Upgrade to Pro — share decks privately, control downloads, hide ads and more …

FIDO2導入してみたを考えてみた / Around The Auth Capy Matsumoto

Avatar for yoshinori matsumoto yoshinori matsumoto
May 26, 2020
Technology
0
280

FIDO2導入してみたを考えてみた / Around The Auth Capy Matsumoto

第2回 Around the Auth ライトニングトークセッション 2020/05/26
https://around-the-auth.peatix.com/?lang=ja

Avatar for yoshinori matsumoto

yoshinori matsumoto

May 26, 2020
Tweet

More Decks by yoshinori matsumoto

See All by yoshinori matsumoto
WordPress セキュリティガイド #wpmeetupkyoto / WP Security Guide
Avatar for yoshinori matsumoto ym405nm
6
3.4k
Hack L33t Fighters Ⅱ #owaspsendai
Avatar for yoshinori matsumoto ym405nm
0
360
WordPress保安検査ガイド〜運用可能なセキュリティを始めるために〜 / wpcamp_haneda_security
Avatar for yoshinori matsumoto ym405nm
1
690
CAPYのFIDOへの取り組み / Capy FIDO
Avatar for yoshinori matsumoto ym405nm
0
170
WordPress 管理者がおさえておきたい Web アプリケーションセキュリティ / owasp-wordpress-meetup
Avatar for yoshinori matsumoto ym405nm
1
1.6k
Extreme Honyepotter
Avatar for yoshinori matsumoto ym405nm
0
850
攻撃者からみたWordPressセキュリティ / WordCamp Kansai 2015
Avatar for yoshinori matsumoto ym405nm
8
5k
コミュニティ活動からみるPHPセキュリティ / PHP Conference Kansai 2015
Avatar for yoshinori matsumoto ym405nm
0
570

Other Decks in Technology

See All in Technology
会社紹介資料 / Sansan Company Profile
Avatar for Sansan, Inc. sansan33
PRO
6
380k
Snowflakeの生成AI機能を活用したデータ分析アプリの作成 〜Cortex AnalystとCortex Searchの活用とStreamlitアプリでの利用〜
Avatar for Nayuta S. nayuts
1
460
Codeful Serverless / 一人運用でもやり抜く力
Avatar for kensh _kensh
7
370
バイブスに「型」を!Kent Beckに学ぶ、AI時代のテスト駆動開発
Avatar for amixedcolor amixedcolor
2
520
CDK CLIで使ってたあの機能、CDK Toolkit Libraryではどうやるの?
Avatar for Makky12 smt7174
4
100
落ちる 落ちるよ サーバーは落ちる
Avatar for 末廣雅利 suehiromasatoshi
0
150
バッチ処理で悩むバックエンドエンジニアに捧げるAWS Glue入門
Avatar for morimorikochan diggymo
3
190
DevIO2025_継続的なサービス開発のための技術的意思決定のポイント / how-to-tech-decision-makaing-devio2025
Avatar for Logy nologyance
1
370
【初心者向け】ローカルLLMの色々な動かし方まとめ
Avatar for Aratako aratako
7
3.4k
dbt開発 with Claude Codeのためのガードレール設計
Avatar for 10xinc 10xinc
2
1.1k
Platform開発が先行する Platform Engineeringの違和感
Avatar for KintoTech_Dev kintotechdev
4
540
Rustから学ぶ 非同期処理の仕組み
Avatar for skanehira skanehira
1
130

Featured

See All Featured
The Cult of Friendly URLs
Avatar for Andy Hume andyhume
79
6.6k
CSS Pre-Processors: Stylus, Less & Sass
Avatar for Bermon Painter bermonpainter
358
30k
Fantastic passwords and where to find them - at NoRuKo
Avatar for Phil Nash philnash
52
3.4k
Templates, Plugins, & Blocks: Oh My! Creating the theme that thinks of everything
Avatar for Michelle Schulp Hunt marktimemedia
31
2.5k
Navigating Team Friction
Avatar for Lara Hogan lara
189
15k
How to Create Impact in a Changing Tech Landscape [PerfNow 2023]
Avatar for Tammy Everts tammyeverts
53
2.9k
Designing for Performance
Avatar for Lara Hogan lara
610
69k
The Psychology of Web Performance [Beyond Tellerrand 2023]
Avatar for Tammy Everts tammyeverts
49
3k
Building Applications with DynamoDB
Avatar for Matt Wood mza
96
6.6k
The Web Performance Landscape in 2024 [PerfNow 2024]
Avatar for Tammy Everts tammyeverts
9
810
The Invisible Side of Design
Avatar for Vitaly Friedman smashingmag
301
51k
Save Time (by Creating Custom Rails Generators)
Avatar for Garrett Dimon garrettdimon
PRO
32
1.5k

Transcript

  1. Copyright 2019 Capy Inc.ALL RIGHT Reserved FIDO2導⼊してみた を考えてみた

  2. ▮CapyのFIDO 1 2018年11⽉FIDO認定 2019年12⽉FIDO認定 •JavaScriptを設置するだけで簡単にFIDO UAF(⽣体認 証)を導⼊ ※ UAFの場合は専⽤アプリを提供 簡単実装

