Upgrade to Pro — share decks privately, control downloads, hide ads and more …

FIDO2導入してみたを考えてみた / Around The Auth Capy Matsumoto

Avatar for yoshinori matsumoto yoshinori matsumoto
May 26, 2020
Technology
0
280

FIDO2導入してみたを考えてみた / Around The Auth Capy Matsumoto

第2回 Around the Auth ライトニングトークセッション 2020/05/26
https://around-the-auth.peatix.com/?lang=ja

Avatar for yoshinori matsumoto

yoshinori matsumoto

May 26, 2020
Tweet

More Decks by yoshinori matsumoto

See All by yoshinori matsumoto
WordPress セキュリティガイド #wpmeetupkyoto / WP Security Guide
Avatar for yoshinori matsumoto ym405nm
6
3.4k
Hack L33t Fighters Ⅱ #owaspsendai
Avatar for yoshinori matsumoto ym405nm
0
350
WordPress保安検査ガイド〜運用可能なセキュリティを始めるために〜 / wpcamp_haneda_security
Avatar for yoshinori matsumoto ym405nm
1
690
CAPYのFIDOへの取り組み / Capy FIDO
Avatar for yoshinori matsumoto ym405nm
0
160
WordPress 管理者がおさえておきたい Web アプリケーションセキュリティ / owasp-wordpress-meetup
Avatar for yoshinori matsumoto ym405nm
1
1.6k
Extreme Honyepotter
Avatar for yoshinori matsumoto ym405nm
0
850
攻撃者からみたWordPressセキュリティ / WordCamp Kansai 2015
Avatar for yoshinori matsumoto ym405nm
8
5k
コミュニティ活動からみるPHPセキュリティ / PHP Conference Kansai 2015
Avatar for yoshinori matsumoto ym405nm
0
560

Other Decks in Technology

See All in Technology
LLM開発を支えるエヌビディアの生成AIエコシステム
Avatar for Murakami Mana acceleratedmu3n
0
360
モバイルゲームの開発を支える基盤の歩み ~再現性のある開発ラインを量産する秘訣~
Avatar for QualiArts qualiarts
0
950
MCPに潜むセキュリティリスクを考えてみる
Avatar for Milix-M milix_m
2
960
AIに全任せしないコーディングとマネジメント思考
Avatar for kichion kikuchikakeru
0
340
風が吹けばWHOISが使えなくなる~なぜWHOIS・RDAPはサーバー証明書のメール認証に使えなくなったのか~
Avatar for Yasuhiro Orange Morishita / 森下泰宏 orangemorishita
12
4.1k
ビジネス文書に特化した基盤モデル開発 / SaaSxML_Session_2
Avatar for Sansan R&D sansan_randd
0
190
LLMでAI-OCR、実際どうなの? / llm_ai_ocr_layerx_bet_ai_day_lt
Avatar for sbrf248 sbrf248
0
390
Mambaで物体検出 完全に理解した
Avatar for Reiki Shirasawa shirarei24
2
160
[TechNight #91] Oracle Database 最新パフォーマンス分析手法
Avatar for oracle4engineer oracle4engineer
PRO
4
310
【Λ(らむだ)】最近のアプデ情報 / RPALT20250729
Avatar for Λ lambda
0
190
AI コードレビューが面倒すぎるのでテスト駆動開発で解決しようとして読んだら、根本的に俺の勘違いだった
Avatar for Mutz mutsumix
0
130
Power Automate のパフォーマンス改善レシピ / Power Automate Performance Improvement Recipes
Avatar for Takashi Shinohara karamem0
0
280

Featured

See All Featured
Learning to Love Humans: Emotional Interface Design
Avatar for Aarron Walter aarron
273
40k
Keith and Marios Guide to Fast Websites
Avatar for Keith Pitt keithpitt
411
22k
Measuring & Analyzing Core Web Vitals
Avatar for Philip Tellis bluesmoon
7
530
jQuery: Nuts, Bolts and Bling
Avatar for Doug Neiner dougneiner
63
7.8k
10 Git Anti Patterns You Should be Aware of
Avatar for Lemi Orhan Ergin lemiorhan
PRO
656
60k
Producing Creativity
Avatar for Steve Smith orderedlist
PRO
346
40k
Documentation Writing (for coders)
Avatar for Carmen Chung carmenintech
72
4.9k
Why Our Code Smells
Avatar for Brandon Keepers bkeepers
PRO
337
57k
Music & Morning Musume
Avatar for Bryan Veloso bryan
46
6.7k
Six Lessons from altMBA
Avatar for Skipper Chong Warson skipperchong
28
3.9k
Done Done
Avatar for chrislema chrislema
185
16k
A designer walks into a library…
Avatar for Paul Jervis Heath pauljervisheath
207
24k

Transcript

  1. Copyright 2019 Capy Inc.ALL RIGHT Reserved FIDO2導⼊してみた を考えてみた

  2. ▮CapyのFIDO 1 2018年11⽉FIDO認定 2019年12⽉FIDO認定 •JavaScriptを設置するだけで簡単にFIDO UAF(⽣体認 証)を導⼊ ※ UAFの場合は専⽤アプリを提供 簡単実装

