徳丸本の中の人 OWASP Japanアドバイザリーボード EGセキュアソリューションズ代表 IPA非常勤職員 脆弱性診断、WAFの販売・導入、セキュリティコンサルティングをやっています。
https://t.co/F0kveu1nJM

お問い合わせフォームなど個人情報を扱うフォームをSPAで実装する時の個人情報の保持に関するご質問です。

フォームは入力、確認、完了の3画面構成です。
フォームのフローは以下になります。
①入力画面から入力された個人情報をjsの状態管理処理を担う領域(具体的にはnuxtのstore等)に格納した上でバリデーション用のapiでバックエンドへ送る
②バリデーションを通っている場合、①で保存した個人情報を確認画面に表示
③ユーザーが確認ボタンを押すと、①で保存した個人情報を登録用のapiを使ってバックエンドへ送る
④登録が完了できたら完了ページを表示

このようなフローで個人情報をフロント側で保持することは問題ないでしょうか。

2021/10/08 13:47

気にされているポイントが今一つわかりませんが、Nuxtのstoreということは実体としてはJavaScriptの変数ですので、従来からJavaScriptの変数に個人情報が入っても差し支えないわけで、そういう意味では「問題ない」です。

ギフトサポートする

徳丸 浩

コメント

継続サポートするとコメントを閲覧、投稿することができます。

その他の投稿
不特定多数の利用者が自由にユーザーアカウントを作れるWebサービスで、「メールアドレス認証だけ」でログインできる方式は危険でしょうか?

いま一般的にはまず「パスワード認証」を備えて、さらにパスワードを忘れた時にメールアドレスに指定の鍵(短時間だけ有効な認証コードや認証URL)を送ってパスワードを再設定できる方式がメジャーなように思います。

よく考えたらそれはつまりメールアドレス認証ができればそのアカウントの持ち主と判断しているので、最初からメールアドレス認証だけでログインしても同じなのでは?と思ってしまいます。

しかしパスワード登録がないWebサービスは個人的には見かけたことがありません。

スマホ等を利用した多要素認証でセキュリティ向上というのはひとまず置いておいて、「パスワード認証は不要で、メールアドレス認証でいいのでは?」という点が気になっています。パスワードが盗まれるリスクが1つ減るから良いのでは?とすら思ってしまうのですが・・。
itのセキュリティ業界って狭くないですか?
知ってる人にすぐ繋がるような。
ログイン機能に対するCSRFは、一般的なCSRFと比べてリスクが低いといえるでしょうか?
IE のサポート終了は、徳丸本第3版を執筆する理由になりますか?
徳丸先生の思う「ご自身の過去最高の殺し文句」は何ですか