Q&A
アプリのログイン認証のセキュリティについての質問です。
FacebookやTwitterなど様々なアプリがあります。
そのほとんどが初回にIDとパスワードを入力しログインしたら、
それ以降はログイン画面などが表示されることは基本的にないかと思います。
この処理自体は初回ログイン時に発行したトークンなどを、
アプリのCookieとサーバーに保持しておき、
アプリを開いた際に自動で認証するようになっているのかと思います。
(この辺りも違えば、教えてください)
有効期限などがあるかどうかはアプリによるのですが、
少なくともFacebookやTwitterは数ヶ月単位で
ログイン認証のためのトークンは有効になっているかと思います。
このトークン自体をずっと一緒にしておくことは、
セッション乗っ取りなどの危険もあるので、
内部的にはログイン認証のたびに新しく発行し直すとしても、
次に発行されるまではトークンは有効になっているかと思います。
となると、XSSなどで
そのトークンをなんらかの方法で奪われてしまえば、
非常に危険かと思っています。
XSSなどで奪われれば言うと、
XSSなんて脆弱性があるのが問題という話になると思うのですが、
仮にXSSなどのセキュリティ対策をしておけば、
こういった自動認証方法での
ログイン認証も問題ないという考え方なのでしょうか。
この辺りって一般的に、
どういう仕組みになっているんでしょうか。
自動ログイン認証が便利なのはわかりますが、
セキュリティ的に言えば非常に危ないのでは?と
考えてしまいます。
回答1件
0
XSS対策としては、CookieにHttpOnly属性を付与しておく方法があります。設定しておいた場合、JavaScriptからこのクッキーの値を取得できなくなるので、XSSが起きる場合はブラウザもしくはHttpOnlyを付け忘れたクライアントのバグ、ということになります。もちろん、HTTP自体を盗聴されては元も子もないので、さらに完璧を目指すならHTTPS+CookieのSecure属性、というのも必要となります。
そして、自動ログイン用のクッキーはそれ以外の目的で使わない、ということもポイントでしょう。
投稿2015/09/24 08:28
総合スコア145183
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2015/09/24 09:03