཧΛ࣮ߦ wͦ͏Ͱͳ͚Ε͹ॲཧΛதஅʢΤϥʔʣ

D .BTBTIJ4IJOCBSB!TIJOY )."$4)"ॺ໊ʹΑΔݕূ ɾ95XJMJP4JHOBUVSFϔομ wॴఆͷΞϧΰϦζϜͰॺ໊Λࢉग़ w্هɺ̎ͭΛൺֱͯ͠߹க͢Ε͹PL

95XJMJP4JHOBUVSFϔομ 95XJMJP4JHOBUVSF TOEGBQB2 N11;6MO-L)X

ॺ໊ࢉग़ ɾ63-IUUQTFYBNQMFDPNDBMMJOH ɾ1045ύϥϝʔλʢΩʔͰιʔτʣ  ,FZWBMVF ,FZWBMVF 'SPN IUUQTFYBNQMFDPNDBMMJOH  'SPN ,FZWBMVF,FZWBMVF

ॺ໊ࢉग़ ɾ"VUI5PLFOΛΩʔʹͯ͠ɺ)."$4)"ॺ໊ ɾCBTFͰΤϯίʔυ TOEGBQB2 N11;6MO-L)X IUUQTFYBNQMFDPNDBMMJOH  ,FZWBMVF,FZWBMVF'SPN

ॺ໊͕Ұக͢Δ͔ ੜ੒ͨ͠ॺ໊ TOEGBQB2 N11;6MO-L)X 95XJMJP4JHOBUVSF TOEGBQB2 N11;6MO-L)X ߹க͢ΔͷͰɺ5XJMJP͔ΒͷϦΫΤετͱΈͳ͢

UXJMJPTELʹΑΔݕূ $validator = new Services_Twilio_RequestValidator($authToken);    // ϔομ͔Βॺ໊औಘ $signature =

·ͱΊ D .BTBTIJ4IJOCBSB!TIJOY w5XJMJPͱ8FCΞϓϦέʔγϣϯ͸  )551 4 Ͱ࿈ܞ wِ૷ϦΫΤετ͕ૹ৴͞ΕΔ͜ͱΛҙࣝ w5XJMJPެࣜυΩϡϝϯτΛࢀߟʹ https://jp.twilio.com/docs/api/security

Twilio と Web アプリ 連携におけるセキュリティ

Twilio と Web アプリ 連携におけるセキュリティ

More Decks by shin1x1

Other Decks in Technology

Featured

Transcript

Twilio と Web アプリ 連携におけるセキュリティ

Twilio と Web アプリ 連携におけるセキュリティ