Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Everyone Now Understands AuthZ/AuthN and Encryp...

sylph01
November 26, 2024
13

Everyone Now Understands AuthZ/AuthN and Encryption Perfectly and I'm Gonna Lose My Job

11/26/2024 @ Kyoto.rb Meetup https://kyotorb.connpass.com/event/337169/

sylph01

November 26, 2024
Tweet

Transcript

  1. Everyone Now Understands AuthZ/AuthN and Encryption Perfectly and I'm Gonna

    Lose My Job sylph01 @ Kyoto.rb Meetup Kaigi on Rails 2024 Recap, 2024/11/26 1
  2. だれ やせいのプログラマ。認証認可とか暗号と かできます けどKaigi on Rails を経てもうみんなで きるよって話をします RubyKaigi 2025

    のローカルオーガナイザー をしています 愛媛県松山市に住んでいます 画像はWeb サイトより 2
  3. 3

  4. 背景 Kaigi on Rails 2021 で "Build and Learn Rails

    Authentication" というトークをしました ログイン・ログアウト、クッキーから の自動再ログイン、パスワードリセッ ト、ロックアウト etc. の自作を通して 認証の動作原理を学ぶ、という内容で す 4
  5. Rails API モードのためのシンプルで効 果的なCSRF 対策 (@corocn) 「なんかとりあえずしーえすあーるえふとーくんとかいうのを発行 しておけばいいんでしょ」っていう状態を脱することができる内容 CSRF って何?→「ぼくはまちちゃん!」で検索だ!

    ( 一般的には) 悪意のあるサイトが被攻撃者の認証済みセッショ ンを利用してリクエストを実行できてしまうこと セッションCookie が自動的に送られてしまうことを利用 5
  6. Rails API モードのためのシンプルで効 果的なCSRF 対策 (@corocn) API モードにおいてCSRF トークンを受け渡しするのは極めてしんど い

    なので Web 標準を使って 対策しよう ("Standardization is King") Origin 検証をしよう SameSite 属性を適切に設定しよう 6