Upgrade to Pro — share decks privately, control downloads, hide ads and more …

FIDO2導入してみたを考えてみた / Around The Auth Capy Matsumoto

Avatar for yoshinori matsumoto yoshinori matsumoto
May 26, 2020
Technology
0
310

FIDO2導入してみたを考えてみた / Around The Auth Capy Matsumoto

第2回 Around the Auth ライトニングトークセッション 2020/05/26
https://around-the-auth.peatix.com/?lang=ja

Avatar for yoshinori matsumoto

yoshinori matsumoto

May 26, 2020
Tweet

More Decks by yoshinori matsumoto

See All by yoshinori matsumoto
WordPress セキュリティガイド #wpmeetupkyoto / WP Security Guide
Avatar for yoshinori matsumoto ym405nm
6
3.5k
Hack L33t Fighters Ⅱ #owaspsendai
Avatar for yoshinori matsumoto ym405nm
0
380
WordPress保安検査ガイド〜運用可能なセキュリティを始めるために〜 / wpcamp_haneda_security
Avatar for yoshinori matsumoto ym405nm
1
710
CAPYのFIDOへの取り組み / Capy FIDO
Avatar for yoshinori matsumoto ym405nm
0
190
WordPress 管理者がおさえておきたい Web アプリケーションセキュリティ / owasp-wordpress-meetup
Avatar for yoshinori matsumoto ym405nm
1
1.7k
Extreme Honyepotter
Avatar for yoshinori matsumoto ym405nm
0
870
攻撃者からみたWordPressセキュリティ / WordCamp Kansai 2015
Avatar for yoshinori matsumoto ym405nm
8
5.1k
コミュニティ活動からみるPHPセキュリティ / PHP Conference Kansai 2015
Avatar for yoshinori matsumoto ym405nm
0
580

Other Decks in Technology

See All in Technology
All About Sansan – for New Global Engineers
Avatar for Sansan, Inc. sansan33
PRO
1
1.3k
小さく始めるBCP ― 多プロダクト環境で始める最初の一歩
Avatar for kekke-n kekke_n
0
100
クレジットカード決済基盤を支えるSRE - 厳格な監査とSRE運用の両立 (SRE Kaigi 2026)
Avatar for capytan capytan
1
430
予期せぬコストの急増を障害のように扱う――「コスト版ポストモーテム」の導入とその後の改善
Avatar for Masahiro Yoshizawa muziyoshiz
0
120
開発メンバーが語るFindy Conferenceの裏側とこれから
Avatar for sontixyou sontixyou
2
400
最速で価値を出すための プロダクトエンジニアのツッコミ術
Avatar for Kazuto Ohara kaacun
1
420
Werner Vogelsが14年間 問い続けてきたこと
Avatar for Yusuke Shimizu yusukeshimizu
2
260
MySQLのJSON機能の活用術
Avatar for mikoma ikomachi226
0
120
AI時代、1年目エンジニアの悩み
Avatar for JINYOUNG KIM jin4
1
130
あたらしい上流工程の形。 0日導入からはじめるAI駆動PM
Avatar for 熊井悠 kumaiu
4
600
セキュリティ はじめの一歩
Avatar for nikinusu nikinusu
0
1.3k
Mosaic AI Gatewayでコーディングエージェントを配るための運用Tips / JEDAI 2026 新春 Meetup! AIコーディング特集
Avatar for GENDA genda
0
130

Featured

See All Featured
How STYLIGHT went responsive
Avatar for nonsquared nonsquared
100
6k
Heart Work Chapter 1 - Part 1
Avatar for Lake Fama lfama
PRO
5
35k
Bootstrapping a Software Product
Avatar for Garrett Dimon garrettdimon
PRO
307
120k
Writing Fast Ruby
Avatar for Erik Berlin sferik
630
62k
Stewardship and Sustainability of Urban and Community Forests
Avatar for Eric Wiseman pwiseman
0
110
Are puppies a ranking factor?
Avatar for Jono Alderson jonoalderson
1
2.7k
Hiding What from Whom? A Critical Review of the History of Programming languages for Music
Avatar for Tomoya Matsuura tomoyanonymous
2
390
Claude Code どこまでも/ Claude Code Everywhere
Avatar for nwiizo nwiizo
61
52k
Tell your own story through comics
Avatar for letsgokoyo letsgokoyo
1
800
[RailsConf 2023 Opening Keynote] The Magic of Rails
Avatar for Eileen M. Uchitelle eileencodes
31
9.9k
Building Better People: How to give real-time feedback that sticks.
Avatar for Will Jessup wjessup
370
20k
How to Create Impact in a Changing Tech Landscape [PerfNow 2023]
Avatar for Tammy Everts tammyeverts
55
3.2k

Transcript

  1. Copyright 2019 Capy Inc.ALL RIGHT Reserved FIDO2導⼊してみた を考えてみた

  2. ▮CapyのFIDO 1 2018年11⽉FIDO認定 2019年12⽉FIDO認定 •JavaScriptを設置するだけで簡単にFIDO UAF(⽣体認 証)を導⼊ ※ UAFの場合は専⽤アプリを提供 簡単実装

