独創アプリ開発日記 99日目 ID不正変更対策

今日はID不正変更対策を行っていました。

今作っているガワネイティブアプリはユーザID変更機能があります。

ユーザIDを変更できる機能があるという事は、IDを試しまくって入力していればいつかは他人のIDでログインできてしまうという事です。この力任せの総当たり攻撃の不正をブルートフォースアタックといいます。

対策は100億通りくらいありますが書ききれないです。しょうがないので3つくらいの対策を紹介します。

1.不正な入力があったら、その応答に時間をかける。あまりに長い時間待たせるとID変更しようとして単に間違えた人にも迷惑がかかるため、1、2回目の間違いは3秒くらい、3、4回以上間違えたら10秒待たせるとか工夫すると良いです。
2.同一アクセス元から短時間に高頻度のアクセスがあったら遮断する。
3.後は・・・たぶんなんかあります。

テキスト漫画のガワネイティブアプリは、1の方法を採用し、対策を行いました。

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です