ログイン周りとセキュリティ関連の情報収集 - kouの技術的メモ

こちらの記事ではログインをセッションで実現すると書いたんですが、XSSとCSRFなどのセキュリティがやはり心配なのでまるっと任せられる認証プラットフォームを利用することにしました。

・有名な認証サービスを比較したところ

• AWS cognito
  • 学習コストが高い
• Firebase
  • シンプル
  • 学習コスト低め
  • ログイン画面を実装しなければならない
  • 費用が安い
• Auth0
  • 学習コスト低め
  • rule等で細かい制御が可能
  • 費用が安い（小規模なら無料）
  • ドキュメントが読みやすくチュートリアル、ブログが充実している。

上記の理由でAuth0を使用することにしました。

XSS（クロスサイトスプリクティング）

ウェブアプリケーションの中には、検索のキーワードの表示画面や個人情報登録時の確認画面、掲示 板、ウェブのログ統計画面等、利用者からの入力内容や HTTP ヘッダの情報を処理し、ウェブページとし て出力するものがあります。ここで、ウェブページへの出力処理に問題がある場合、そのウェブページに スクリプト等を埋め込まれてしまいます。この問題を「クロスサイト・スクリプティングの脆弱性」と呼び、こ の問題を悪用した攻撃手法を、「クロスサイト・スクリプティング攻撃」と言う。

古い情報ではありますがIPAによると

クロスサイト・スクリプティングの脆弱性の届出件数は、他の脆弱性に比べて多くなっています。この脆 弱性については、届出受付開始から 2014 年第 4 四半期までに、ウェブサイトの届出件数の約 5 割に相 当する届出を受けています。

との事なので非常に被害の多い攻撃法と言えます。

被害の例

• ブラウザが保存している Cookie を取得される
  • Cookie にセッション ID が格納されている場合、利用者へのなりすましにつながる（いわゆるセッションハイジャック）
  • Cookie に個人情報等が格納されている場合、その情報が漏えいする
• 任意の Cookie をブラウザに保存させられる
  • セッション ID が利用者に送り込まれ、「セッション ID の固定化」 攻撃に悪用される

対策

• ウェブページに出力する全ての要素に対して、エスケープ処理を施す。

  • ウェブページを構成する要素として、ウェブページの本文や HTML タグの属性値等に相当する全て の出力要素にエスケープ処理を行います。エスケープ処理には、ウェブページの表示に影響する特別 な記号文字（「<」、「>」、「&」等）を、HTML エンティティ（「<」、「>」、「&」等）に置換する方法が あります。また、HTML タグを出力する場合は、その属性値を必ず「"」（ダブルクォート）で括るようにし ます。そして、「"」で括られた属性値に含まれる「"」を、HTML エンティティ「"」にエスケープします。 脆弱性防止の観点からエスケープ処理が必須となるのは、外部からウェブアプリケーションに渡さ れる「入力値」の文字列や、データベースやファイルから読み込んだ文字列、その他、何らかの文字列 を演算によって生成した文字列等です

• URL を出力するときは、「http://」や 「https://」で始まる URL のみを許可する

  • URL には、「http://」や「https://」から始まるものだけでなく、「javascript:」の形式で始まるもの もあります。ウェブページに出力するリンク先や画像の URL が、外部からの入力に依存する形で動的 に生成される場合、その URL にスクリプトが含まれていると、クロスサイト・スクリプティング攻撃が可 能となる場合があります。たとえば、利用者から入力されたリンク先の URL を「<a href ="リンク先の URL">」の形式でウェブページに出力するウェブアプリケーションは、リンク先の URL に「javascript:」 等から始まる文字列を指定された場合に、スクリプトを埋め込まれてしまう可能性があります。リンク先 の URL には「http://」や「https://」から始まる文字列のみを許可する、「ホワイトリスト方式」で実装 する様にします。

• 入力された HTML テキストから、スクリプトに該当する文字列を排除する。

  • 入力された HTML テキストに含まれる、スクリプトに該当する文字列を抽出し、排除します。抽出した文字列の排除方法には、無害な文字列へ置換することが推奨されます。たとえば、「<script>」や「javascript:」を無害な文字列へ置換する場合、「<xscript>」「xjavascript:」のように、その文字列に適当な文字を付加します。他の排除方法として、文字列の削除が挙げられますが、削除した結果が危険な文字列を形成してしまう可能性があるため、一般的に推奨されません。

