SlideShare a Scribd company logo

Get ( 持続 ID ) 関数の罠

A
Atsushi Matsuo

2012/12/01 FileMaker UG 全国合同オフラインミーティング 2012 LT発表資料

Technology
1 of 18
Download to read offline
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
Get ( 持続 ID ) 関数の罠 2012/12/1 FileMaker UG 全国合同オフラインミーティング 2012 ライトニングトーク発表資料 松尾 篤(株式会社エミック)
Agenda • Get ( 持続 ID ) 関数とは • Get ( 持続 ID ) 関数とセキュリティ • Get ( 持続 ID ) 関数とプライバシー
Get ( 持続 ID ) 関数とは
Get ( 持続 ID ) 関数 • “FileMaker が実行しているコンピュー タまたはデバイスの固有の識別子を表 すテキストを返します”(FileMaker Pro 12 ヘルプ) • 英語ではGet(PersistentID)
Get ( 持続 ID ) 関数と セキュリティ
ありがちな落とし穴 • Get ( 持続 ID ) 関数を使えばログイン の手間を省けるのでは? • Get ( 持続 ID ) 関数さえ使えばセキュ リティが向上するのでは?
これって本当?
かんたんログイン • 携帯IDだけで利用者を認証する設計
かんたんログインは危険 • なりすましが可能(セキュリティ上 の問題がある) • かんたんログインに起因するセキュリ ティ事故の事例も過去に多数
Get ( 持続 ID ) 関数の罠 • Get ( 持続 ID ) 関数で取得した値だけ で利用者を認証する設計は危険 • 場合によってはGet ( 持続 ID ) 関数で はなくGet ( UUID ) 関数を使って実装 すれば済むケースも
Get ( 持続 ID ) 関数と プライバシー
持続IDとプライバシー • Get ( 持続 ID ) 関数の戻り値は端末に 固有のID番号 • 広範な用途で共通して使われる唯一 無二のID番号はプライバシーの問題を ひきおこす
どうすればよい? • Get ( 持続 ID ) 関数の戻り値をそのま ま保存して使わない • 例えば、Get ( 持続 ID ) 関数の戻り値 にソルトをつけてハッシュ値を生成 • 関数自体がソルトを引数として与えな いと使用できない仕様が望ましい?
まとめ • Get ( 持続 ID ) 関数で取得した値だけ で利用者を認証する設計は危険 • 広範な用途で共通して使われる唯一 無二のID番号はプライバシーの問題を ひきおこす
参考 • 安全なウェブサイトの作り方 改訂第5版 (情報処理推進機構) http://www.ipa.go.jp/about/press/ 20110406.html
参考 • 2011年版 10大脅威 進化する攻撃... その対策で十分ですか?(情報処理推進 機構) http://www.ipa.go.jp/security/vuln/ 10threats2011.html
参考 • 今こそケータイID問題の解決に向けて (高木浩光@自宅の日記) https://takagi-hiromitsu.jp/diary/ 20100619.html
参考 • ID番号は秘密ではない。秘密でないが隠 すのが望ましい。なぜか。(高木浩光@ 自宅の日記) https://takagi-hiromitsu.jp/diary/ 20120303.html

More Related Content

PDF
Merise exercicesmcdcorriges-121007174045-phpapp01
SaberCraft Zeriguine
 
PPT
programmation orienté objet c++
coursuniv
 
PDF
TFE. Conception et réalisation d'une application web mobile touristique. Marg...
Jonathan Margrève
 
PPT
Presentation CARM Continuite d'Activite, Continuite Informatique et Gestion d...
Alterest
 
PDF
Attestation_de_formation-1
erick philippe-rebena
 
PPTX
Presentation du Stage
AbdessamadIdouanaou1
 
PDF
Merise+ +exercices+mcd+-+corrigés
Majid CHADAD
 
PPT
prévention santé sécurité au travail PPT
enz019
 
Merise exercicesmcdcorriges-121007174045-phpapp01
SaberCraft Zeriguine
 
programmation orienté objet c++
coursuniv
 
TFE. Conception et réalisation d'une application web mobile touristique. Marg...
Jonathan Margrève
 
