質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.50%
Firebase

Firebaseは、Googleが提供するBasSサービスの一つ。リアルタイム通知可能、並びにアクセス制御ができるオブジェクトデータベース機能を備えます。さらに認証機能、アプリケーションのログ解析機能などの利用も可能です。

Elasticsearch

Elasticsearchは、クラウド向けに構築された、RESTful な API を提供する分散型のサーチエンジンアプリケーションです。

Android

Androidは、Google社が開発したスマートフォンやタブレットなど携帯端末向けのプラットフォームです。 カーネル・ミドルウェア・ユーザーインターフェイス・ウェブブラウザ・電話帳などのアプリケーションやソフトウェアをひとつにまとめて構成。 カーネル・ライブラリ・ランタイムはほとんどがC言語/C++、アプリケーションなどはJavaSEのサブセットとAndroid環境で書かれています。

AWS(Amazon Web Services)

Amazon Web Services (AWS)は、仮想空間を機軸とした、クラスター状のコンピュータ・ネットワーク・データベース・ストーレッジ・サポートツールをAWSというインフラから提供する商用サービスです。

Q&A

解決済

1回答

2261閲覧

AWSのElasticSearchにモバイルクライアントから直接ドキュメントを加える危険性

ken0625

総合スコア40

Firebase

Firebaseは、Googleが提供するBasSサービスの一つ。リアルタイム通知可能、並びにアクセス制御ができるオブジェクトデータベース機能を備えます。さらに認証機能、アプリケーションのログ解析機能などの利用も可能です。

Elasticsearch

Elasticsearchは、クラウド向けに構築された、RESTful な API を提供する分散型のサーチエンジンアプリケーションです。

Android

Androidは、Google社が開発したスマートフォンやタブレットなど携帯端末向けのプラットフォームです。 カーネル・ミドルウェア・ユーザーインターフェイス・ウェブブラウザ・電話帳などのアプリケーションやソフトウェアをひとつにまとめて構成。 カーネル・ライブラリ・ランタイムはほとんどがC言語/C++、アプリケーションなどはJavaSEのサブセットとAndroid環境で書かれています。

AWS(Amazon Web Services)

Amazon Web Services (AWS)は、仮想空間を機軸とした、クラスター状のコンピュータ・ネットワーク・データベース・ストーレッジ・サポートツールをAWSというインフラから提供する商用サービスです。

0グッド

1クリップ

投稿2016/10/27 21:10

セキュリティがまだまだ何が危険になるのかわからないため質問したいです。

メルカリのようにモバイルのクライアントが出品してそれを取引するサービスを作りたいのですが、商品データを検索するためにElasticSearchを使いたくてAWSを利用しようかと考えています。

できれば自分のサーバーをたてないで使いたいのですが(バックエンドはFirebaseを使っています)、FirebaseのAuthとIAMロールをうまく活用すればElasticSearchとモバイルクライアントからHTTPメソッドを送ってElasticSearchにドキュメントをセキュアに追加することは可能ですか?

可能なら方法を教えてもらいたいです。
サーバー経由したほうが安全なのはわかるのですが何か方法はないものかと...

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

guest

回答1

0

ベストアンサー

何を以ってセキュアとされるのでしょうか?

モバイルクライアントから直接入れる場合、データ検証と認証情報は配布しているクライアントに持つという事ですよね。
悪意のある利用者が居た場合、データ検証無しに認証情報を使って直接ElasticSearchにアクセスできると言うことです。

技術的には難しくありませんし、簡単な事ですが、悪意のある利用者から守る方法がいたちごっこになりますので、おすすめしません。
サーバを一旦挟んで、悪意のある利用者からシステムを保護しましょう。

投稿2016/10/27 23:58

moonphase

総合スコア6621

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

ken0625

2016/10/28 00:42

例えば、Oauth認証を使ってるのでOauth認証した人だけドキュメントをaddだけできるようにIAMロールを設定して、ドキュメントは設定した型以外のものを弾く場合でも好き勝手されてしまうのでしょうか? 指定した型のドキュメントをOauthで認証した人が登録するだけなら好き勝手とはいっても限界あるかなぁとおもったんですよね... ただどちらにせよよく考えたら登録したドキュメントを削除するコマンドはどうやっても危ないのでサーバーが必要になるのは分かったのですがorz
moonphase

2016/10/28 00:53

具体的な利用者が信頼できる人のみであれば問題ないと思います。好き勝手して困るのは自分たちなのですから。 例えば、私でも利用できるということであれば、OAuthしてしまえば好き勝手出来るということですよね。 指定した型のみでも、本来の掲載したい情報以外の意味のないデータを入れられても困ると思います。 セキュアの定義を決めてみてはいかがでしょうか。 それを満たすならクライアントから直接でもいいと思います。
guest

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.50%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問