Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
FIDO2導入してみたを考えてみた / Around The Auth Capy Matsumoto
Search
yoshinori matsumoto
May 26, 2020
Technology
0
240
FIDO2導入してみたを考えてみた / Around The Auth Capy Matsumoto
第2回 Around the Auth ライトニングトークセッション 2020/05/26
https://around-the-auth.peatix.com/?lang=ja
yoshinori matsumoto
May 26, 2020
Tweet
Share
More Decks by yoshinori matsumoto
See All by yoshinori matsumoto
WordPress セキュリティガイド #wpmeetupkyoto / WP Security Guide
ym405nm
6
3.4k
Hack L33t Fighters Ⅱ #owaspsendai
ym405nm
0
320
WordPress保安検査ガイド〜運用可能なセキュリティを始めるために〜 / wpcamp_haneda_security
ym405nm
1
660
CAPYのFIDOへの取り組み / Capy FIDO
ym405nm
0
160
WordPress 管理者がおさえておきたい Web アプリケーションセキュリティ / owasp-wordpress-meetup
ym405nm
1
1.5k
Extreme Honyepotter
ym405nm
0
830
攻撃者からみたWordPressセキュリティ / WordCamp Kansai 2015
ym405nm
8
4.9k
コミュニティ活動からみるPHPセキュリティ / PHP Conference Kansai 2015
ym405nm
0
540
Other Decks in Technology
See All in Technology
あなたが人生で成功するための5つの普遍的法則 #jawsug #jawsdays2025 / 20250301 HEROZ
yoshidashingo
2
420
EMConf JP 2025 懇親会LT / EMConf JP 2025 social gathering
sugamasao
2
210
株式会社Awarefy(アウェアファイ)会社説明資料 / Awarefy-Company-Deck
awarefy
3
12k
AIエージェント開発のノウハウと課題
pharma_x_tech
9
5.1k
JavaにおけるNull非許容性
skrb
2
2.7k
Two Blades, One Journey: Engineering While Managing
ohbarye
4
2.8k
Log Analytics を使った実際の運用 - Sansan Data Hub での取り組み
sansantech
PRO
0
150
遷移の高速化 ヤフートップの試行錯誤
narirou
6
2k
Qiita Organizationを導入したら、アウトプッターが爆増して会社がちょっと有名になった件
minorun365
PRO
1
360
ABWG2024採択者が語るエンジニアとしての自分自身の見つけ方〜発信して、つながって、世界を広げていく〜
maimyyym
1
230
Охота на косуль у древних
ashapiro
0
130
入門 PEAK Threat Hunting @SECCON
odorusatoshi
0
190
Featured
See All Featured
Fight the Zombie Pattern Library - RWD Summit 2016
marcelosomers
233
17k
The Success of Rails: Ensuring Growth for the Next 100 Years
eileencodes
44
7.1k
Cheating the UX When There Is Nothing More to Optimize - PixelPioneers
stephaniewalter
280
13k
ピンチをチャンスに:未来をつくるプロダクトロードマップ #pmconf2020
aki_iinuma
115
51k
Build The Right Thing And Hit Your Dates
maggiecrowley
34
2.5k
Designing Dashboards & Data Visualisations in Web Apps
destraynor
231
53k
It's Worth the Effort
3n
184
28k
実際に使うSQLの書き方 徹底解説 / pgcon21j-tutorial
soudai
175
52k
How to Ace a Technical Interview
jacobian
276
23k
Code Reviewing Like a Champion
maltzj
521
39k
The Pragmatic Product Professional
lauravandoore
