$30 off During Our Annual Pro Sale. View Details »

FIDO2導入してみたを考えてみた / Around The Auth Capy Matsumoto

yoshinori matsumoto
May 26, 2020
Technology
0
130

FIDO2導入してみたを考えてみた / Around The Auth Capy Matsumoto

第2回 Around the Auth ライトニングトークセッション 2020/05/26
https://around-the-auth.peatix.com/?lang=ja

yoshinori matsumoto

May 26, 2020
Tweet

More Decks by yoshinori matsumoto

See All by yoshinori matsumoto
WordPress セキュリティガイド #wpmeetupkyoto / WP Security Guide
ym405nm
6
3.2k
Hack L33t Fighters Ⅱ #owaspsendai
ym405nm
0
210
WordPress保安検査ガイド〜運用可能なセキュリティを始めるために〜 / wpcamp_haneda_security
ym405nm
1
630
CAPYのFIDOへの取り組み / Capy FIDO
ym405nm
0
140
WordPress 管理者がおさえておきたい Web アプリケーションセキュリティ / owasp-wordpress-meetup
ym405nm
1
1.3k
Extreme Honyepotter
ym405nm
0
720
攻撃者からみたWordPressセキュリティ / WordCamp Kansai 2015
ym405nm
8
4.6k
コミュニティ活動からみるPHPセキュリティ / PHP Conference Kansai 2015
ym405nm
0
450

Other Decks in Technology

See All in Technology
Oracle Cloud Infrastructure データベース・クラウド:各バージョンのサポート期間
oracle4engineer
PRO
6
5.1k
コロプラ_SRE_LCE_ゲームバックエンド_性能との戦い
colopl
0
130
お客様、そこは秘孔です!突かないでください! HTTP/2 Rapid reset の概要と対策
murachiakira
0
140
Railsアプリをコスパよく読むための環境整備
ikumatadokoro
1
130
Rest Clientユーザーの自分がPostman の VS Code拡張機能を扱ってみた感想
smt7174
0
110
機械学習システム構築実践ガイド
shibuiwilliam
0
250
第21回Ques シフトレフトにおけるシナリオテストの適用事例
moritamasami
1
380
SOLID Is Dead, Long Live SOLID
lemiorhan
2
180
Kuma UIのこれまでとこれから
poteboy
5
3k
「極意本」サンプルコードをクラウド上で動かそう
upura
0
170
フロントエンドリアーキテクチャリングと開発チームのスキルトランスファーにおける9ヶ月間の奮闘記
wakamsha
5
3.9k
開発生産性大幅アップ!Postman VS Code拡張機能
nagix
0
110

Featured

See All Featured
5 minutes of I Can Smell Your CMS
philhawksworth
199
19k
Creating an realtime collaboration tool: Agile Flush - .NET Oxford
marcduiker
10
1.2k
In The Pink: A Labor of Love
frogandcode
135
21k
Building Effective Engineering Teams - LeadDev
addyosmani
22
1.2k
Fashionably flexible responsive web design (full day workshop)
malarkey
396
64k
Design by the Numbers
sachag
272
18k
Statistics for Hackers
jakevdp
787
220k
How to Ace a Technical Interview
jacobian
272
22k
Stop Working from a Prison Cell
hatefulcrawdad
264
18k
How To Stay Up To Date on Web Technology
chriscoyier
780
250k
Easily Structure & Communicate Ideas using Wireframe
afnizarnur
185
15k
GraphQLとの向き合い方2022年版
quramy
26
12k

Transcript

  1. Copyright 2019 Capy Inc.ALL RIGHT Reserved
    FIDO2導⼊してみた
    を考えてみた

    View Slide

  2. ▮CapyのFIDO
    1
    2018年11⽉FIDO認定 2019年12⽉FIDO認定
    •JavaScriptを設置するだけで簡単にFIDO UAF(⽣体認
    証)を導⼊ ※ UAFの場合は専⽤アプリを提供
    簡単実装
    •FIDO認証が可能なAndroid端末や、iOSのTouch ID /
    Face ID にも対応
    スマホ対応
    •導⼊コストとランニング費⽤を抑えることが可能
    •⽣体認証の専⽤機器を導⼊する必要なし
    低コスト
    •APIとしてのご利⽤か、SDKとしてのご利⽤か選択可能
    API / SDK
    Capy FIDO ソリューションの主な特徴

    View Slide

  3. ▮事例
    2
    アプリの動作イメージ
    電⼦チケットによる
    チケットレス運⽤
    3⼈制バスケットボールの⼤会にて、電⼦チケットによるチケットレス運⽤
    および⽣体認証による⼊場管理(本⼈確認)の実証実験を⾏いました
    当⽇の会場の様⼦

