Your SlideShare is downloading. ×
Get ( 持続 ID ) 関数の罠
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Get ( 持続 ID ) 関数の罠

2,029
views

Published on

2012/12/01 FileMaker UG 全国合同オフラインミーティング 2012 LT発表資料

2012/12/01 FileMaker UG 全国合同オフラインミーティング 2012 LT発表資料

Published in: Technology

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
2,029
On Slideshare
0
From Embeds
0
Number of Embeds
4
Actions
Shares
0
Downloads
4
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. Get ( 持続 ID ) 関数の罠 2012/12/1FileMaker UG 全国合同オフラインミーティング 2012 ライトニングトーク発表資料 松尾 篤(株式会社エミック)
  • 2. Agenda• Get ( 持続 ID ) 関数とは• Get ( 持続 ID ) 関数とセキュリティ• Get ( 持続 ID ) 関数とプライバシー
  • 3. Get ( 持続 ID ) 関数とは
  • 4. Get ( 持続 ID ) 関数• “FileMaker が実行しているコンピュー タまたはデバイスの固有の識別子を表 すテキストを返します”(FileMaker Pro 12 ヘルプ)• 英語ではGet(PersistentID)
  • 5. Get ( 持続 ID ) 関数と セキュリティ
  • 6. ありがちな落とし穴• Get ( 持続 ID ) 関数を使えばログイン の手間を省けるのでは?• Get ( 持続 ID ) 関数さえ使えばセキュ リティが向上するのでは?
  • 7. これって本当?
  • 8. かんたんログイン• 携帯IDだけで利用者を認証する設計
  • 9. かんたんログインは危険• なりすましが可能(セキュリティ上 の問題がある)• かんたんログインに起因するセキュリ ティ事故の事例も過去に多数
  • 10. Get ( 持続 ID ) 関数の罠• Get ( 持続 ID ) 関数で取得した値だけ で利用者を認証する設計は危険• 場合によってはGet ( 持続 ID ) 関数で はなくGet ( UUID ) 関数を使って実装 すれば済むケースも
  • 11. Get ( 持続 ID ) 関数と プライバシー
  • 12. 持続IDとプライバシー• Get ( 持続 ID ) 関数の戻り値は端末に 固有のID番号• 広範な用途で共通して使われる唯一 無二のID番号はプライバシーの問題を ひきおこす
  • 13. どうすればよい?• Get ( 持続 ID ) 関数の戻り値をそのま ま保存して使わない• 例えば、Get ( 持続 ID ) 関数の戻り値 にソルトをつけてハッシュ値を生成• 関数自体がソルトを引数として与えな いと使用できない仕様が望ましい?
  • 14. まとめ• Get ( 持続 ID ) 関数で取得した値だけ で利用者を認証する設計は危険• 広範な用途で共通して使われる唯一 無二のID番号はプライバシーの問題を ひきおこす
  • 15. 参考• 安全なウェブサイトの作り方 改訂第5版 (情報処理推進機構) http://www.ipa.go.jp/about/press/ 20110406.html
  • 16. 参考• 2011年版 10大脅威 進化する攻撃... その対策で十分ですか?(情報処理推進 機構) http://www.ipa.go.jp/security/vuln/ 10threats2011.html
  • 17. 参考• 今こそケータイID問題の解決に向けて (高木浩光@自宅の日記) https://takagi-hiromitsu.jp/diary/ 20100619.html
  • 18. 参考• ID番号は秘密ではない。秘密でないが隠 すのが望ましい。なぜか。(高木浩光@ 自宅の日記) https://takagi-hiromitsu.jp/diary/ 20120303.html