32
6.4k
Design and Strategy: How to Deal with People Who Don’t "Get" Design
morganepeng
129
19k
Transcript
Copyright 2019 Capy Inc.ALL RIGHT Reserved FIDO2導⼊してみた を考えてみた
▮CapyのFIDO 1 2018年11⽉FIDO認定 2019年12⽉FIDO認定 •JavaScriptを設置するだけで簡単にFIDO UAF(⽣体認 証)を導⼊ ※ UAFの場合は専⽤アプリを提供 簡単実装
•FIDO認証が可能なAndroid端末や、iOSのTouch ID / Face ID にも対応 スマホ対応 •導⼊コストとランニング費⽤を抑えることが可能 •⽣体認証の専⽤機器を導⼊する必要なし 低コスト •APIとしてのご利⽤か、SDKとしてのご利⽤か選択可能 API / SDK Capy FIDO ソリューションの主な特徴
▮事例 2 アプリの動作イメージ 電⼦チケットによる チケットレス運⽤ 3⼈制バスケットボールの⼤会にて、電⼦チケットによるチケットレス運⽤ および⽣体認証による⼊場管理(本⼈確認)の実証実験を⾏いました 当⽇の会場の様⼦
▮システム 3 利⽤者 既存のチケット販売サイト(ファンクラブサイト) と連携することで、⽣体認証でのログインや本⼈確 認などに使⽤できます。 これにより、パスワードリスト攻撃など従来のパス ワードを狙った攻撃や、Botによる機械的な購⼊など の不正な購⼊を防ぐことができます。 チケットサイト
(EC-CUBE) ログイン 購⼊ ⽣体認証
▮ECCUBE 4 国内のECサイト・ネットショップは⼀体何店舗稼動しているのか︖ https://ecclab.empowershop.co.jp/archives/38702 ※楽天などのモール系や、 BaseなどのASP系は対象外 ECCUBEは国内シェアNo.1の EC専⽤フレームワーク ユーザ数が多く、 古くから広く使われているため
サイバー攻撃の被害も多く 報告されている
▮想定される脅威 5 パスワードリスト攻撃 フィッシングサイト 脆弱性を狙った攻撃 →今回は対象外。運⽤者は最新版にアップデートを︕ 他サービスで漏えいした情報を元に不正ログインを⾏う パスワードを使い回している⼈が狙われる ログイン画⾯に偽装したサイトなどでユーザを騙して アカウント情報を盗む
ECCUBEやサーバのミドルウェアの脆弱性を使⽤して、 サイト改ざんなどを⾏う クレジットカード情報を盗む事例も報告されている
▮(参考) 6
▮実施システム 7 EC CUBE マイページ FIDO認証サーバ 認証 専⽤アプリ JavaScript API
通知 独⾃プラグイン
▮昨年の11⽉に IoP Test event に参加しました 8 2019 FIDO Tokyo Seminar
- FIDO認定と国内で初めて開催した FIDO相互接続性試験について https://www.slideshare.net/FI DOAlliance/2019-fido-tokyo- seminar-fidofido-203855288
▮FIDO2の認定を取得しました 9
▮実施システム 10 EC CUBE マイページ FIDO認証サーバ 認証 専⽤アプリ JavaScript API
通知 独⾃プラグイン FIDO2 でやりたい
▮ECCUBE /w FIDO2 やってみた 11 EC CUBE FIDO2 認証サーバ 認証
JavaScript マイページ 独⾃プラグイン
▮当初のもくろみ 12 まぁ以前プラグインつくったし、 JavaScriptちょっといじるくらいで いけるやろ ヨシ
▮ECCUBEの脅威(再掲) 13
▮当初のもくろみ 14 そういや4系触ってなかったな 最新版「EC-CUBE 4」を正式リリース。2年の開発、準備期間 を経て、ソフトウェア・開発環境・プラットフォーム、全てが 充実。理想のECサイトを、より簡単・安⼼・低価格で。 https://www.ec-cube.net/press/detail.php?press_id=241
▮当初のもくろみ 15 Symfony のバージョンアップ プラグイン仕様の⼤幅変更 →過去のマニュアルが使⽤できない ECCUBE4ドキュメントより
▮ECCUBE4のドキュメント 16 攻略本 ここまできた君なら⼤丈夫︕ あとは気合いサンプルで乗り切ろう︕
▮ということで作るの⼤変でした 17 EC CUBE XHR FIDO2 認証サーバ Pixel4 YubiKey など
登録認証 ページ (プラグインから⽣成)
▮まとめ・所感 • FIDOの使⽤により、パスワードリスト攻撃やフィッシング 対策などに期待される • ⼤⼿サイトだけではなく、中⼩規模のECサイトにも簡単に 導⼊できる • 但し、認証/セッションまわりの機能を変更したりするの で、アカウントの扱い⽅は慎重にやる必要がある(複数端
末・失効・クロスオリジン通信まわり) • そもそもFIDOサーバの運⽤⼤変 • もっと簡単に導⼊できるような仕組みがあればいいなと思 いました(ワンクリックで〜ノンプログラマーでも︕) 18 FIDOな相談受け付けております https://corp.capy.me/product/fido matsumoto@capy.me