Upgrade to Pro — share decks privately, control downloads, hide ads and more …

FIDO2導入してみたを考えてみた / Around The Auth Capy Matsumoto

yoshinori matsumoto
May 26, 2020
Technology
0
120

FIDO2導入してみたを考えてみた / Around The Auth Capy Matsumoto

第2回 Around the Auth ライトニングトークセッション 2020/05/26
https://around-the-auth.peatix.com/?lang=ja

yoshinori matsumoto

May 26, 2020
Tweet

More Decks by yoshinori matsumoto

See All by yoshinori matsumoto
WordPress セキュリティガイド #wpmeetupkyoto / WP Security Guide
ym405nm
6
3.1k
Hack L33t Fighters Ⅱ #owaspsendai
ym405nm
0
200
WordPress保安検査ガイド〜運用可能なセキュリティを始めるために〜 / wpcamp_haneda_security
ym405nm
1
620
CAPYのFIDOへの取り組み / Capy FIDO
ym405nm
0
130
WordPress 管理者がおさえておきたい Web アプリケーションセキュリティ / owasp-wordpress-meetup
ym405nm
1
1.2k
Extreme Honyepotter
ym405nm
0
710
攻撃者からみたWordPressセキュリティ / WordCamp Kansai 2015
ym405nm
8
4.5k
コミュニティ活動からみるPHPセキュリティ / PHP Conference Kansai 2015
ym405nm
0
440

Other Decks in Technology

See All in Technology
「XIAOGYAN」への想い
matsujirushi
0
160
CDK + ecspressoでお手軽コンテナ3分クッキング
yoyoyopg
0
110
無理なく始めるGoでのユニットテストの並行化戦略
shohata
1
350
Turbinando Microsserviços com Distributed Cache
jordihofc
1
330
バクラクのAI-OCR機能の体験を支える良質なデータセット作成の仕組み / data-centric-ai-bakuraku-dataset
yuya4
1
410
Virtual Thread - 導入の背景と、効果的な使い方 -
skrb
2
190
Oracle Database Technology Night #67 Oracle Database High Availability concept
oracle4engineer
PRO
0
590
Web Intelligence and Visual Media Analytics
weblyzard
PRO
1
3.3k
WOFFの紹介
mmclsntr
0
110
Head toward Java 20 and Java 21
line_developers
PRO
0
180
ユーザーストーリーマッピング
kawaguti
PRO
4
850
どうしてもcgoから逃げられなくなったあなたに知ってほしいcgoの使い方入門
sakiengineer
1
730

Featured

See All Featured
Designing on Purpose - Digital PM Summit 2013
jponch
108
6k
How To Stay Up To Date on Web Technology
chriscoyier
779
250k
Adopting Sorbet at Scale
ufuk
66
8k
Music & Morning Musume
bryan
37
4.8k
Building Better People: How to give real-time feedback that sticks.
wjessup
346
18k
Exploring the Power of Turbo Streams & Action Cable | RailsConf2023
kevinliebholz
0
1.4k
Optimizing for Happiness
mojombo
366
66k
GraphQLとの向き合い方2022年版
quramy
23
11k
Building Flexible Design Systems
yeseniaperezcruz
315
35k
Helping Users Find Their Own Way: Creating Modern Search Experiences
danielanewman
13
1.4k
ピンチをチャンスに:未来をつくるプロダクトロードマップ #pmconf2020
aki_iinuma
33
21k
Embracing the Ebb and Flow
colly
76
3.7k

Transcript

  1. Copyright 2019 Capy Inc.ALL RIGHT Reserved
    FIDO2導⼊してみた
    を考えてみた

    View Slide

  2. ▮CapyのFIDO
    1
    2018年11⽉FIDO認定 2019年12⽉FIDO認定
    •JavaScriptを設置するだけで簡単にFIDO UAF(⽣体認
    証)を導⼊ ※ UAFの場合は専⽤アプリを提供
    簡単実装
    •FIDO認証が可能なAndroid端末や、iOSのTouch ID /
    Face ID にも対応
    スマホ対応
    •導⼊コストとランニング費⽤を抑えることが可能
    •⽣体認証の専⽤機器を導⼊する必要なし
    低コスト
    •APIとしてのご利⽤か、SDKとしてのご利⽤か選択可能
    API / SDK
    Capy FIDO ソリューションの主な特徴

    View Slide

  3. ▮事例
    2
    アプリの動作イメージ
    電⼦チケットによる
    チケットレス運⽤
    3⼈制バスケットボールの⼤会にて、電⼦チケットによるチケットレス運⽤
    および⽣体認証による⼊場管理(本⼈確認)の実証実験を⾏いました
    当⽇の会場の様⼦

