今日はID不正変更対策を行っていました。

今作っているガワネイティブアプリはユーザID変更機能があります。

ユーザIDを変更できる機能があるという事は、IDを試しまくって入力していればいつかは他人のIDでログインできてしまうという事です。この力任せの総当たり攻撃の不正をブルートフォースアタックといいます。

対策は１００億通りくらいありますが書ききれないです。しょうがないので３つくらいの対策を紹介します。

１．不正な入力があったら、その応答に時間をかける。あまりに長い時間待たせるとID変更しようとして単に間違えた人にも迷惑がかかるため、１、２回目の間違いは３秒くらい、３、４回以上間違えたら１０秒待たせるとか工夫すると良いです。
２．同一アクセス元から短時間に高頻度のアクセスがあったら遮断する。
３．後は・・・たぶんなんかあります。

テキスト漫画のガワネイティブアプリは、１の方法を採用し、対策を行いました。