アプリのログイン認証のセキュリティについての質問です。
FacebookやTwitterなど様々なアプリがあります。
そのほとんどが初回にIDとパスワードを入力しログインしたら、
それ以降はログイン画面などが表示されることは基本的にないかと思います。
この処理自体は初回ログイン時に発行したトークンなどを、
アプリのCookieとサーバーに保持しておき、
アプリを開いた際に自動で認証するようになっているのかと思います。
(この辺りも違えば、教えてください)
有効期限などがあるかどうかはアプリによるのですが、
少なくともFacebookやTwitterは数ヶ月単位で
ログイン認証のためのトークンは有効になっているかと思います。
このトークン自体をずっと一緒にしておくことは、
セッション乗っ取りなどの危険もあるので、
内部的にはログイン認証のたびに新しく発行し直すとしても、
次に発行されるまではトークンは有効になっているかと思います。
となると、XSSなどで
そのトークンをなんらかの方法で奪われてしまえば、
非常に危険かと思っています。
XSSなどで奪われれば言うと、
XSSなんて脆弱性があるのが問題という話になると思うのですが、
仮にXSSなどのセキュリティ対策をしておけば、
こういった自動認証方法での
ログイン認証も問題ないという考え方なのでしょうか。
この辺りって一般的に、
どういう仕組みになっているんでしょうか。
自動ログイン認証が便利なのはわかりますが、
セキュリティ的に言えば非常に危ないのでは?と
考えてしまいます。
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2015/09/24 09:03