Q&A
maisumaku様 いつもありがとうございます! CORSについて勘違いしておりました。
もしmaisumakun様が同様のメール認証を実装し、セキュリティを担保するとしたらどのような手段を取りますでしょうか。
AWSの構成
ロードバランサーを経由して、EC2インスタンスへアクセス
現在ロードバランサーのSGにHTTPS 443 全ポートを許可しています。
またRails側のCORS設定で、Originを絞っています。
以上を踏まえ、
Railsの機能でメール認証を取り入れています。
新規登録 → メール内のリンクをクリック → 有効であれば、 バックエンドの本登録のコントローラーのメソッドが呼ばれる。(メール内のリンクにバックエンドAPIを呼び出すように設定)
→ https://test_api.com/edit/:token/
解決したいこと
現在SG, Corsを設定しているのですが、
メールの認証をクリックした際のアクセス元は不特定多数のユーザーになります。
この際であれば
・SG
・Cors
はどのように設定するのがベストプラクティスなのでしょうか。
一応認証と認可の仕組みは組み込んでいます。
思わぬ脆弱性があるのではないかと思いました。
宜しくお願い致します。
回答2件
0
セキュリティグループとCORSに過度な期待をしているように思えます。この文脈ではCORSは無意味です。セキュリティグループは、サービス提供に必要最小限の開放を行います。
おそらく特殊なセキュリティ要件ではないように思うので、一般的なセキュリティを勉強して、それを実施しください。
投稿2021/08/27 15:01
総合スコア11705
0
ベストアンサー
メール内のリンクにバックエンドAPIを呼び出すように設定
この条件では、CORSは無関係です(何も設定せず、「クロスオリジンからは取得不能」であっても問題ありません)。
CORSは、ブラウザJavaScriptからアクセスする場合の情報共有を制御するための仕組みであって、リンクを直接クリックしてアクセスするような状況では、CORSがあろうがなかろうが何も関係しません。
投稿2021/08/27 12:56
総合スコア145930
まずは、「何に対する」セキュリティを考慮したいのかを明確にしてください。
「サービス自体を提供しない」というような手法を除けば、あらゆるセキュリティ対策は、ある決まった範囲の攻撃手法に対するものでしかないのです。
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。