AJYA https://blog.hatena.ne.jp/AJYA/ ソフトウェア開発者の日常 https://ajya.hatenablog.jp/ 仕事 依頼元から、会員番号とある項目を入力して、認証するシステムの作成依頼がありました。 会員番号とある項目を、他社のWebAPIに渡すと、年会費が支払われている会員であれば、OKが戻ります。 年会費が支払われていなかったり、会員番号とある項目の組み合わせが正しくなければ、NGが戻ります。会員番号とある項目は、本人だけが知っている項目だと思っていたら、以前は公開された情報だったというのがわかりしました。 これでは、公開された情報のときに、他人の分を控えておいた悪意ある人物が、他人の情報を使って認証できてしまいます。 オーソドックスな対策は、パスワードを使う方法なのに… 対策として、会員番号とある項目… 190 <iframe src="https://hatenablog-parts.com/embed?url=https%3A%2F%2Fajya.hatenablog.jp%2Fentry%2F2019%2F08%2F29%2F180500" title="パスワードを認証の要素として使えない理由が理解できない - ソフトウェア開発者の日常" class="embed-card embed-blogcard" scrolling="no" frameborder="0" style="display: block; width: 100%; height: 190px; max-width: 500px; margin: 10px 0px;"></iframe> https://cdn-ak.f.st-hatena.com/images/fotolife/A/AJYA/20190829/20190829125245.png Hatena Blog https://hatena.blog 2019-08-29 18:05:00 rich https://ajya.hatenablog.jp/entry/2019/08/29/180500 1.0 100%