0
0
前書き
Flutterとfirebase間でのデータ送受信のセキュリティについて皆さんの見解を教えて頂きたいです。
現状
私は今flutterとfirebaseを使用してwebアプリを作成しています。
ログイン処理の際に
- ユーザー名を入力してもらう
- firebaseからユーザー名と同じ名前のドキュメントを取得(ここにパスワードも含まれる、ハッシュ化などはされていない)
- ユーザーがパスワードを入力し、取得したドキュメント内のパスワードと合う場合はログイン
と言う処理をしているのですが(2)で取得した情報の安全性が分からないのです。
お教えいただきたい事
悪意のあるユーザーがこの情報を取得する方法はあるのでしょうか?また安全性に欠ける場合どのような処理が考えられるでしょうか?
後々firebaseからバックエンドを変更する可能性があるためfirebaseauthではなくこのような処理にしています。
回答4件
#1
総合スコア7895
投稿2023/11/28 02:57
firebaseからユーザー名と同じ名前のドキュメントを取得(ここにパスワードも含まれる、ハッシュ化などはされていない)
パスワードを平文で保存し、それを誰でも取得できるようになってるわけで、セキュリティ 0 というか、実質的にはパスワード収集・公開のためのツールになってしまうと思います。
#2
#1 解答いただきありがとうございます!
セキュリティ向上の為にパスワードのハッシュ化くらいしか思いついていないのですが、hoshiさんであればどのような方法をお考えになられますか?
#3
総合スコア7895
投稿2023/11/28 07:08
クライアント側でユーザー認証を行うという方針が良くないというか、そもそも認証になってないと思います。また、ハッシュ化されたパスワードを誰でも取得できる状態は、平文よりはマシですが、解読される可能性はあり、安全とは言えないでしょうね。
そもそも、Firebase のアクセス制御は Firebase Auth が前提なので、素直に Firebase Auth を使うべきかと。バックエンドの移行が必要になった場合、Firebase Auth が持っているパスワードハッシュを取り出す方法はある (https://mythosil.hatenablog.com/entry/2018/07/16/103343) ようですし。
#4
#3 たびたびありがとうございます!
Authのパスワードに関する認識が誤っていました、お教えいただきありがとうございます!
今後は変に複雑化せずauthを使用していこうと思います。
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。