    •FIDO認証が可能なAndroid端末や、iOSのTouch ID / Face ID にも対応 スマホ対応 •導⼊コストとランニング費⽤を抑えることが可能 •⽣体認証の専⽤機器を導⼊する必要なし 低コスト •APIとしてのご利⽤か、SDKとしてのご利⽤か選択可能 API / SDK Capy FIDO ソリューションの主な特徴

  3. ▮事例 2 アプリの動作イメージ 電⼦チケットによる チケットレス運⽤ 3⼈制バスケットボールの⼤会にて、電⼦チケットによるチケットレス運⽤ および⽣体認証による⼊場管理(本⼈確認)の実証実験を⾏いました 当⽇の会場の様⼦

  4. ▮システム 3 利⽤者 既存のチケット販売サイト(ファンクラブサイト) と連携することで、⽣体認証でのログインや本⼈確 認などに使⽤できます。 これにより、パスワードリスト攻撃など従来のパス ワードを狙った攻撃や、Botによる機械的な購⼊など の不正な購⼊を防ぐことができます。 チケットサイト

    (EC-CUBE) ログイン 購⼊ ⽣体認証

  5. ▮ECCUBE 4 国内のECサイト・ネットショップは⼀体何店舗稼動しているのか︖ https://ecclab.empowershop.co.jp/archives/38702 ※楽天などのモール系や、 BaseなどのASP系は対象外 ECCUBEは国内シェアNo.1の EC専⽤フレームワーク ユーザ数が多く、 古くから広く使われているため

    サイバー攻撃の被害も多く 報告されている

  6. ▮想定される脅威 5 パスワードリスト攻撃 フィッシングサイト 脆弱性を狙った攻撃 →今回は対象外。運⽤者は最新版にアップデートを︕ 他サービスで漏えいした情報を元に不正ログインを⾏う パスワードを使い回している⼈が狙われる ログイン画⾯に偽装したサイトなどでユーザを騙して アカウント情報を盗む

    ECCUBEやサーバのミドルウェアの脆弱性を使⽤して、 サイト改ざんなどを⾏う クレジットカード情報を盗む事例も報告されている

  7. ▮(参考) 6

  8. ▮実施システム 7 EC CUBE マイページ FIDO認証サーバ 認証 専⽤アプリ JavaScript API

    通知 独⾃プラグイン

  9. ▮昨年の11⽉に IoP Test event に参加しました 8 2019 FIDO Tokyo Seminar

    - FIDO認定と国内で初めて開催した FIDO相互接続性試験について https://www.slideshare.net/FI DOAlliance/2019-fido-tokyo- seminar-fidofido-203855288

  10. ▮FIDO2の認定を取得しました 9

  11. ▮実施システム 10 EC CUBE マイページ FIDO認証サーバ 認証 専⽤アプリ JavaScript API

    通知 独⾃プラグイン FIDO2 でやりたい

  12. ▮ECCUBE /w FIDO2 やってみた 11 EC CUBE FIDO2 認証サーバ 認証

    JavaScript マイページ 独⾃プラグイン

  13. ▮当初のもくろみ 12 まぁ以前プラグインつくったし、 JavaScriptちょっといじるくらいで いけるやろ ヨシ

  14. ▮ECCUBEの脅威(再掲) 13

  15. ▮当初のもくろみ 14 そういや4系触ってなかったな 最新版「EC-CUBE 4」を正式リリース。2年の開発、準備期間 を経て、ソフトウェア・開発環境・プラットフォーム、全てが 充実。理想のECサイトを、より簡単・安⼼・低価格で。 https://www.ec-cube.net/press/detail.php?press_id=241

  16. ▮当初のもくろみ 15 Symfony のバージョンアップ プラグイン仕様の⼤幅変更 →過去のマニュアルが使⽤できない ECCUBE4ドキュメントより

  17. ▮ECCUBE4のドキュメント 16 攻略本 ここまできた君なら⼤丈夫︕ あとは気合いサンプルで乗り切ろう︕

  18. ▮ということで作るの⼤変でした 17 EC CUBE XHR FIDO2 認証サーバ Pixel4 YubiKey など

    登録認証 ページ (プラグインから⽣成)

  19. ▮まとめ・所感 • FIDOの使⽤により、パスワードリスト攻撃やフィッシング 対策などに期待される • ⼤⼿サイトだけではなく、中⼩規模のECサイトにも簡単に 導⼊できる • 但し、認証/セッションまわりの機能を変更したりするの で、アカウントの扱い⽅は慎重にやる必要がある(複数端

    末・失効・クロスオリジン通信まわり) • そもそもFIDOサーバの運⽤⼤変 • もっと簡単に導⼊できるような仕組みがあればいいなと思 いました(ワンクリックで〜ノンプログラマーでも︕) 18 FIDOな相談受け付けております https://corp.capy.me/product/fido [email protected]