Get ( 持続 ID ) 関数の罠
- 1. Get ( 持続 ID ) 関数の罠 2012/12/1 FileMaker UG 全国合同オフラインミーティング 2012 ライトニングトーク発表資料 松尾 篤(株式会社エミック)
- 2. Agenda • Get ( 持続 ID ) 関数とは • Get ( 持続 ID ) 関数とセキュリティ • Get ( 持続 ID ) 関数とプライバシー
- 3. Get ( 持続 ID ) 関数とは
- 4. Get ( 持続 ID ) 関数 • “FileMaker が実行しているコンピュー タまたはデバイスの固有の識別子を表 すテキストを返します”(FileMaker Pro 12 ヘルプ) • 英語ではGet(PersistentID)
- 5. Get ( 持続 ID ) 関数と セキュリティ
- 6. ありがちな落とし穴 • Get ( 持続 ID ) 関数を使えばログイン の手間を省けるのでは? • Get ( 持続 ID ) 関数さえ使えばセキュ リティが向上するのでは?
- 7. これって本当?
- 9. かんたんログインは危険 • なりすましが可能(セキュリティ上 の問題がある) • かんたんログインに起因するセキュリ ティ事故の事例も過去に多数
- 10. Get ( 持続 ID ) 関数の罠 • Get ( 持続 ID ) 関数で取得した値だけ で利用者を認証する設計は危険 • 場合によってはGet ( 持続 ID ) 関数で はなくGet ( UUID ) 関数を使って実装 すれば済むケースも
- 11. Get ( 持続 ID ) 関数と プライバシー
- 12. 持続IDとプライバシー • Get ( 持続 ID ) 関数の戻り値は端末に 固有のID番号 • 広範な用途で共通して使われる唯一 無二のID番号はプライバシーの問題を ひきおこす
- 13. どうすればよい? • Get ( 持続 ID ) 関数の戻り値をそのま ま保存して使わない • 例えば、Get ( 持続 ID ) 関数の戻り値 にソルトをつけてハッシュ値を生成 • 関数自体がソルトを引数として与えな いと使用できない仕様が望ましい?
- 14. まとめ • Get ( 持続 ID ) 関数で取得した値だけ で利用者を認証する設計は危険 • 広範な用途で共通して使われる唯一 無二のID番号はプライバシーの問題を ひきおこす
- 15. 参考 • 安全なウェブサイトの作り方 改訂第5版 (情報処理推進機構) http://www.ipa.go.jp/about/press/ 20110406.html
- 16. 参考 • 2011年版 10大脅威 進化する攻撃... その対策で十分ですか?(情報処理推進 機構) http://www.ipa.go.jp/security/vuln/ 10threats2011.html
- 17. 参考 • 今こそケータイID問題の解決に向けて (高木浩光@自宅の日記) https://takagi-hiromitsu.jp/diary/ 20100619.html
- 18. 参考 • ID番号は秘密ではない。秘密でないが隠 すのが望ましい。なぜか。(高木浩光@ 自宅の日記) https://takagi-hiromitsu.jp/diary/ 20120303.html