Submit Search
Upload
Word presssecurity
•
0 likes
•
428 views
Fumito Mizuno
Follow
WordPress セキュリティを考える回、資料。 WordPress のログインの仕組み、二段階認証。ログイン判定クッキーとソルト。
Read less
Read more
Technology
Report
Share
Report
Share
1 of 15
Download now
Download to read offline
Recommended
WordPress, concrete5, Drupal
WordPress, concrete5, Drupal
Fumito Mizuno
SAHANA Eden
SAHANA Eden
Fumito Mizuno
コンクリートファイブで作るポータルサイト
コンクリートファイブで作るポータルサイト
Fumito Mizuno
concrete5のアドオン
concrete5のアドオン
Fumito Mizuno
PHPカンファレンス北海道 php技術者認定上級試験を受けてみた
PHPカンファレンス北海道 php技術者認定上級試験を受けてみた
Fumito Mizuno
WordCamp Tokyo 2013 Security
WordCamp Tokyo 2013 Security
Fumito Mizuno
キンドルダイレクトパブリッシングで電子書籍出版
キンドルダイレクトパブリッシングで電子書籍出版
Fumito Mizuno
ソフトウェアの国際化に協力しやすくする
ソフトウェアの国際化に協力しやすくする
Fumito Mizuno
Recommended
WordPress, concrete5, Drupal
WordPress, concrete5, Drupal
Fumito Mizuno
SAHANA Eden
SAHANA Eden
Fumito Mizuno
コンクリートファイブで作るポータルサイト
コンクリートファイブで作るポータルサイト
Fumito Mizuno
concrete5のアドオン
concrete5のアドオン
Fumito Mizuno
PHPカンファレンス北海道 php技術者認定上級試験を受けてみた
PHPカンファレンス北海道 php技術者認定上級試験を受けてみた
Fumito Mizuno
WordCamp Tokyo 2013 Security
WordCamp Tokyo 2013 Security
Fumito Mizuno
キンドルダイレクトパブリッシングで電子書籍出版
キンドルダイレクトパブリッシングで電子書籍出版
Fumito Mizuno
ソフトウェアの国際化に協力しやすくする
ソフトウェアの国際化に協力しやすくする
Fumito Mizuno
OSC Kobe 2010
OSC Kobe 2010
Fumito Mizuno
Sahana20120429
Sahana20120429
Fumito Mizuno
Mizuno buddypress-plugin
Mizuno buddypress-plugin
Fumito Mizuno
WordPress の国際化方法
WordPress の国際化方法
Fumito Mizuno
Concrete5 アドオン一覧
Concrete5 アドオン一覧
Fumito Mizuno
Novius OSの紹介 at CMS fun
Novius OSの紹介 at CMS fun
Fumito Mizuno
FuelPHP Osu Nagoya vol.1
FuelPHP Osu Nagoya vol.1
Fumito Mizuno
使ってみて気づいた AGPL ライセンスの メリット・デメリット
使ってみて気づいた AGPL ライセンスの メリット・デメリット
Fumito Mizuno
Novius os chiba の紹介
Novius os chiba の紹介
Fumito Mizuno
More Related Content
Viewers also liked
OSC Kobe 2010
OSC Kobe 2010
Fumito Mizuno
Sahana20120429
Sahana20120429
Fumito Mizuno
Mizuno buddypress-plugin
Mizuno buddypress-plugin
Fumito Mizuno
WordPress の国際化方法
WordPress の国際化方法
Fumito Mizuno
Concrete5 アドオン一覧
Concrete5 アドオン一覧
Fumito Mizuno
Novius OSの紹介 at CMS fun
Novius OSの紹介 at CMS fun
Fumito Mizuno
FuelPHP Osu Nagoya vol.1
FuelPHP Osu Nagoya vol.1
Fumito Mizuno
使ってみて気づいた AGPL ライセンスの メリット・デメリット
使ってみて気づいた AGPL ライセンスの メリット・デメリット
Fumito Mizuno
Novius os chiba の紹介
Novius os chiba の紹介
Fumito Mizuno
Viewers also liked
(9)
OSC Kobe 2010
OSC Kobe 2010
Sahana20120429
Sahana20120429
Mizuno buddypress-plugin
Mizuno buddypress-plugin
WordPress の国際化方法
WordPress の国際化方法
Concrete5 アドオン一覧
Concrete5 アドオン一覧
Novius OSの紹介 at CMS fun
Novius OSの紹介 at CMS fun
FuelPHP Osu Nagoya vol.1
FuelPHP Osu Nagoya vol.1
使ってみて気づいた AGPL ライセンスの メリット・デメリット
使ってみて気づいた AGPL ライセンスの メリット・デメリット
Novius os chiba の紹介
Novius os chiba の紹介
Word presssecurity
1.
WordPress セキュリティを考 える会 水野史土 レスキューワーク株式会社 http://www.rescuework.jp/
2.
自己紹介 WordPress 日本語化チーム フォーラムの常連回答者 Novius OS
のコントリビュータ
3.
WordPress のログインの仕組み ログイン URL
へアクセス ● ユーザー名 ● パスワード を入力する
4.
二段階認証(Google Authenticator) ● ユーザー名 ●
パスワード + Google Authenticator code を入力 http://wordpress. org/plugins/google- authenticator/
5.
二段階認証の例 ログイン時(または直前)に、 携帯端末やメールアドレスに、 一定時間のみ有効なパスワードを送る 送信されたパスワードを入力しないと、 ログインできない
6.
二段階認証にすると ログインにパスワードと二段階認証が必要 パスワードを盗まれても(推測されても)、 アカウント乗っ取りを防げる
7.
WordPress の認証チェック処理 ログイン URL ログイン 状態 ID、パスワードを入力 =>ログイン
8.
二段階認証を導入 ログイン URL ログイン 状態 ID、パスワード に加えて 認証コードが必要 追加の認証
9.
ログインログ/アカウントロック ログインログ Crazy Bone、Login Alert
Notification 等 => ログインURL へのアクセス、またはログイン試 行結果を記録する アカウントロック Simple Login Lockdown 等 => ログイン失敗が一定数を超えると、そのアカウ ント(あるいは端末)でログイン不可にする
10.
ログインログ/アカウントロック ログイン URL ログイン 状態 ログ取得
11.
ログイン状態の保持 WordPress では、クッキーを使用 特定のキー/値のクッキーがある => ログインしていると判定される クッキー生成にソルトを利用
12.
クッキーでのログイン処理 トップペー ジ等 ログイン 状態 クッキーがある =>ログイン
13.
クッキーと二段階認証 Google Authenticator の場合 ●
ログイン URL に認証を追加する ● トップページ等では追加していない ● クッキーのチェックは二段階認証ではない
14.
クッキーを偽造する不正ログイン WordPress では、クッキーを偽造する方法で 不正ログインが可能 ● ログイン
ID ● パスワード ● ソルト (wp-config.php の情報)
15.
デモ クッキー偽造による不正ログイン
Download now