Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
FIDO2導入してみたを考えてみた / Around The Auth Capy Matsumoto
Search
yoshinori matsumoto
May 26, 2020
Technology
0
290
FIDO2導入してみたを考えてみた / Around The Auth Capy Matsumoto
第2回 Around the Auth ライトニングトークセッション 2020/05/26
https://around-the-auth.peatix.com/?lang=ja
yoshinori matsumoto
May 26, 2020
Tweet
Share
More Decks by yoshinori matsumoto
See All by yoshinori matsumoto
WordPress セキュリティガイド #wpmeetupkyoto / WP Security Guide
ym405nm
6
3.4k
Hack L33t Fighters Ⅱ #owaspsendai
ym405nm
0
370
WordPress保安検査ガイド〜運用可能なセキュリティを始めるために〜 / wpcamp_haneda_security
ym405nm
1
700
CAPYのFIDOへの取り組み / Capy FIDO
ym405nm
0
170
WordPress 管理者がおさえておきたい Web アプリケーションセキュリティ / owasp-wordpress-meetup
ym405nm
1
1.6k
Extreme Honyepotter
ym405nm
0
850
攻撃者からみたWordPressセキュリティ / WordCamp Kansai 2015
ym405nm
8
5k
コミュニティ活動からみるPHPセキュリティ / PHP Conference Kansai 2015
ym405nm
0
570
Other Decks in Technology
See All in Technology
OCIjp_Oracle AI World_Recap
shinpy
1
160
まだ間に合う! 2025年のhono/ssg事情
watany
2
280
会社を支える Pythonという言語戦略 ~なぜPythonを主要言語にしているのか?~
curekoshimizu
3
570
組織改革から開発効率向上まで! - 成功事例から見えたAI活用のポイント - / 20251016 Tetsuharu Kokaki
shift_evolve
PRO
2
230
Kubernetes self-healing of your workload
hwchiu
0
380
Okta Identity Governanceで実現する最小権限の原則 / Implementing the Principle of Least Privilege with Okta Identity Governance
tatsumin39
0
160
Building a cloud native business on open source
lizrice
0
170
SQLAlchemy の select(User).where(User.id =="123") を理解してみる/sqlalchemy deep dive
3l4l5
3
260
現場データから見える、開発生産性の変化コード生成AI導入・運用のリアル〜 / Changes in Development Productivity and Operational Challenges Following the Introduction of Code Generation AI
nttcom
1
450
ViteとTypeScriptのProject Referencesで 大規模モノレポのUIカタログのリリースサイクルを高速化する
shuta13
2
150
AI時代の開発を加速する組織づくり - ブログでは書けなかったリアル
hiro8ma
1
270
MCP ✖️ Apps SDKを触ってみた
hisuzuya
0
300
Featured
See All Featured
Building Better People: How to give real-time feedback that sticks.
wjessup
369
20k
Creating an realtime collaboration tool: Agile Flush - .NET Oxford
marcduiker
34
2.3k
4 Signs Your Business is Dying
shpigford
185
22k
Intergalactic Javascript Robots from Outer Space
tanoku
272
27k
Chrome DevTools: State of the Union 2024 - Debugging React & Beyond
addyosmani
9
930
A better future with KSS
kneath
239
18k
Bash Introduction
62gerente
615
210k
Imperfection Machines: The Place of Print at Facebook
scottboms
269
13k
The Art of Programming - Codeland 2020
erikaheidi
56