Presentation CARM Continuite d'Activite, Continuite Informatique et Gestion d...
Alterest
 
Attestation_de_formation-1
erick philippe-rebena
 
Presentation du Stage
AbdessamadIdouanaou1
 
Merise+ +exercices+mcd+-+corrigés
Majid CHADAD
 
prévention santé sécurité au travail PPT
enz019
 

What's hot (20)

DOC
LâIk Devlet Ilkesi
Ahmet Türkan
 
PPTX
Présentation CNESST Estrie
Lisette Arel
 
PDF
Procédure Demande d'lntervention
G. Christophe
 
PDF
Implémentation d’une solution de géolocalisation des véhicules basée sur open...
HORIYASOFT
 
PDF
Rôle et missions du pharmacien sapeur-pompier
APRHOC
 
PDF
Rapport- Conception et réalisation d'une plateforme social learning
Rouâa Ben Hammouda
 
PDF
Gestion d’une agence de voyage routière (Blondel Seumo)
Gantner Technologies
 
PPTX
Perceptron monocouche en français
Hakim Nasaoui
 
PDF
Les risques lies à l'activité la de maintenance
chokri SOLTANI
 
PPTX
Présentation du laboratoire
Yvon Gervaise
 
PDF
Les outils en ligne dédies à la sécurité des machines
chokri SOLTANI
 
PPT
e-Learning - Quoi ? Pourquoi ? Vraiment ? Comment ?
Laurent
 
DOCX
MEMOIRE DE STAGE
jemmeli nejmeddine
 
PDF
Alphorm.com Formation Java,avancé OCP (1Z0-804)
Alphorm
 
PDF
Créer facilement une application mobile avec Keosu
Marc Daniel
 
PDF
Soutenance de Mon PFE - Interaction Homme Machine par geste avec Python - Jai...
Mohammed JAITI
 
PDF
Guide ventilation diag-int
Athmane HARIZI
 
PDF
Rapport de stage PFA AMELIORATION DES PERFORMANCES DE LA LIGNE DE PRODUCTION.pdf
wassimhnaien
 
PDF
Mon cours merise v2017
abdelmounaim bendaoud
 
PPT
présentation 1 Fondements théoriques des SI (1).ppt
IbrahimNjeh2
 
LâIk Devlet Ilkesi
Ahmet Türkan
 
Présentation CNESST Estrie
Lisette Arel
 
Procédure Demande d'lntervention
G. Christophe
 
Implémentation d’une solution de géolocalisation des véhicules basée sur open...
HORIYASOFT
 
Rôle et missions du pharmacien sapeur-pompier
APRHOC
 
Rapport- Conception et réalisation d'une plateforme social learning
Rouâa Ben Hammouda
 
Gestion d’une agence de voyage routière (Blondel Seumo)
Gantner Technologies
 
Perceptron monocouche en français
Hakim Nasaoui
 
Les risques lies à l'activité la de maintenance
chokri SOLTANI
 
Présentation du laboratoire
Yvon Gervaise
 
Les outils en ligne dédies à la sécurité des machines
chokri SOLTANI
 
e-Learning - Quoi ? Pourquoi ? Vraiment ? Comment ?
Laurent
 
MEMOIRE DE STAGE
jemmeli nejmeddine
 
Alphorm.com Formation Java,avancé OCP (1Z0-804)
Alphorm
 
Créer facilement une application mobile avec Keosu
Marc Daniel
 
Soutenance de Mon PFE - Interaction Homme Machine par geste avec Python - Jai...
Mohammed JAITI
 
Guide ventilation diag-int
Athmane HARIZI
 
Rapport de stage PFA AMELIORATION DES PERFORMANCES DE LA LIGNE DE PRODUCTION.pdf
wassimhnaien
 
Mon cours merise v2017
abdelmounaim bendaoud
 
présentation 1 Fondements théoriques des SI (1).ppt
IbrahimNjeh2
 
Ad

Similar to Get ( 持続 ID ) 関数の罠 (20)