    •FIDO認証が可能なAndroid端末や、iOSのTouch ID / Face ID にも対応 スマホ対応 •導⼊コストとランニング費⽤を抑えることが可能 •⽣体認証の専⽤機器を導⼊する必要なし 低コスト •APIとしてのご利⽤か、SDKとしてのご利⽤か選択可能 API / SDK Capy FIDO ソリューションの主な特徴

  3. ▮事例 2 アプリの動作イメージ 電⼦チケットによる チケットレス運⽤ 3⼈制バスケットボールの⼤会にて、電⼦チケットによるチケットレス運⽤ および⽣体認証による⼊場管理(本⼈確認)の実証実験を⾏いました 当⽇の会場の様⼦

  4. ▮システム 3 利⽤者 既存のチケット販売サイト(ファンクラブサイト) と連携することで、⽣体認証でのログインや本⼈確 認などに使⽤できます。 これにより、パスワードリスト攻撃など従来のパス ワードを狙った攻撃や、Botによる機械的な購⼊など の不正な購⼊を防ぐことができます。 チケットサイト

    (EC-CUBE) ログイン 購⼊ ⽣体認証

  5. ▮ECCUBE 4 国内のECサイト・ネットショップは⼀体何店舗稼動しているのか︖ https://ecclab.empowershop.co.jp/archives/38702 ※楽天などのモール系や、 BaseなどのASP系は対象外 ECCUBEは国内シェアNo.1の EC専⽤フレームワーク ユーザ数が多く、 古くから広く使われているため

    サイバー攻撃の被害も多く 報告されている

  6. ▮想定される脅威 5 パスワードリスト攻撃 フィッシングサイト 脆弱性を狙った攻撃 →今回は対象外。運⽤者は最新版にアップデートを︕ 他サービスで漏えいした情報を元に不正ログインを⾏う パスワードを使い回している⼈が狙われる ログイン画⾯に偽装したサイトなどでユーザを騙して アカウント情報を盗む

    ECCUBEやサーバのミドルウェアの脆弱性を使⽤して、 サイト改ざんなどを⾏う クレジットカード情報を盗む事例も報告されている

  7. ▮(参考) 6

  8. ▮実施システム 7 EC CUBE マイページ FIDO認証サーバ 認証 専⽤アプリ JavaScript API

    通知 独⾃プラグイン

  9. ▮昨年の11⽉に IoP Test event に参加しました 8 2019 FIDO Tokyo Seminar

    - FIDO認定と国内で初めて開催した FIDO相互接続性試験について https://www.slideshare.net/FI DOAlliance/2019-fido-tokyo- seminar-fidofido-203855288

  10. ▮FIDO2の認定を取得しました 9

  11. ▮実施システム 10 EC CUBE マイページ FIDO認証サーバ 認証 専⽤アプリ JavaScript API

    通知 独⾃プラグイン FIDO2 でやりたい

  12. ▮ECCUBE /w FIDO2 やってみた 11 EC CUBE FIDO2 認証サーバ 認証

    JavaScript マイページ 独⾃プラグイン

  13. ▮当初のもくろみ 12 まぁ以前プラグインつくったし、 JavaScriptちょっといじるくらいで いけるやろ ヨシ

  14. ▮ECCUBEの脅威(再掲) 13

  15. ▮当初のもくろみ 14 そういや4系触ってなかったな 最新版「EC-CUBE 4」を正式リリース。2年の開発、準備期間 を経て、ソフトウェア・開発環境・プラットフォーム、全てが 充実。理想のECサイトを、より簡単・安⼼・低価格で。 https://www.ec-cube.net/press/detail.php?press_id=241

  16. ▮当初のもくろみ 15 Symfony のバージョンアップ プラグイン仕様の⼤幅変更 →過去のマニュアルが使⽤できない ECCUBE4ドキュメントより

  17. ▮ECCUBE4のドキュメント 16 攻略本 ここまできた君なら⼤丈夫︕ あとは気合いサンプルで乗り切ろう︕

  18. ▮ということで作るの⼤変でした 17 EC CUBE XHR FIDO2 認証サーバ Pixel4 YubiKey など

    登録認証 ページ (プラグインから⽣成)

  19. ▮まとめ・所感 • FIDOの使⽤により、パスワードリスト攻撃やフィッシング 対策などに期待される • ⼤⼿サイトだけではなく、中⼩規模のECサイトにも簡単に 導⼊できる • 但し、認証/セッションまわりの機能を変更したりするの で、アカウントの扱い⽅は慎重にやる必要がある(複数端

    末・失効・クロスオリジン通信まわり) • そもそもFIDOサーバの運⽤⼤変 • もっと簡単に導⼊できるような仕組みがあればいいなと思 いました(ワンクリックで〜ノンプログラマーでも︕) 18 FIDOな相談受け付けております https://corp.capy.me/product/fido [email protected]