Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
FIDO2導入してみたを考えてみた / Around The Auth Capy Matsumoto
Search
Sponsored
·
SiteGround - Reliable hosting with speed, security, and support you can count on.
→
yoshinori matsumoto
May 26, 2020
Technology
0
320
FIDO2導入してみたを考えてみた / Around The Auth Capy Matsumoto
第2回 Around the Auth ライトニングトークセッション 2020/05/26
https://around-the-auth.peatix.com/?lang=ja
yoshinori matsumoto
May 26, 2020
Tweet
Share
More Decks by yoshinori matsumoto
See All by yoshinori matsumoto
WordPress セキュリティガイド #wpmeetupkyoto / WP Security Guide
ym405nm
6
3.5k
Hack L33t Fighters Ⅱ #owaspsendai
ym405nm
0
400
WordPress保安検査ガイド〜運用可能なセキュリティを始めるために〜 / wpcamp_haneda_security
ym405nm
1
720
CAPYのFIDOへの取り組み / Capy FIDO
ym405nm
0
190
WordPress 管理者がおさえておきたい Web アプリケーションセキュリティ / owasp-wordpress-meetup
ym405nm
1
1.7k
Extreme Honyepotter
ym405nm
0
870
攻撃者からみたWordPressセキュリティ / WordCamp Kansai 2015
ym405nm
8
5.2k
コミュニティ活動からみるPHPセキュリティ / PHP Conference Kansai 2015
ym405nm
0
590
Other Decks in Technology
See All in Technology
ThetaOS - A Mythical Machine comes Alive
aslander
0
140
PostgreSQL 18のNOT ENFORCEDな制約とDEFERRABLEの関係
yahonda
0
110
20260320_JaSST26_Tokyo_登壇資料.pdf
mura_shin
0
120
Phase05_ClaudeCode入門
overflowinc
0
1.9k
CloudFrontのHost Header転送設定でパケットの中身はどう変わるのか?
nagisa53
1
130
「通るまでRe-run」から卒業!落ちないテストを書く勘所
asumikam
2
470
FastMCP OAuth Proxy with Cognito
hironobuiga
3
170
新規事業×QAの挑戦:不確実性を乗りこなす!フェーズごとに求められるQAの役割変革
hacomono
PRO
0
180
AIエージェント×GitHubで実現するQAナレッジの資産化と業務活用 / QA Knowledge as Assets with AI Agents & GitHub
tknw_hitsuji
0
200
FlutterでPiP再生を実装した話
s9a17
0
130
LINEヤフーにおけるAIOpsの現在地
lycorptech_jp
PRO
5
2.2k
欠陥分析(ODC分析)における生成AIの活用プロセスと実践事例 / 20260320 Suguru Ishii & Naoki Yamakoshi & Mayu Yoshizawa
shift_evolve
PRO
0
360
Featured
See All Featured
職位にかかわらず全員がリーダーシップを発揮するチーム作り / Building a team where everyone can demonstrate leadership regardless of position
madoxten
62
52k
SEO Brein meetup: CTRL+C is not how to scale international SEO
lindahogenes
1
2.5k
Effective software design: The role of men in debugging patriarchy in IT @ Voxxed Days AMS
baasie
0
260
Breaking role norms: Why Content Design is so much more than writing copy - Taylor Woolridge
uxyall
0
220
Data-driven link building: lessons from a $708K investment (BrightonSEO talk)
szymonslowik
1
980
Noah Learner - AI + Me: how we built a GSC Bulk Export data pipeline
techseoconnect
PRO
0
150
Docker and Python
trallard
47
3.8k
Public Speaking Without Barfing On Your Shoes - THAT 2023
reverentgeek
1
340
Gemini Prompt Engineering: Practical Techniques for Tangible AI Outcomes
mfonobong
2
330
<Decoding/> the Language of Devs - We Love SEO 2024
nikkihalliwell
1
160
Sharpening the Axe: The Primacy of Toolmaking
