浜松のWEBシステム開発・スマートフォンアプリ開発・RTK-GNSS関連の開発はお任せください
株式会社シーポイントラボ
TEL:053-543-9889
営業時間:9:00~18:00(月〜金)
住所:静岡県浜松市中区富塚町1933-1 佐鳴湖パークタウンサウス2F

7payの乗っ取りからID連携での対策

Yahoo! ID 連携の方法で、なにか情報がでた様なので引用します。

▼脆弱性のある実装方法
フロントエンドのJavaScriptやiOS,Androidのネイティブアプリで ユーザー識別子(sub)を取得しサーバーサイドへ送信するような実装をしている場合、 ユーザー識別子を送信しログインできてしまうため、不正にログインされる可能性があります。
そのため、上記のような実装は推奨しておりません。

▼推奨する実装方法
フロントエンドのJavaScriptやiOS,Androidのネイティブアプリではユーザー識別子を直接取得するのではなく、 サーバーサイド・アプリケーションで利用されるフロー(Authorization Codeフロー)を用いて認可コードを連携し サーバーサイドでユーザー識別子などの属性情報を取得してください。

https://developer.yahoo.co.jp/changelog/2019-07-18-yconnect.html

7pay を使用していなかったのですが、ログインする際の認証に使用する場合のところだと思います。

最近SNSを使用した認証が増えているので、注意してた実装が必要そうです。

  • この記事いいね! (0)