ockeghem page

徳丸 浩

徳丸本の中の人 OWASP Japanアドバイザリーボード EGセキュアソリューションズ代表 IPA非常勤職員 脆弱性診断、WAFの販売・導入、セキュリティコンサルティングをやっています。
https://t.co/F0kveu1nJM

ホーム
投稿
限定投稿
リクエスト
プロフィール

AWSのAmplify JS(ライブラリ)を使ってWeb フロントエンドからCognito(認証サービス)にログインすると、デフォルトでローカルストレージにアクセストークンやリフレッシュトークンが保存されます。これはXSSのセキュリティリスクがあると思われますが、Cognito側で利用可能Device ID(ローカルストレージで固有のID。ローカルストレージを作り直すと新しい値になる)を指定することができます。つまり流出したトークンは使用不可となります。これによりどの程度XSSなどのセキュリティリスクが軽減されるのか、専門家としての意見をお聞かせいただけると幸いです。

forum リクエスト
2021/02/17 10:08

ちょっと不明確な点があるのと、そもそも完全にお仕事の内容なので、回答はご容赦ください。

ギフトサポートする

徳丸 浩

コメント

継続サポートするとコメントを閲覧、投稿することができます。

その他の投稿
apacheで、リバースプロキシを構築するという記事が古いものしか見つかりません。最近はあまり行われていないのでしょうか?
forum リクエスト
そうですね。リバースプロキシの第一選択肢はかなり前からnginx等であり、apacheを使うケースはまれだと思います。

5時間前

X-XSS-Protectionはもう昔のものになってしまったようですが、徳丸本第2版が執筆された時期にはまだ現役のものだったのだと思っています。合ってますでしょうか。
forum リクエスト
はい。ただ、Safariではまだ有効だと思っていますが、本当に最新の状況はこまめに調べないとわかりません。そういう状況を調べる目的でMacbook Air(M1)の一番安いやつを買いました…が、この件…

5日前

質問の続きですみません。 サイト閲覧中の利用者が、管理者用ボタンadminを誤ってクリックして、 IDとパスワード無しでアクセス出来た場合も、利用者は責任を問われてしまうのでしょうか。 普通はIDとPW入力画面が出るのに、出ずに管理者ページに飛んだケースです。 稀だと思いますが、回答お願いします。
forum リクエスト
それはサイトの脆弱性ですので利用者の責任ではありません

6日前

youtubeにて"戻るボタンで漏洩するサイト"という動画を拝見しましたが、 もしこのような現象が実際に起きた場合、利用者は責任を問われてしまいますか?(不正アクセスなど) ID、パスワードを入力せず誤ってログインをクリックした場合も含めてです。
forum リクエスト
利用者の責任はありません。

6日前

よくランディングページにセキュリティの強度をアピールするため、暗号化アルゴリズムの名前など暗号化方式を簡単に説明しているサービスが多いのですが、これは攻撃者を手助けする悪手にならないのでしょうか。 逆に「攻撃者にとって暗号文を見れば何を使っているか分かるので、対してリスクにならない」ということなのでしょうか。
forum リクエスト
暗号のアルゴリズムなどは調べればすぐに分かります。なぜなら、暗号化通信を成立させるためには、相手先とネゴすることが必要だからです。なので、攻撃者のヒントになることはありません。

8日前

継続サポート
ホーム
投稿
限定投稿
リクエスト
プロフィール
自分のダッシュボードへ
PAGEFULについて
利用規約
プライバシーポリシー
特定商取引法に基づく表示
PAGEFULに関するお問い合わせ

簡単オンラインコミュニティ決済ならメンバーペイ

メンバーペイ
powered by PAGEFUL[ペイジフル]