もしアクセストークンが盗まれてしまったら

railsでTwitter APIを使い、ツイートするだけの簡単なwebアプリケーションを作っています。

omniauthなどでアクセストークンを取得し、APIを利用する方法は沢山出てくるのですが、そのセキュリティについての情報があまり見つかりません。（気にしなくても良いということなのでしょうか…）

oauth認証時にアクセストークンをDBにそのまま保存していますが、これはセキュリティ的にどうなのでしょうか？

もしDBに保存したアクセストークンが盗まれてしまったら、それだけでwebアプリからツイートが出来てしまいますか？

そうなってしまうのであれば、対策としてどのような事が考えられますか？

行動規範の内容に同意します

回答1件

ベストアンサー

oauth認証時にアクセストークンをDBにそのまま保存していますが、これはセキュリティ的にどうなのでしょうか？

パスワードの場合は流出したときに他サイトへのパスワードリスト攻撃に利用されるおそれがあるので一方向ハッシュ関数にかけて万が一の場合にも備えることは半ば義務とも言えますが，アクセストークンに関してはそこまでの対策はしなくても良さそうです．もし安全性を向上させたいならば,暗号化や復号に使うパスワードはRails起動時にターミナルから入力させるようにしてファイルに残さないようにしたうえで，復号可能な暗号化を行えば良さそうです．OSの脆弱性を突いてメモリ上のデータを盗まれない限りは安全になります．