アカウント名:
パスワード:
別にアプリに存在した脆弱性を突いたってわけじゃないんだよな?なんでわざわざアプリからのログインだったのだろう。ウェブのが簡単では。
このアプリって指紋認証とかついているんですけど、指紋登録前の初回だとセキュリティが弱かったとか?
たぶん、攻撃者はアプリを介さずに、アプリ用サーバーに直接アクセスしたのではないか?指紋認証はあくまで端末上での認証にしか使ってなくて、FIDOに準じた作りとかにしていない残念な作りなのだろう。PCだとパズル認証があるけれど、アプリ用サーバーにはなくて狙われたのかも(アプリ使ってないから憶測)。
せっかくアプリにするなら、FIDO(に準じる/認定は受けなくても)とか、クライアント証明書使うとかして欲しかった…。
そういえばパズル認証って異様に自動化に向いてるように見えるけど、あれは何を見てるの?動きが人間っぽいかどうか?
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
身近な人の偉大さは半減する -- あるアレゲ人
よくわからん (スコア:0)
別にアプリに存在した脆弱性を突いたってわけじゃないんだよな?
なんでわざわざアプリからのログインだったのだろう。ウェブのが簡単では。
Re: (スコア:0)
このアプリって指紋認証とかついているんですけど、指紋登録前の初回だとセキュリティが弱かったとか?
Re:よくわからん (スコア:2, 参考になる)
たぶん、攻撃者はアプリを介さずに、アプリ用サーバーに直接アクセスしたのではないか?
指紋認証はあくまで端末上での認証にしか使ってなくて、FIDOに準じた作りとかにしていない残念な作りなのだろう。
PCだとパズル認証があるけれど、アプリ用サーバーにはなくて狙われたのかも(アプリ使ってないから憶測)。
せっかくアプリにするなら、FIDO(に準じる/認定は受けなくても)とか、クライアント証明書使うとかして欲しかった…。
Re: (スコア:0)
そういえばパズル認証って異様に自動化に向いてるように見えるけど、あれは何を見てるの?
動きが人間っぽいかどうか?