アカウント名:
パスワード:
どこの段階で防ぐべきだっただろうか。
・cookieを盗まれない → 未知の脆弱性もあるだろうし、ここで100%防衛は無理。・チャットでITサポート担当者に携帯電話をなくしたとメッセージを送って多要素認証トークンを入手 → やっぱここか。
「携帯電話無くしたんだけど」ってオレオレ詐欺ばりの手口にひっかかるのがダメってことか。うちの会社だと、社内で受け取りか、社内システムに事前登録した住所への送付しか選択肢が無い。
cookie(トークン)の期限を短くするのは?
短期間で何度も客にログインさせると客離れ増えるからそれはできないんだよな
再アクセス時に再発行でいいんじゃないかな?有効期限は3日ぐらいにすれば週末あっても大丈夫3連休あると期限切れになるけど
それ犯罪者も3日ごとに再発行を受けて半永久的にcookieの期限延ばせちゃうから逆に危険じゃね正当な利用者だけが割を食うことに
OAuth 2.0みたいに、再発行には隠し持っている別の認証情報(リフレッシュトークン)を要求するというのはどうだろうか。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
未知のハックに一心不乱に取り組んだ結果、私は自然の法則を変えてしまった -- あるハッカー
どこで防ぐべきか (スコア:1)
どこの段階で防ぐべきだっただろうか。
・cookieを盗まれない
→ 未知の脆弱性もあるだろうし、ここで100%防衛は無理。
・チャットでITサポート担当者に携帯電話をなくしたとメッセージを送って多要素認証トークンを入手
→ やっぱここか。
「携帯電話無くしたんだけど」ってオレオレ詐欺ばりの手口にひっかかるのがダメってことか。
うちの会社だと、社内で受け取りか、社内システムに事前登録した住所への送付しか選択肢が無い。
Re: (スコア:0)
cookie(トークン)の期限を短くするのは?
Re: (スコア:0)
短期間で何度も客にログインさせると客離れ増えるからそれはできないんだよな
Re: (スコア:0)
再アクセス時に再発行でいいんじゃないかな?
有効期限は3日ぐらいにすれば週末あっても大丈夫
3連休あると期限切れになるけど
Re: (スコア:0)
それ犯罪者も3日ごとに再発行を受けて半永久的にcookieの期限延ばせちゃうから逆に危険じゃね
正当な利用者だけが割を食うことに
Re:どこで防ぐべきか (スコア:0)
OAuth 2.0みたいに、再発行には隠し持っている別の認証情報(リフレッシュトークン)を要求するというのはどうだろうか。