徳丸本の中の人 OWASP Japanアドバイザリーボード EGセキュアソリューションズ代表 IPA非常勤職員 脆弱性診断、WAFの販売・導入、セキュリティコンサルティングをやっています。
https://t.co/F0kveu1nJM

AWSのAmplify JS(ライブラリ)を使ってWeb フロントエンドからCognito(認証サービス)にログインすると、デフォルトでローカルストレージにアクセストークンやリフレッシュトークンが保存されます。これはXSSのセキュリティリスクがあると思われますが、Cognito側で利用可能Device ID(ローカルストレージで固有のID。ローカルストレージを作り直すと新しい値になる)を指定することができます。つまり流出したトークンは使用不可となります。これによりどの程度XSSなどのセキュリティリスクが軽減されるのか、専門家としての意見をお聞かせいただけると幸いです。

2021/02/17 10:08

ちょっと不明確な点があるのと、そもそも完全にお仕事の内容なので、回答はご容赦ください。

ギフトサポートする

徳丸 浩

コメント

継続サポートするとコメントを閲覧、投稿することができます。

その他の投稿
apacheで、リバースプロキシを構築するという記事が古いものしか見つかりません。最近はあまり行われていないのでしょうか?
X-XSS-Protectionはもう昔のものになってしまったようですが、徳丸本第2版が執筆された時期にはまだ現役のものだったのだと思っています。合ってますでしょうか。
質問の続きですみません。

サイト閲覧中の利用者が、管理者用ボタンadminを誤ってクリックして、
IDとパスワード無しでアクセス出来た場合も、利用者は責任を問われてしまうのでしょうか。

普通はIDとPW入力画面が出るのに、出ずに管理者ページに飛んだケースです。

稀だと思いますが、回答お願いします。
youtubeにて"戻るボタンで漏洩するサイト"という動画を拝見しましたが、
もしこのような現象が実際に起きた場合、利用者は責任を問われてしまいますか?(不正アクセスなど)

ID、パスワードを入力せず誤ってログインをクリックした場合も含めてです。
よくランディングページにセキュリティの強度をアピールするため、暗号化アルゴリズムの名前など暗号化方式を簡単に説明しているサービスが多いのですが、これは攻撃者を手助けする悪手にならないのでしょうか。
逆に「攻撃者にとって暗号文を見れば何を使っているか分かるので、対してリスクにならない」ということなのでしょうか。