PDF
指紋認証と「FIDO」について
Device WebAPI Consortium
 
PDF
N18_大学におけるパンデミックからの復興 ~DX がパンデミック後の教育機関のコア価値を強化する [Microsoft Japan Digital Days]
日本マイクロソフト株式会社
 
PPTX
OpenID ConnectとSCIMのエンタープライズ利用ガイドライン
Takashi Yahata
 
PDF
FIDOセキュリティ認定の概要と最新状況
FIDO Alliance
 
PDF
IDガバナンス&管理の基礎
Hitachi, Ltd. OSS Solution Center.
 
PDF
FIDO2によるパスワードレス認証が導く新しい認証の世界
Kazuhito Shibata
 
PDF
Microsoft Edge のFIDO サポート状況
Osamu Monoe
 
PDF
【17-D-6】「ソフトウェアの収益増大のためのセキュリティソリューション」小池康幸氏
Developers Summit
 
PDF
Share file業務で使うクラウドストレージ 〜無限に拡がるデータの活用形態〜
Citrix Systems Japan
 
PDF
MSC 2010 T2-1 クラウドで企業の PC 運用管理が変わる! Windows Intune (基本編)
kumo2010
 
PDF
Rancherを活用して開発効率を上げる
Michitaka Terada
 
PPTX
OpenID ConnectとSCIMによるエンタープライズでのID連携活用に向けて
Takashi Yahata
 
PDF
Iddance2 fido
HiroshiUeno15
 
PPTX
Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向
Hitachi, Ltd. OSS Solution Center.
 
PPTX
YJTC18 D-1 安心安全な次世代認証を目指して 〜社会に溶け込む認証技術〜
Yahoo!デベロッパーネットワーク
 
PDF
What's CodeSign
Shin Yamamoto
 
PDF
アイデンティティ (ID) 技術の最新動向とこれから
Tatsuo Kudo
 
PDF
CSI Driverを開発し自社プライベートクラウドにより適した安全なKubernetes Secrets管理を実現した話
Katsuya Yamaguchi
 
PDF
エンタープライズITでのOpenID Connect利用ガイドライン
Tatsuo Kudo
 
PDF
組織におけるアイデンティティ管理の基本的な考え方
Naohiro Fujie
 
指紋認証と「FIDO」について
Device WebAPI Consortium
 
N18_大学におけるパンデミックからの復興 ~DX がパンデミック後の教育機関のコア価値を強化する [Microsoft Japan Digital Days]
日本マイクロソフト株式会社
 
OpenID ConnectとSCIMのエンタープライズ利用ガイドライン
Takashi Yahata
 
FIDOセキュリティ認定の概要と最新状況
FIDO Alliance
 
IDガバナンス&管理の基礎
Hitachi, Ltd. OSS Solution Center.
 
FIDO2によるパスワードレス認証が導く新しい認証の世界
Kazuhito Shibata
 
Microsoft Edge のFIDO サポート状況
Osamu Monoe
 
【17-D-6】「ソフトウェアの収益増大のためのセキュリティソリューション」小池康幸氏
Developers Summit
 
Share file業務で使うクラウドストレージ 〜無限に拡がるデータの活用形態〜
Citrix Systems Japan
 
MSC 2010 T2-1 クラウドで企業の PC 運用管理が変わる! Windows Intune (基本編)
kumo2010
 
Rancherを活用して開発効率を上げる
Michitaka Terada
 
OpenID ConnectとSCIMによるエンタープライズでのID連携活用に向けて
Takashi Yahata
 
Iddance2 fido
HiroshiUeno15
 
Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向
Hitachi, Ltd. OSS Solution Center.
 
