-
コペンハーゲン・ブック
- コペンハーゲン・ブックは、Webアプリケーションで認証を実装するための一般的な指針を提供する、無料のオープンソースプロジェクト
- コミュニティによって維持されており、ときに主観的または不完全な場合もあるが、オンラインリソースの空白を埋めることを目指している
- OWASP Cheat Sheet Series とあわせて使用することが推奨されている
-
サーバー側トークン
- サーバー側でトークンを管理してセキュリティを強化する方法を説明
-
セッション
- ユーザーセッション管理を通じて継続的な認証状態を維持する方法を説明
-
パスワード認証
-
メール認証
-
パスワードリセット
-
ランダム値の生成
- セキュリティに必要なランダム値を生成する方法を説明
-
OAuth
- OAuthプロトコルを使用して認証を実装する方法を説明
-
多要素認証 (MFA)
-
WebAuthn
- WebAuthnを使用してWeb認証を実装する方法を説明
-
クロスサイトリクエストフォージェリ (CSRF)
-
オープンリダイレクト
-
暗号化
-
ECDSA
- ECDSAアルゴリズムを使用してデジタル署名を実装する方法を説明
-
リンク
- GitHubリポジトリ、Twitter、OWASP Cheat Sheet Series、寄付リンクを提供
GN⁺のまとめ
- コペンハーゲン・ブックは、Webアプリケーションの認証実装に関する包括的な指針を提供する、開発者にとって有用なリソース
- さまざまな認証方法とセキュリティ強化技術を扱っており、セキュリティへの理解を深めるのに役立つ
- OWASP Cheat Sheet Series とあわせて使うことでより効果的になり、セキュリティ脆弱性の防止に貢献できる
- 類似の機能を持つプロジェクトとしては、OWASPの各種ガイドラインやNISTのセキュリティ勧告がある
1件のコメント
Hacker Newsの意見
Luciaライブラリの作者が、もはやLuciaは認証実装に適していないと感じ、その代わりとなるガイドシリーズを公開した
セキュリティ関連リソースの90%は専門家でない人には理解しづらいが、このガイドは明快で簡潔、しかも実行に移しやすい
多くのセキュリティ助言は難解で、ときにはばかげているように感じられるが、このガイドは新鮮で理解しやすい助言を提供している
"auth"が認証(authn)なのか認可(authz)なのかを明確にしてほしい
UUIDv4は十分なエントロピーを持つ一方で、暗号学的に安全ではない可能性があると触れていたのが印象的だった
パスワードは最低8文字以上であるべきで、zxcvbnのようなライブラリを使って弱いパスワードをチェックすべき
なぜ"Copenhagen Book"という名前なのか知っている人はいる?
認証は一度実装すれば、どこでも使える
ウェブサイトが「ログアウトするまでセッションが期限切れにならない」ことを選べるオプションを提供してくれたらよいのに
素晴らしいガイドで、感謝している