14k
Exploring the Power of Turbo Streams & Action Cable | RailsConf2023
kevinliebholz
36
6.1k
Agile that works and the tools we love
rasmusluckow
331
21k
Automating Front-end Workflow
addyosmani
1371
200k
Transcript
Copyright 2019 Capy Inc.ALL RIGHT Reserved FIDO2導⼊してみた を考えてみた
▮CapyのFIDO 1 2018年11⽉FIDO認定 2019年12⽉FIDO認定 •JavaScriptを設置するだけで簡単にFIDO UAF(⽣体認 証)を導⼊ ※ UAFの場合は専⽤アプリを提供 簡単実装
•FIDO認証が可能なAndroid端末や、iOSのTouch ID / Face ID にも対応 スマホ対応 •導⼊コストとランニング費⽤を抑えることが可能 •⽣体認証の専⽤機器を導⼊する必要なし 低コスト •APIとしてのご利⽤か、SDKとしてのご利⽤か選択可能 API / SDK Capy FIDO ソリューションの主な特徴
▮事例 2 アプリの動作イメージ 電⼦チケットによる チケットレス運⽤ 3⼈制バスケットボールの⼤会にて、電⼦チケットによるチケットレス運⽤ および⽣体認証による⼊場管理(本⼈確認)の実証実験を⾏いました 当⽇の会場の様⼦
▮システム 3 利⽤者 既存のチケット販売サイト(ファンクラブサイト) と連携することで、⽣体認証でのログインや本⼈確 認などに使⽤できます。 これにより、パスワードリスト攻撃など従来のパス ワードを狙った攻撃や、Botによる機械的な購⼊など の不正な購⼊を防ぐことができます。 チケットサイト
(EC-CUBE) ログイン 購⼊ ⽣体認証
▮ECCUBE 4 国内のECサイト・ネットショップは⼀体何店舗稼動しているのか︖ https://ecclab.empowershop.co.jp/archives/38702 ※楽天などのモール系や、 BaseなどのASP系は対象外 ECCUBEは国内シェアNo.1の EC専⽤フレームワーク ユーザ数が多く、 古くから広く使われているため
サイバー攻撃の被害も多く 報告されている
▮想定される脅威 5 パスワードリスト攻撃 フィッシングサイト 脆弱性を狙った攻撃 →今回は対象外。運⽤者は最新版にアップデートを︕ 他サービスで漏えいした情報を元に不正ログインを⾏う パスワードを使い回している⼈が狙われる ログイン画⾯に偽装したサイトなどでユーザを騙して アカウント情報を盗む
ECCUBEやサーバのミドルウェアの脆弱性を使⽤して、 サイト改ざんなどを⾏う クレジットカード情報を盗む事例も報告されている
▮(参考) 6
▮実施システム 7 EC CUBE マイページ FIDO認証サーバ 認証 専⽤アプリ JavaScript API
通知 独⾃プラグイン
▮昨年の11⽉に IoP Test event に参加しました 8 2019 FIDO Tokyo Seminar
- FIDO認定と国内で初めて開催した FIDO相互接続性試験について https://www.slideshare.net/FI DOAlliance/2019-fido-tokyo- seminar-fidofido-203855288
▮FIDO2の認定を取得しました 9
▮実施システム 10 EC CUBE マイページ FIDO認証サーバ 認証 専⽤アプリ JavaScript API
通知 独⾃プラグイン FIDO2 でやりたい
▮ECCUBE /w FIDO2 やってみた 11 EC CUBE FIDO2 認証サーバ 認証
JavaScript マイページ 独⾃プラグイン
▮当初のもくろみ 12 まぁ以前プラグインつくったし、 JavaScriptちょっといじるくらいで いけるやろ ヨシ
▮ECCUBEの脅威(再掲) 13
▮当初のもくろみ 14 そういや4系触ってなかったな 最新版「EC-CUBE 4」を正式リリース。2年の開発、準備期間 を経て、ソフトウェア・開発環境・プラットフォーム、全てが 充実。理想のECサイトを、より簡単・安⼼・低価格で。 https://www.ec-cube.net/press/detail.php?press_id=241
▮当初のもくろみ 15 Symfony のバージョンアップ プラグイン仕様の⼤幅変更 →過去のマニュアルが使⽤できない ECCUBE4ドキュメントより
▮ECCUBE4のドキュメント 16 攻略本 ここまできた君なら⼤丈夫︕ あとは気合いサンプルで乗り切ろう︕
▮ということで作るの⼤変でした 17 EC CUBE XHR FIDO2 認証サーバ Pixel4 YubiKey など
登録認証 ページ (プラグインから⽣成)
▮まとめ・所感 • FIDOの使⽤により、パスワードリスト攻撃やフィッシング 対策などに期待される • ⼤⼿サイトだけではなく、中⼩規模のECサイトにも簡単に 導⼊できる • 但し、認証/セッションまわりの機能を変更したりするの で、アカウントの扱い⽅は慎重にやる必要がある(複数端
末・失効・クロスオリジン通信まわり) • そもそもFIDOサーバの運⽤⼤変 • もっと簡単に導⼊できるような仕組みがあればいいなと思 いました(ワンクリックで〜ノンプログラマーでも︕) 18 FIDOな相談受け付けております https://corp.capy.me/product/fido
[email protected]