• HTTP レスポンスヘッダの Content-Type フィールドに文字コード（charset）を 指定する。

• HTTP のレスポンスヘッダの Content-Type フィールドには、「 Content-Type: text/html; charset=UTF-8」のように、文字コード(charset)を指定する。 一部のブラウザにおいては、HTML テキストの冒頭部分等に特定の文字列が含まれていると、必ず特定の文字コードとして処理されるという挙動が知られています。 Content-Type フィールドで文字コードの指定を省略した場合、攻撃者が、この挙動を悪用して、故 意に特定の文字コードをブラウザに選択させるような文字列を埋め込んだ上、その文字コードで解釈 した場合にスクリプトのタグとなるような文字列を埋め込む可能性があります。 たとえば、具体的な例として、HTML テキストに、 「+ADw-script+AD4-alert(+ACI-test+ACI-)+ADsAPA-/script+AD4-」という文字列が埋め込まれた 場合が考えられます。この場合、一部のブラウザはこれを「UTF-7」の文字コードでエンコードされた文 字列として識別します。これが UTF-7 として画面に表示されると 「<script>alert('test');</script>」として扱われるため、スクリプトが実行されてしまいます。
• Cookie 情報の漏えい対策として、発行する Cookie に HttpOnly 属性を加える
• 「HttpOnly」は、Cookie に設定できる属性のひとつで、これが設定された Cookie は、HTML テキスト 内のスクリプトからのアクセスが禁止されます。これにより、ウェブサイトにクロスサイト・スクリプティン グから守れます

CSRF

Cross Site Request Forgeriesクロスサイト・リクエスト・フォージェリ。

XSSと似ているが異なるものとしてCSRFがあります。 XSSがブラウザ側で不正なスクリプトを用いて不正を行うものなのに対して、CSRFはCSRF脆弱性を利用してサーバ側に不正な攻撃用リクエストを投げる攻撃です。

CSRF攻撃の例

1. ユーザAがサイトXにログインしている(つまりユーザAはサイトXのcookieセッション情報を持っている)
2. ユーザAは罠用URLが施された別の攻撃用サイトのURLをクリックしてしまう。
3. 攻撃用サイトのクリックにより、サイトXのユーザAの登録個人情報を書き換える不正情報がPostされる。
4. ユーザAはすでにログインしているため、サイトXサーバにcookie情報が正しいと認識されPostが成功する。 5.登録個人情報の書き換えが成功してしまう。

保持しているcookieはリクエスト先のサーバが発行元であれば、リクエスト元が正規のものであろうが、別のサイトだろうがそのサイトで生成されたcookie情報を送ってしまうので、上記の攻撃が成立してしまう。

被害の例

ログイン後の利用者のみが利用可能なサービスの悪用や編集可能な情報の改ざん、新規登録 不正な送金、利用者が意図しない商品購入、利用者が意図しない退会処理 等

各種設定の不正な変更（管理者画面、パスワード等）、掲示板への不適切な書き込み

対策

• 処理を実行するページを POST メソッドでアクセスするようにし、「hidden パラメータ」に秘密トークンが挿入されるようして実行ページではその値が正しい場合のみ処理を実行する。
  • CSRFが成功するのは、cookieだけでは誰のリクエストなのか判断ができない為なので、ログイン時cookieのセッションID以外の第２の識別情報（CSRFトークン）を擬似乱数生成器を用いて生成、これを重要な処理の際にサーバ側の情報と比較し、一致しなければ処理を実行しない様にする。
  • このCSRFトークンはリクエストヘッダやリクエストボディに仕込むとよい。xssなどによりcookie情報が流出した場合、意味がなくなるため
  • 下記項目でも書くがCORSの設定では防げない。CORSによるフィルタリングはクライアント側で結果を取得できないだけなので、サーバへの攻撃リクエスト自体は成功してしまう為。
  • ちなみにRuby On Railsの場合は、Railsが提供するform_withやform_forなどのヘルパーを使うと、自動でセキュリティトークン(authenticity_token)を仕込んでくれる

同一生成元ポリシーとCORS

同一生成元ポリシー(Same-Origin Policy, SOP)

CSRFなどのセキュリティ攻撃を防止するためにブラウザに備わっている仕組みで、異なるオリジンのリソースへのアクセスに制約をかけるもの。 同一生成元ポリシーによりWebページを生成したドメイン以外へのHTTPリクエストはできない。 異なるオリジンの場合あくまリクエストでして帰ってきたレスポンスをブラウザで読めなくするものなので、サーバへのリクエスト自体は成功してしまうので、CSRFは防げない。

ブラウザがリクエストを異なるオリジンのサーバーに投げる際にHTTPレスポンスヘッダーに以下の様な情報を乗せて送る。 Origin: http://hoge.com

因みにブラウザで実行されたJavaScriptからAPIサーバにアクセスする場合、ブラウザ側のオリジンはHTMLやCSS、JSを読み込んだフロントエンド側サーバのオリジンとなる。

この制約はCORS(Cross-Origin Resource Sharing) と呼ばれる仕組みを利用することで一部解除することができる。

オリジンとは

スキーム + ホスト + ポート の組み合わせを オリジン(Origin)という スキーム + ホスト + ポートのどれかが違うことをオリジンが異なると表現します。