    •FIDO認証が可能なAndroid端末や、iOSのTouch ID / Face ID にも対応 スマホ対応 •導⼊コストとランニング費⽤を抑えることが可能 •⽣体認証の専⽤機器を導⼊する必要なし 低コスト •APIとしてのご利⽤か、SDKとしてのご利⽤か選択可能 API / SDK Capy FIDO ソリューションの主な特徴

  3. ▮事例 2 アプリの動作イメージ 電⼦チケットによる チケットレス運⽤ 3⼈制バスケットボールの⼤会にて、電⼦チケットによるチケットレス運⽤ および⽣体認証による⼊場管理(本⼈確認)の実証実験を⾏いました 当⽇の会場の様⼦

  4. ▮システム 3 利⽤者 既存のチケット販売サイト(ファンクラブサイト) と連携することで、⽣体認証でのログインや本⼈確 認などに使⽤できます。 これにより、パスワードリスト攻撃など従来のパス ワードを狙った攻撃や、Botによる機械的な購⼊など の不正な購⼊を防ぐことができます。 チケットサイト

    (EC-CUBE) ログイン 購⼊ ⽣体認証

  5. ▮ECCUBE 4 国内のECサイト・ネットショップは⼀体何店舗稼動しているのか︖ https://ecclab.empowershop.co.jp/archives/38702 ※楽天などのモール系や、 BaseなどのASP系は対象外 ECCUBEは国内シェアNo.1の EC専⽤フレームワーク ユーザ数が多く、 古くから広く使われているため

    サイバー攻撃の被害も多く 報告されている

  6. ▮想定される脅威 5 パスワードリスト攻撃 フィッシングサイト 脆弱性を狙った攻撃 →今回は対象外。運⽤者は最新版にアップデートを︕ 他サービスで漏えいした情報を元に不正ログインを⾏う パスワードを使い回している⼈が狙われる ログイン画⾯に偽装したサイトなどでユーザを騙して アカウント情報を盗む

    ECCUBEやサーバのミドルウェアの脆弱性を使⽤して、 サイト改ざんなどを⾏う クレジットカード情報を盗む事例も報告されている

  7. ▮(参考) 6

  8. ▮実施システム 7 EC CUBE マイページ FIDO認証サーバ 認証 専⽤アプリ JavaScript API

    通知 独⾃プラグイン

  9. ▮昨年の11⽉に IoP Test event に参加しました 8 2019 FIDO Tokyo Seminar

    - FIDO認定と国内で初めて開催した FIDO相互接続性試験について https://www.slideshare.net/FI DOAlliance/2019-fido-tokyo- seminar-fidofido-203855288

  10. ▮FIDO2の認定を取得しました 9

  11. ▮実施システム 10 EC CUBE マイページ FIDO認証サーバ 認証 専⽤アプリ JavaScript API

    通知 独⾃プラグイン FIDO2 でやりたい

  12. ▮ECCUBE /w FIDO2 やってみた 11 EC CUBE FIDO2 認証サーバ 認証

    JavaScript マイページ 独⾃プラグイン

  13. ▮当初のもくろみ 12 まぁ以前プラグインつくったし、 JavaScriptちょっといじるくらいで いけるやろ ヨシ

  14. ▮ECCUBEの脅威(再掲) 13

  15. ▮当初のもくろみ 14 そういや4系触ってなかったな 最新版「EC-CUBE 4」を正式リリース。2年の開発、準備期間 を経て、ソフトウェア・開発環境・プラットフォーム、全てが 充実。理想のECサイトを、より簡単・安⼼・低価格で。 https://www.ec-cube.net/press/detail.php?press_id=241

  16. ▮当初のもくろみ 15 Symfony のバージョンアップ プラグイン仕様の⼤幅変更 →過去のマニュアルが使⽤できない ECCUBE4ドキュメントより

  17. ▮ECCUBE4のドキュメント 16 攻略本 ここまできた君なら⼤丈夫︕ あとは気合いサンプルで乗り切ろう︕

  18. ▮ということで作るの⼤変でした 17 EC CUBE XHR FIDO2 認証サーバ Pixel4 YubiKey など

    登録認証 ページ (プラグインから⽣成)

  19. ▮まとめ・所感 • FIDOの使⽤により、パスワードリスト攻撃やフィッシング 対策などに期待される • ⼤⼿サイトだけではなく、中⼩規模のECサイトにも簡単に 導⼊できる • 但し、認証/セッションまわりの機能を変更したりするの で、アカウントの扱い⽅は慎重にやる必要がある(複数端

    末・失効・クロスオリジン通信まわり) • そもそもFIDOサーバの運⽤⼤変 • もっと簡単に導⼊できるような仕組みがあればいいなと思 いました(ワンクリックで〜ノンプログラマーでも︕) 18 FIDOな相談受け付けております https://corp.capy.me/product/fido [email protected]