7payの乗っ取りからID連携での対策

著者:ym

7payの乗っ取りからID連携での対策

Yahoo! ID 連携の方法で、なにか情報がでた様なので引用します。

▼脆弱性のある実装方法
フロントエンドのJavaScriptやiOS,Androidのネイティブアプリで ユーザー識別子(sub)を取得しサーバーサイドへ送信するような実装をしている場合、 ユーザー識別子を送信しログインできてしまうため、不正にログインされる可能性があります。
そのため、上記のような実装は推奨しておりません。

▼推奨する実装方法
フロントエンドのJavaScriptやiOS,Androidのネイティブアプリではユーザー識別子を直接取得するのではなく、 サーバーサイド・アプリケーションで利用されるフロー(Authorization Codeフロー)を用いて認可コードを連携し サーバーサイドでユーザー識別子などの属性情報を取得してください。

https://developer.yahoo.co.jp/changelog/2019-07-18-yconnect.html

7pay を使用していなかったのですが、ログインする際の認証に使用する場合のところだと思います。

最近SNSを使用した認証が増えているので、注意してた実装が必要そうです。

  • この記事いいね! (0)

著者について

ym administrator