bcantrill
46
2.7k
sira's awesome portfolio website redesign presentation
elsirapls
0
200
Transcript
Copyright 2019 Capy Inc.ALL RIGHT Reserved FIDO2導⼊してみた を考えてみた
▮CapyのFIDO 1 2018年11⽉FIDO認定 2019年12⽉FIDO認定 •JavaScriptを設置するだけで簡単にFIDO UAF(⽣体認 証)を導⼊ ※ UAFの場合は専⽤アプリを提供 簡単実装
•FIDO認証が可能なAndroid端末や、iOSのTouch ID / Face ID にも対応 スマホ対応 •導⼊コストとランニング費⽤を抑えることが可能 •⽣体認証の専⽤機器を導⼊する必要なし 低コスト •APIとしてのご利⽤か、SDKとしてのご利⽤か選択可能 API / SDK Capy FIDO ソリューションの主な特徴
▮事例 2 アプリの動作イメージ 電⼦チケットによる チケットレス運⽤ 3⼈制バスケットボールの⼤会にて、電⼦チケットによるチケットレス運⽤ および⽣体認証による⼊場管理(本⼈確認)の実証実験を⾏いました 当⽇の会場の様⼦
▮システム 3 利⽤者 既存のチケット販売サイト(ファンクラブサイト) と連携することで、⽣体認証でのログインや本⼈確 認などに使⽤できます。 これにより、パスワードリスト攻撃など従来のパス ワードを狙った攻撃や、Botによる機械的な購⼊など の不正な購⼊を防ぐことができます。 チケットサイト
(EC-CUBE) ログイン 購⼊ ⽣体認証
▮ECCUBE 4 国内のECサイト・ネットショップは⼀体何店舗稼動しているのか︖ https://ecclab.empowershop.co.jp/archives/38702 ※楽天などのモール系や、 BaseなどのASP系は対象外 ECCUBEは国内シェアNo.1の EC専⽤フレームワーク ユーザ数が多く、 古くから広く使われているため
サイバー攻撃の被害も多く 報告されている
▮想定される脅威 5 パスワードリスト攻撃 フィッシングサイト 脆弱性を狙った攻撃 →今回は対象外。運⽤者は最新版にアップデートを︕ 他サービスで漏えいした情報を元に不正ログインを⾏う パスワードを使い回している⼈が狙われる ログイン画⾯に偽装したサイトなどでユーザを騙して アカウント情報を盗む
ECCUBEやサーバのミドルウェアの脆弱性を使⽤して、 サイト改ざんなどを⾏う クレジットカード情報を盗む事例も報告されている
▮(参考) 6
▮実施システム 7 EC CUBE マイページ FIDO認証サーバ 認証 専⽤アプリ JavaScript API
通知 独⾃プラグイン
▮昨年の11⽉に IoP Test event に参加しました 8 2019 FIDO Tokyo Seminar
- FIDO認定と国内で初めて開催した FIDO相互接続性試験について https://www.slideshare.net/FI DOAlliance/2019-fido-tokyo- seminar-fidofido-203855288
▮FIDO2の認定を取得しました 9
▮実施システム 10 EC CUBE マイページ FIDO認証サーバ 認証 専⽤アプリ JavaScript API
通知 独⾃プラグイン FIDO2 でやりたい
▮ECCUBE /w FIDO2 やってみた 11 EC CUBE FIDO2 認証サーバ 認証
JavaScript マイページ 独⾃プラグイン
▮当初のもくろみ 12 まぁ以前プラグインつくったし、 JavaScriptちょっといじるくらいで いけるやろ ヨシ
▮ECCUBEの脅威(再掲) 13
▮当初のもくろみ 14 そういや4系触ってなかったな 最新版「EC-CUBE 4」を正式リリース。2年の開発、準備期間 を経て、ソフトウェア・開発環境・プラットフォーム、全てが 充実。理想のECサイトを、より簡単・安⼼・低価格で。 https://www.ec-cube.net/press/detail.php?press_id=241
▮当初のもくろみ 15 Symfony のバージョンアップ プラグイン仕様の⼤幅変更 →過去のマニュアルが使⽤できない ECCUBE4ドキュメントより
▮ECCUBE4のドキュメント 16 攻略本 ここまできた君なら⼤丈夫︕ あとは気合いサンプルで乗り切ろう︕
▮ということで作るの⼤変でした 17 EC CUBE XHR FIDO2 認証サーバ Pixel4 YubiKey など
登録認証 ページ (プラグインから⽣成)
▮まとめ・所感 • FIDOの使⽤により、パスワードリスト攻撃やフィッシング 対策などに期待される • ⼤⼿サイトだけではなく、中⼩規模のECサイトにも簡単に 導⼊できる • 但し、認証/セッションまわりの機能を変更したりするの で、アカウントの扱い⽅は慎重にやる必要がある(複数端
末・失効・クロスオリジン通信まわり) • そもそもFIDOサーバの運⽤⼤変 • もっと簡単に導⼊できるような仕組みがあればいいなと思 いました(ワンクリックで〜ノンプログラマーでも︕) 18 FIDOな相談受け付けております https://corp.capy.me/product/fido
[email protected]
SiteGround - Reliable hosting with speed, security, and support you can count on.
ym405nm
aslander
yahonda
mura_shin
overflowinc
nagisa53
asumikam
hironobuiga
hacomono
tknw_hitsuji
s9a17
lycorptech_jp
shift_evolve
madoxten
lindahogenes
baasie
uxyall
szymonslowik
techseoconnect
trallard
reverentgeek
mfonobong
nikkihalliwell
bcantrill
elsirapls