    View Slide

  4. ▮システム
    3
    利⽤者
    既存のチケット販売サイト(ファンクラブサイト)
    と連携することで、⽣体認証でのログインや本⼈確
    認などに使⽤できます。
    これにより、パスワードリスト攻撃など従来のパス
    ワードを狙った攻撃や、Botによる機械的な購⼊など
    の不正な購⼊を防ぐことができます。
    チケットサイト
    (EC-CUBE)
    ログイン
    購⼊
    ⽣体認証

    View Slide

  5. ▮ECCUBE
    4
    国内のECサイト・ネットショップは⼀体何店舗稼動しているのか︖
    https://ecclab.empowershop.co.jp/archives/38702
    ※楽天などのモール系や、
    BaseなどのASP系は対象外
    ECCUBEは国内シェアNo.1の
    EC専⽤フレームワーク
    ユーザ数が多く、
    古くから広く使われているため
    サイバー攻撃の被害も多く
    報告されている

    View Slide

  6. ▮想定される脅威
    5
    パスワードリスト攻撃
    フィッシングサイト
    脆弱性を狙った攻撃 →今回は対象外。運⽤者は最新版にアップデートを︕
    他サービスで漏えいした情報を元に不正ログインを⾏う
    パスワードを使い回している⼈が狙われる
    ログイン画⾯に偽装したサイトなどでユーザを騙して
    アカウント情報を盗む
    ECCUBEやサーバのミドルウェアの脆弱性を使⽤して、
    サイト改ざんなどを⾏う
    クレジットカード情報を盗む事例も報告されている

    View Slide

  7. ▮(参考)
    6

    View Slide

  8. ▮実施システム
    7
    EC CUBE
    マイページ
    FIDO認証サーバ
    認証
    専⽤アプリ
    JavaScript
    API
    通知
    独⾃プラグイン

    View Slide

  9. ▮昨年の11⽉に IoP Test event に参加しました
    8
    2019 FIDO Tokyo Seminar -
    FIDO認定と国内で初めて開催した
    FIDO相互接続性試験について
    https://www.slideshare.net/FI
    DOAlliance/2019-fido-tokyo-
    seminar-fidofido-203855288

    View Slide

  10. ▮FIDO2の認定を取得しました
    9

    View Slide

  11. ▮実施システム
    10
    EC CUBE
    マイページ
    FIDO認証サーバ
    認証
    専⽤アプリ
    JavaScript
    API
    通知
    独⾃プラグイン
    FIDO2 でやりたい

    View Slide

  12. ▮ECCUBE /w FIDO2 やってみた
    11
    EC CUBE
    FIDO2
    認証サーバ
    認証
    JavaScript
    マイページ
    独⾃プラグイン

    View Slide

  13. ▮当初のもくろみ
    12
    まぁ以前プラグインつくったし、
    JavaScriptちょっといじるくらいで
    いけるやろ
    ヨシ

    View Slide

  14. ▮ECCUBEの脅威(再掲)
    13

    View Slide

  15. ▮当初のもくろみ
    14
    そういや4系触ってなかったな
    最新版「EC-CUBE 4」を正式リリース。2年の開発、準備期間
    を経て、ソフトウェア・開発環境・プラットフォーム、全てが
    充実。理想のECサイトを、より簡単・安⼼・低価格で。
    https://www.ec-cube.net/press/detail.php?press_id=241

    View Slide

  16. ▮当初のもくろみ
    15
    Symfony のバージョンアップ
    プラグイン仕様の⼤幅変更
    →過去のマニュアルが使⽤できない
    ECCUBE4ドキュメントより

    View Slide

  17. ▮ECCUBE4のドキュメント
    16
    攻略本
    ここまできた君なら⼤丈夫︕
    あとは気合いサンプルで乗り切ろう︕

    View Slide

  18. ▮ということで作るの⼤変でした
    17
    EC CUBE
    XHR
    FIDO2
    認証サーバ
    Pixel4
    YubiKey
    など
    登録認証
    ページ
    (プラグインから⽣成)

    View Slide

  19. ▮まとめ・所感
    • FIDOの使⽤により、パスワードリスト攻撃やフィッシング
    対策などに期待される
    • ⼤⼿サイトだけではなく、中⼩規模のECサイトにも簡単に
    導⼊できる
    • 但し、認証/セッションまわりの機能を変更したりするの
    で、アカウントの扱い⽅は慎重にやる必要がある(複数端
    末・失効・クロスオリジン通信まわり)
    • そもそもFIDOサーバの運⽤⼤変
    • もっと簡単に導⼊できるような仕組みがあればいいなと思
    いました(ワンクリックで〜ノンプログラマーでも︕)
    18
    FIDOな相談受け付けております
    https://corp.capy.me/product/fido
    [email protected]

    View Slide