例えば以下のURLの場合はそれぞれこの様に対応します。

http://hoge:80/directry1

• http
  • スキーム
• hoge
  • ホスト
• 80
  • ポート番号

以下は同一オリジンになります。 http://hoge:80/directry2

以下は異なるオリジンになります。 http://fuga:80/directry1 http://hoge:8080/directry1

CORS

Cross-Origin Resource Sharingオリジン間リソース共有

同一生成元ポリシーのアクセス制約を一部解除し、異なるオリジン間でリソースを共有するための仕組み。

SPAの場合は、フロントエンド側のhtml,css,Javascriptを生成したオリジンとAPI側のオリジンが異なることが多い。

サーバ側でHTTPレスポンスヘッダにAccess-Control-Allow-Origin:「フロント側オリジン」を付与してあげることでアクセス制約がなくなる。

例えば、異なるオリジンにXHRやFetch API、axiosでアクセスする場合、

例えばサイトAから他のオリジンのリソースにアクセスしたい場合、ブラウザはリクエストヘッダに以下の様にアクセス元のオリジン情報を付加します。

Origin: http://site-a.example.com

これに対し、site-b 側で、site-a へのアクセスを許可する場合、下記の様なレスポンスヘッダを返します。

Site-B → Site-A

Access-Control-Allow-Origin: http://site-a.example.com

参考元サイト: http://www.tohoho-web.com/ex/cors.html

今回はAWSを使ってみたいのですが、EC2やらECSやらlambda、fargate等どれを使えばいいか検討したいと思います。

クラウドインフラ

• EC2
• 特徴
  • おそらく最も広く使われている。通常のサーバ構成。
  • ローカル開発環境はコンテナ、本番環境EC2という構成は多い。
  • 過去に自分も使った事があるので、ある程度知っている。
• ECS
• 特徴
  • コンテナ

CI/CD関連

• CI（自動ビルド、自動テスト）
• 現時点で広く使われているCircleCIの導入
• CD（自動デプロイ）
• railsでよく使われているcapistranoの導入

もし余裕があれば AWSの設定画面で手動で設定していくのが面倒臭かったので、インフラ構成管理ツールも後々導入しようとおもいます。 ansibleとterraformの違いがよくわからなかったのですが、どうも - インフラ側の構成管理 - terraform - アプリ側ミドルウェアなどのインストール - ansible

という事らしい

コンポーネント設計

役割によるコンポーネントの分離

Presentialコンポーネント

見た目の部分を担当するコンポーネント。どのようにUIを描画するかの部分に責務を持ち、Propsを受け取りそれをどのように表示するかを担当する。 state(状態)は持たないことが推奨され、単に値（props）を受け取りそれをどう表示するかだけの役割のため、SFC(Stateless Functional Component)が適しています。 またpropsに渡す値として関数を渡すことも可能。

データの流れとして、Containeコンポーネントの子コンポーネントとして実装される。

Containerコンポーネント

データや状態、挙動を子コンポーネントであるPresentialへ提供するコントローラ的な役割。 Containerコンポーネント自身は具体的なDOM表現は持たない。 データに関して集中管理する存在。

Atomic Design

• Atomos 原子
  • UIの最小単位。例えば、検索フォームなら、見出し、入力エリア、送信ボタンで分割されるがこれらのパーツがAtomosに相当する。
• Molecules 分子
  • 複数のAtomosから構成される。見出し、入力エリア、送信ボタンのAtomosで構成された検索フォームがMoleculesに相当する。
• Organisms 有機物
  • AtomosやMoleculesから構成される。直接Atomosを参照することもある。例えばヘッダーはロゴ（Atomos）、検索フォーム（Molecules）、グローバルナビゲーション(Molecules)から成り立ち、これがOrgasmsに相当する。
• Templates テンプレート
  • ワイヤーフレームのように、ページに表示するための実データが反映される前のページ全体のレイアウトの構造や骨格を表現する。
• pages ページ
  • テンプレートに対して、実データを反映させた状態。ページ全体の実態。プログラミング的に言えばページはテンプレートのインスタンスに相当する。

AtomicDesignの概念を各コンポーネント実装へ反映する

• Atomos 原子
  • 値を受け取って描画するだけなので、SFCとして構成されることが多い。Presentialコンポーネント。
• Molecules 分子 -　実装上Atomosと大差ない。受け取ったPropsを子コンポーネントのAtomosにそのまま流す役割。Atomosが必要としているデータが不変の場合、固定データをMolecules上で定義しても良い。Presentialコンポーネント。

• Organisms 有機物

  • 複数のAtomosやMoleculesを並べて、親のPropsをそのまま流し込み描画することが主な役割。必要なデータを親コンポーネントから受け取りそれを元に描画するPresentialコンポーネント。ただかなり具体性が必要なレベルの構成要素なので、Containerコンポーネントの役割を担う場合もある

• Templates テンプレート,pages ページ

• エントリーポイントからデータが仕込まれたりするのでContainerコンポーネントに相当する。コンポーネントファイルとして存在するのではなく、エントリーポイントがここの役割を担っている場合が多い。