YJTC18 D-1 安心安全な次世代認証を目指して 〜社会に溶け込む認証技術〜
Yahoo!デベロッパーネットワーク
 
What's CodeSign
Shin Yamamoto
 
アイデンティティ (ID) 技術の最新動向とこれから
Tatsuo Kudo
 
CSI Driverを開発し自社プライベートクラウドにより適した安全なKubernetes Secrets管理を実現した話
Katsuya Yamaguchi
 
エンタープライズITでのOpenID Connect利用ガイドライン
Tatsuo Kudo
 
組織におけるアイデンティティ管理の基本的な考え方
Naohiro Fujie
 
Ad

More from Atsushi Matsuo (20)

PDF
FMPress Formsの紹介とバージョン1.0.2の変更点
Atsushi Matsuo
 
PDF
Claris FileMaker Server for Linux 入門
Atsushi Matsuo
 
PDF
FMPress Formsの紹介
Atsushi Matsuo
 
PDF
fmcsadmin 1.3.0の新機能
Atsushi Matsuo
 
PDF
Integromatを使いノーコードでkintoneのレコードを作成
Atsushi Matsuo
 
PDF
INTER-Mediator 5.12とClaris FileMaker Server
Atsushi Matsuo
 
PDF
オフライン環境でもkintoneのデータを活用する方法
Atsushi Matsuo
 
PDF
fmcsadmin 1.2.0の新機能
Atsushi Matsuo
 
PDF
Claris FileMaker Server 管理者が知っておきたい Infrastructure as Code
Atsushi Matsuo
 
PDF
Claris FileMaker Server 19.2で拡張されたFileMaker Admin API
Atsushi Matsuo
 
PDF
FileMaker Server for LinuxでAD FSによる外部認証
Atsushi Matsuo
 
PDF
fmcsadmin 1.1.0
Atsushi Matsuo
 
PDF
Claris FileMaker Server 19の新機能と改善点
Atsushi Matsuo
 
PDF
macOS版VirtualBoxにCentOS Linux 7をインストール
Atsushi Matsuo
 
PDF
FileMaker Server 18とJava
Atsushi Matsuo
 
PDF
SSL暗号化通信を利用したネットワークセキュリティの向上(2020年版)
Atsushi Matsuo
 
PDF
Integromatを使いkintoneからSlackに通知を送る
Atsushi Matsuo
 
PDF
fmcsadmin 1.0.0
Atsushi Matsuo
 
PDF
XMLPasteの紹介
Atsushi Matsuo
 
PDF
FileMaker Admin API の使い方と活用方法
Atsushi Matsuo
 
FMPress Formsの紹介とバージョン1.0.2の変更点
Atsushi Matsuo
 
Claris FileMaker Server for Linux 入門
Atsushi Matsuo
 
FMPress Formsの紹介
Atsushi Matsuo
 
fmcsadmin 1.3.0の新機能
Atsushi Matsuo
 
Integromatを使いノーコードでkintoneのレコードを作成
Atsushi Matsuo
 
INTER-Mediator 5.12とClaris FileMaker Server
Atsushi Matsuo
 
オフライン環境でもkintoneのデータを活用する方法
Atsushi Matsuo
 
fmcsadmin 1.2.0の新機能
Atsushi Matsuo
 
Claris FileMaker Server 管理者が知っておきたい Infrastructure as Code
Atsushi Matsuo
 
Claris FileMaker Server 19.2で拡張されたFileMaker Admin API
Atsushi Matsuo
 
FileMaker Server for LinuxでAD FSによる外部認証
Atsushi Matsuo
 
fmcsadmin 1.1.0
Atsushi Matsuo
 
Claris FileMaker Server 19の新機能と改善点
Atsushi Matsuo
 
macOS版VirtualBoxにCentOS Linux 7をインストール
Atsushi Matsuo
 
FileMaker Server 18とJava
Atsushi Matsuo
 
SSL暗号化通信を利用したネットワークセキュリティの向上(2020年版)
Atsushi Matsuo
 
Integromatを使いkintoneからSlackに通知を送る
Atsushi Matsuo
 
fmcsadmin 1.0.0
Atsushi Matsuo
 
XMLPasteの紹介
Atsushi Matsuo
 
FileMaker Admin API の使い方と活用方法
Atsushi Matsuo
 

Get ( 持続 ID ) 関数の罠