月神璃兎@LETTE
@tukigamilito
@takuya_1st 読取時に煩雑な入力は不要!クリティカルな操作に対して都度認証で良い! …って読み取ったけど合ってる? セッション時間延ばしたらセッションジャックに対する脆弱性に繋がらない? 「セッション時間を脳死で短縮するだけが『セキュリティ』ではない」って言いたいのだとしたら分からなくもない
2025-06-01 13:48:12
さとし
@se_fake
@takuya_1st いや、サーバ大量のユーザーが利用するシステムでその作りは遅延を生み出す元になるし、そのセッションを呼ぶのクライアントのクッキーとかでしょ?そこのセキュリティはどうやって担保するの?ソーシャルハッキングなんかも考えるとログインセッションは短いにこしたことはないと思いますが。
2025-06-01 13:51:17
mikan
@mikan_twt
入力することで詐取されるってのは本当にその通りだけど、ログイン伸ばした所でフィッシングサイトに入力しないことにはならんからあんま変わらんかなとも思う。どうしたら良いんだろねこれ… x.com/takuya_1st/sta…
2025-06-01 14:52:55
takuya@osaka(令和最新版)
@takuya_1st
金融系は、ログインセッションを600秒程度で切断する。 だから頻繁にログインが発生し、ログインフォームに入力することを当たり前だと思わされてる。だからフィッシング詐欺に罹る。 セッション時間を100日とかにすれば良い。セッション時間を短くするとことがセキュリティ言ってるコンサルが悪。
2025-05-31 14:43:54
Sidecar/さいか
@_Sidecar
リスク管理の問題でしかないんだけど、 事業者として低減・回避すべきリスクと、受容できるリスク、あるいは移転できるリスクが何か判断した上で、現状があるだけでしょ。 フィッシング詐欺に引っ掛かるような、低リテラシーユーザーに寄せて、他のリスクを増やしてどうすんの?って考えそう。 x.com/takuya_1st/sta…
2025-06-01 13:23:31
ゆーちゃりす(yu_chalis)
@yu_chalis
リスク管理の観点からおすすめできないのと操作上常にお金が動いている(動かしている)のでセッション切るのは今のところ正解です。 トランザクションどれだけ動いているか?想像の10倍以上は動いてます。頻繁にログインを発生させるのはユーザーを守るためでもあるのです。 x.com/takuya_1st/sta…
2025-06-01 13:34:47
かめくっぱ(
x6)
@kamekoopa
ログイン間隔が10分だろうが100日だろうが、フィッシングが本質的にログイン画面を騙すものである以上、それが根本的な原因であったり効果的な対策であったりということはないんじゃないかしらという気がする。根本的な見直し云々言うならパスキー導入する方がよっぽど根本的な対策な気がする x.com/takuya_1st/sta…
2025-06-01 13:09:23
かめくっぱ(x6)
@kamekoopa
一方でアカウント乗っ取る人は不正ログインが成功したら可及的速やかにパスワード変えちゃうのでセッション時間が短いからセキュリティ的に堅牢ってこともそんなにはない気はします
2025-06-01 13:09:23このような仕組みにすればいいのでは?
ワシワシナイトフィーバー
Akemi Golden Woods
@AGoldenWoods
URLのドメイン見て、本物か偽物か見分けられるようにユーザーを教育した方が早い。 x.com/takuya_1st/sta…
2025-06-01 10:47:10
Kenji Nishida
@nishiken
なんかログインセッションを長くして2要素目の認証だけをすればいいような気がしてきた。 x.com/takuya_1st/sta…
2025-05-31 20:37:03NISTのセッション接続時間
K e n T a
@kenta_feels_ayu
首突っ込むといろんな鬼が突っかかってきそうなので直接言及は控えるけど 米国政府機関や米国標準策定を行うNISTでは、AAL(Authenticator Assurance Level)ごとにセッション持続時間が定められてて、 金融で求められるAAL3級になると「15分間非アクティブならセッション落とせ」って言われてるんよね pic.x.com/ns7ggUQwQj
2025-06-01 14:58:16
K e n T a
@kenta_feels_ayu
OWASP(世界的に権威のあるアプリケーションセキュリティコミュニティ)でも リスクの大きいアプリケーションでは2~5分、リスクが小さいアプリケーションでも15~30分が限度って書いてある。 (丸1日持続利用するユースケースが前提にあるアプリは4~8時間を例外的に許容するとある) pic.x.com/eteRpF1qxn
2025-06-01 15:09:43
K e n T a
@kenta_feels_ayu
で、このあたりのセキュリティ界隈の文献をキャッチアップしてる人ならわかると思うけど 「セッション時間とフィッシング詐欺」を紐付けてる文献はひとつも無いのね フィッシング対策はどこまでいっても ・2段階認証・多要素認証 ・パスワード使い回ししない/運営側はソルト対応も。 でしかない。
2025-06-01 15:22:36
K e n T a
@kenta_feels_ayu
ここまでお膳立てして何が言いたいかというと 「銀行のセッション時間を100日に引き延ばそうとしてる人は、フィッシング詐欺がどうとか素っ頓狂な話する前に、まず国内・海外のセキュリティ文献や海外の証券・銀行のセキュリティ事案について確認・検証した上で議論しましょうね。」 っていうアレ。
2025-06-01 15:30:19
K e n T a
@kenta_feels_ayu
あと文献に書いてもない独自のセキュリティ対策は本当に心からオススメしない セッションに紐づくクッキーを画面ごとに分けてそれぞれ異なる有効期間を設定するなんて狂気 状態不整合・意図しない不具合の温床になる 管理煩雑・保守時の実装ミス懸念も増える(クッキーのパス間違えるだけで大騒ぎ)
2025-06-01 16:17:57
K e n T a
@kenta_feels_ayu
再認証時に「まっさらなログインページから始めない」つまり2FAの認証コードのみで刺し通すって事は ただめちゃくちゃ強度が貧弱になった1段階認証でセッション獲得出来るって事になるのだが... 期限切れセッションと照合すれば?って話も実質ソレ切れてないじゃんって話だしいろいろヤバすぎんのよ
2025-06-01 16:40:26
倉持 浩明,日経SYSTEMS
左門 至峰,厚焼 サネ太
ランサムウェアがシャットダウンされたPCをリモートから Wake-On-Lan(WOL)で強制起動させ暗号化する手口..
ランサムウェアがWake-On-Lan(WOL)で強制起動させ暗号化する手口の話。
64170 pv
232
122
364 users
21
日本企業でシステムトラブルが相次ぐ根本原因 SIerとユーザー企業の間にある「埋められない人材格差」 →ユーザー側に..
日本企業でシステムトラブルが相次ぐ根本原因についての考察。
90737 pv
209
174
360 users
211
ITエンジニアで専門性に迷ったらセキュリティがおすすめ。世の中のニーズは高まり続ける中で圧倒的な人不足は止まらないと..
ITエンジニアで専門性に迷ったらセキュリティがおすすめという話。
2834 pv
19
9
金融機関のログイン有効期間が短いのは、うっかりPCをロックせずトイレ離席とかする場合に備えてだと思います。 離席中に個人の口座の中身を自由に見られて金融情報盗まれるのは結構大きなリスクです。
heliodor_ruby 金融機関からすれば、顧客のうっかり(ログアウトしたりPCロックせず離席)でトラブル起きたあげく、金融機関に問い合わせや対処求められても困りますよねぇ。 という感想