• はてなブックマーク
  • テクノロジー
  • 認証用トークン保存先の第4選択肢としての「Auth0」 | ログミーBusiness
  • Twitterでシェア
  • Facebookでシェア

認証用トークン保存先の第4選択肢としての「Auth0」 | ログミーBusiness

テクノロジー カテゴリーの変更を依頼 記事元:logmi.jp
適切な情報に変更
310users がブックマーク コメント 40
    共有

    • 記事へのコメント40

    • 注目コメント
    • 新着コメント
    その他
    ockeghem
    そんなことは言っていません>『徳丸浩さんが…ということを言及していました』

    その他
    azzr
    XSSがあることが前提で、メインフレーム内のJSを信頼できないものとみなすなら、そのサイトで認証が必要な情報は一切扱えなくない?トークンだけ守っても仕方ないでしょ。

    その他
    hasegawayosuke
    徳丸さんが言ってるのは「httponlyつけててもXSSによって被害は発生する」であって「httponlyつけててもCookie読める」ではないです。

    その他
    aroechan
    XSSで盗まれるからローカルはやめようって言うのはAuth0のポジショントークみある

    その他
    saikyo_tongaricorn
    徳丸先生のブコメで草

    その他
    muuran16
    SPAはファーストパーティなんだから普通にセッションCookieにすればいいんじゃないの?もちろんhttponlyやsecure属性は付ける。/適当にブコメしちゃったけど、XSS混入が前提とか会社の信用に関わるから記事下げたほうが。。

    その他
    hylom
    LocalStorageやCookieやインメモリはXSSされると危ない!Auth0は仕組みはよく分からないけど提供者が安全だと言ってるから安全!という謎の主張だった

    その他
    strawberryhunter
    業者の煽り記事を真に受けてしまったか。

    その他
    baronhorse
    xssがあったらいずれにせよアウトでは

    その他
    mizchi
    ポジショントークが過ぎる

    その他
    northlight
    この問題本当に頭が痛いよなあ…

    その他
    J138
    XSSされてる時点で終わりじゃんw

    その他
    rryu
    Auth0はAuth0側がセッションを持っていてクッキーでセッションIDを保持するので安全性はクッキー方式と変わらないのだった。

    その他
    Cherenkov
    token

    その他
    kuracom
    “※[編注]登壇者の要望を受け、一部加筆修正を行いました。”

    その他
    quabbin
    なんじゃこりゃ…って思ったけど、ブコメで吹いたから満足w

    その他
    gayou
    いろんな意味で面白かった。

    その他
    onesplat
    XSSされたら終わりじゃん、と思ったら散々ブコメで言われていた

    その他
    delphinus35
    すごい。ブコメでボコボコにされてる。

    その他
    y-kawaz
    何でこう…、XSSされたら簡単に読めるから駄目とか、アホな前提を持ち出す記事が絶えないのかね。

    その他
    cuttoff19
    ブコメ

    その他
    eerga
    タイトルが気になって全部読んだ後に注釈とブコメ読んで理解した。最初にブコメ読んだら時間を無駄にせずに済んだのに…

    その他
    uraway
    そもそもXSSされた時点で詰むもんなぁ

    その他
    NOV1975
    (基本的なXSS対策がちゃんとなされている前提で)サードパーティー使わないとかちゃんと管理できれば別になんだって問題ないはずだが

    その他
    spark7
    意味のわからんこだわり。

    その他
    saikyo_tongaricorn
    saikyo_tongaricorn 徳丸先生のブコメで草

    2021/05/21 リンク

    その他
    hylom
    hylom LocalStorageやCookieやインメモリはXSSされると危ない!Auth0は仕組みはよく分からないけど提供者が安全だと言ってるから安全!という謎の主張だった

    2021/05/21 リンク

    その他
    ockeghem
    ockeghem そんなことは言っていません>『徳丸浩さんが…ということを言及していました』

    2021/05/21 リンク

    その他
    Shinwiki
    Securestorageあかんの

    その他
    taguch1
    XSSの時点でトークンだけ守ってもなってのと、iframeでやるのは用途外のAPI利用っぽくてそのうち事故りそうだなっつー事で普通に使ってる。つかiframe保存のadapterと認証のI/F実装すればいいだけなのになんでauth0ごと使うの?

    その他
    napsucks
    なんじゃこりゃ

    その他
    hisasann
    トークン

    その他
    b-wind
    認証tokenの話題一つでここまで書けるんだから、私はもうWebの世界は諦めた方が良さそうに思う。

    その他
    muuran16
    muuran16 SPAはファーストパーティなんだから普通にセッションCookieにすればいいんじゃないの?もちろんhttponlyやsecure属性は付ける。/適当にブコメしちゃったけど、XSS混入が前提とか会社の信用に関わるから記事下げたほうが。。

    2021/05/21 リンク

    その他
    ryousanngata
    CDNの件はSRIで検証すれば防げるし、XSSはCSPで軽減できるので、頑張っていきましょう。

    その他
    peketamin
    こうやって色んな人の訂正が受けられる様子が見れるいい時代。ありがたや。

    その他
    hasegawayosuke
    hasegawayosuke 徳丸さんが言ってるのは「httponlyつけててもXSSによって被害は発生する」であって「httponlyつけててもCookie読める」ではないです。

    2021/05/21 リンク

    その他
    shoh8
    トークンの置き場所

    その他
    deep_one
    耐タンパ領域の要求?/(ざっと読んだ)説明になっていない。出直してこい。

    その他
    Bryntsalov
    ちょっとずれているような

    その他

    注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています

    アプリのスクリーンショット
    いまの話題をアプリでチェック!
    • バナー広告なし
    • ミュート機能あり
    • ダークモード搭載
    アプリをダウンロード

    関連記事

    認証用トークン保存先の第4選択肢としての「Auth0」 | ログミーBusiness

    iCARE Developer Meetupは、月次で開催している株式会社iCAREが主催するエンジニア向けのLT勉強会です。...

    ブックマークしたユーザー

    すべてのユーザーの
    詳細を表示します

    同じサイトの新着

    同じサイトの新着をもっと読む

    いま人気の記事

    いま人気の記事をもっと読む

    いま人気の記事 - テクノロジー

    いま人気の記事 - テクノロジーをもっと読む

    新着記事 - テクノロジー

    新着記事 - テクノロジーをもっと読む

    同時期にブックマークされた記事

    いま人気の記事 - 企業メディア

    企業メディアをもっと読む

    はてなブックマーク

    公式Twitter

    はてなのサービス

    • App Storeからダウンロード
    • Google Playで手に入れよう
    Copyright © 2005-2025 Hatena. All Rights Reserved.