    View Slide

  4. ▮システム
    3
    利⽤者
    既存のチケット販売サイト(ファンクラブサイト)
    と連携することで、⽣体認証でのログインや本⼈確
    認などに使⽤できます。
    これにより、パスワードリスト攻撃など従来のパス
    ワードを狙った攻撃や、Botによる機械的な購⼊など
    の不正な購⼊を防ぐことができます。
    チケットサイト
    (EC-CUBE)
    ログイン
    購⼊
    ⽣体認証

    View Slide

  5. ▮ECCUBE
    4
    国内のECサイト・ネットショップは⼀体何店舗稼動しているのか︖
    https://ecclab.empowershop.co.jp/archives/38702
    ※楽天などのモール系や、
    BaseなどのASP系は対象外
    ECCUBEは国内シェアNo.1の
    EC専⽤フレームワーク
    ユーザ数が多く、
    古くから広く使われているため
    サイバー攻撃の被害も多く
    報告されている

    View Slide

  6. ▮想定される脅威
    5
    パスワードリスト攻撃
    フィッシングサイト
    脆弱性を狙った攻撃 →今回は対象外。運⽤者は最新版にアップデートを︕
    他サービスで漏えいした情報を元に不正ログインを⾏う
    パスワードを使い回している⼈が狙われる
    ログイン画⾯に偽装したサイトなどでユーザを騙して
    アカウント情報を盗む
    ECCUBEやサーバのミドルウェアの脆弱性を使⽤して、
    サイト改ざんなどを⾏う
    クレジットカード情報を盗む事例も報告されている

    View Slide

  7. ▮(参考)
    6

    View Slide

  8. ▮実施システム
    7
    EC CUBE
    マイページ
    FIDO認証サーバ
    認証
    専⽤アプリ
    JavaScript
    API
    通知
    独⾃プラグイン

    View Slide

  9. ▮昨年の11⽉に IoP Test event に参加しました
    8
    2019 FIDO Tokyo Seminar -
    FIDO認定と国内で初めて開催した
    FIDO相互接続性試験について
    https://www.slideshare.net/FI
    DOAlliance/2019-fido-tokyo-
    seminar-fidofido-203855288

    View Slide

  10. ▮FIDO2の認定を取得しました
    9

    View Slide

  11. ▮実施システム
    10
    EC CUBE
    マイページ
    FIDO認証サーバ
    認証
    専⽤アプリ
    JavaScript
    API
    通知
    独⾃プラグイン
    FIDO2 でやりたい

    View Slide

  12. ▮ECCUBE /w FIDO2 やってみた
    11
    EC CUBE
    FIDO2
    認証サーバ
    認証
    JavaScript
    マイページ
    独⾃プラグイン

    View Slide

  13. ▮当初のもくろみ
    12
    まぁ以前プラグインつくったし、
    JavaScriptちょっといじるくらいで
    いけるやろ
    ヨシ

    View Slide

  14. ▮ECCUBEの脅威(再掲)
    13

    View Slide

  15. ▮当初のもくろみ
    14
    そういや4系触ってなかったな
    最新版「EC-CUBE 4」を正式リリース。2年の開発、準備期間
    を経て、ソフトウェア・開発環境・プラットフォーム、全てが
    充実。理想のECサイトを、より簡単・安⼼・低価格で。
    https://www.ec-cube.net/press/detail.php?press_id=241

    View Slide

  16. ▮当初のもくろみ
    15
    Symfony のバージョンアップ
    プラグイン仕様の⼤幅変更
    →過去のマニュアルが使⽤できない
    ECCUBE4ドキュメントより

    View Slide

  17. ▮ECCUBE4のドキュメント
    16
    攻略本
    ここまできた君なら⼤丈夫︕
    あとは気合いサンプルで乗り切ろう︕

    View Slide

  18. ▮ということで作るの⼤変でした
    17
    EC CUBE
    XHR
    FIDO2
    認証サーバ
    Pixel4
    YubiKey
    など
    登録認証
    ページ
    (プラグインから⽣成)

    View Slide

  19. ▮まとめ・所感
    • FIDOの使⽤により、パスワードリスト攻撃やフィッシング
    対策などに期待される
    • ⼤⼿サイトだけではなく、中⼩規模のECサイトにも簡単に
    導⼊できる
    • 但し、認証/セッションまわりの機能を変更したりするの
    で、アカウントの扱い⽅は慎重にやる必要がある(複数端
    末・失効・クロスオリジン通信まわり)
    • そもそもFIDOサーバの運⽤⼤変
    • もっと簡単に導⼊できるような仕組みがあればいいなと思
    いました(ワンクリックで〜ノンプログラマーでも︕)
    18
    FIDOな相談受け付けております
    https://corp.capy.me/product/fido
    [email protected]

    View Slide