アカウント名:
パスワード:
ので反対ですね。むしろそこでワンクッション置かないと。
具体的にどんな悪用が考えられます?
悪用者がログインして、悪用者にSMSが行った時点でアウトな気が。通常ユーザーが認証コードを受け取っても無視すればいいし、SMS届いた時点で強制的に認証画面に飛んで入力するわけじゃないでしょうし。
アプリやブラウザが該当のURLを認識して今まさにそこで認証中だったら、だと思うけどなさすがに(根拠なし
こないだこんな感じに動いた(SMS中のコードが勝手にブラウザに入った)ような気がしたけど気のせいだったんかなGoogleの何か+Chromeだともうやってるのかも
androidの一部アプリでのSMS認証がそんな感じの動きしますね。そのためだけに使うと言われてもアプリにSMS権限ほいほい渡したく無いのですが
アプリにSMS権限ほいほい渡すのは問題だということで今年になって審査が厳格化されてます。
2019年3月、GoogleはAndroidアプリにおけるSMSと通話ログへのアクセス許可情報(パーミッション)の使用を制限 [google.com]しました。これにより、認証情報を盗むアプリは、これらのアクセス許可を悪用してSMSベースの2要素認証(2FA)メカニズムを迂回できなくなりました。
https://www.eset.com/jp/blog/welivesecurity/malware-google-permissions... [eset.com]
このような方法に代わり、SMS認証フォーマットが標準化されれば、SMSクライアントアプリからインテントを通じて他アプリに認証コードを引き渡すことで、安全かつ自動でのSMS認証が出来るはずです。
他アプリ用の認証情報インテントを盗み見るとか出てきそうかな?メッセージ中のUrlは直接認証ページのものではないほうが良さそうやねと言うかurlじゃなくてそのソルト付きハッシュとかじゃないと安心できないか?頭のいい人が考えてくれるやろうけども
認証するドメインにapple-app-site-associationだのmanifest.jonだのファイル置いておいて、そこに記載されているIdentifierのアプリのみ見れるようにすれば読み取れないですね。というのを既にパスワードの自動入力でやっているので。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
日々是ハック也 -- あるハードコアバイナリアン
自動化しやすい=悪用者も自動化しやすい (スコア:2, 興味深い)
ので反対ですね。
むしろそこでワンクッション置かないと。
Re: (スコア:0)
具体的にどんな悪用が考えられます?
悪用者がログインして、悪用者にSMSが行った時点でアウトな気が。
通常ユーザーが認証コードを受け取っても無視すればいいし、SMS届いた時点で強制的に認証画面に飛んで入力するわけじゃないでしょうし。
Re: (スコア:0)
ZDNetの記事には
> Apps and browsers will automatically extract the OTP code and complete the 2FA login operation.
ってあるから、その通りなら端末が受信した時点で自動的に抽出してログインさせちゃうって事なんじゃないかと。
Re: (スコア:2)
アプリやブラウザが該当のURLを認識して今まさにそこで認証中だったら、だと思うけどなさすがに(根拠なし
こないだこんな感じに動いた(SMS中のコードが勝手にブラウザに入った)ような気がしたけど気のせいだったんかな
Googleの何か+Chromeだともうやってるのかも
Re: (スコア:0)
androidの一部アプリでのSMS認証がそんな感じの動きしますね。
そのためだけに使うと言われてもアプリにSMS権限ほいほい渡したく無いのですが
Re:自動化しやすい=悪用者も自動化しやすい (スコア:1)
アプリにSMS権限ほいほい渡すのは問題だということで今年になって審査が厳格化されてます。
https://www.eset.com/jp/blog/welivesecurity/malware-google-permissions... [eset.com]
このような方法に代わり、SMS認証フォーマットが標準化されれば、SMSクライアントアプリからインテントを通じて他アプリに認証コードを引き渡すことで、安全かつ自動でのSMS認証が出来るはずです。
Re: (スコア:0)
他アプリ用の認証情報インテントを盗み見るとか出てきそうかな?
メッセージ中のUrlは直接認証ページのものではないほうが良さそうやね
と言うかurlじゃなくてそのソルト付きハッシュとかじゃないと安心できないか?
頭のいい人が考えてくれるやろうけども
Re: (スコア:0)
認証するドメインにapple-app-site-associationだのmanifest.jonだのファイル置いておいて、そこに記載されているIdentifierのアプリのみ見れるようにすれば読み取れないですね。というのを既にパスワードの自動入力でやっているので。