プログラマーきて
■ このスレッドは過去ログ倉庫に格納されています
デスクトップアプリケーション内で何かしらの認証情報を保存したいときってどこに保存するべき? IDとパスワードを保存するな
トークンを保存しろ
そして保存するならセキュリティ的にどこに置いても変わらん macとlinuxはkeyring
WinhCredential Storeっていう仕組みがあるらしいのでそこに保存するっぽい >>13
セッション切れの度にユーザにユーザ情報入力させるのはちょっとな 認証などパスワードから生成するユニークなハッシュ値が同じであれば良いんだからパスワード自体を残す必要は一切ない >>15
アクセストークンとリフレッシュトークンとか調べてみ
どのアプリもリフレッシュトークンが切れたら入力し直しにしてるよ >>16
でも結局ログイン先のサービスと再度セッションを確立するにはユーザがパスワード入力する必要があるよね
今回のケースだとハッシュ値で保存したとしてあまり意味がない 自分で管理するなら暗号化してデータと一緒に保存しとけ >>18
ログイン先のサービスにリフレッシュトークンがない
レガシーでAPIも提供されてない >>21
なら危険だからやめたほうが良いんじゃないかなぁ
ユーザーのクレデンシャル流出させる気?
どうしてもやりたいなら自己責任で、俺は「ここに置けば安全」なんて無責任なこと言えない >>22
ユーザの情報を保存する先としてキーリングという仕組みがあるのでそこへ保存することになった C:\Users\takashi\darkness_labo\apps\ninsho_demo\index.html
これ開発者ツールで見てみ
参考にしていいぞ >>23
いや、他サービスのIDとパスワードを入力させるなという事 仕組み的にはサードパーティのパスワード管理ソフトとおなじだしセキュリティの問題はキーリングに依存するじゃん
ChromeやFirefoxのパスワード共有機能も同じような仕組みだし
WebだとXSSの可能性も出てくるしリフレッシュトークンをCookieやLocalstorageから盗難される事もある
デスクトップアプリケーションの場合パッケージ自体の侵害や対象のソフトウェアの侵害がない限り盗難リスクは低くないか
たとえリモートアクセスされてもキーリングはロックされてるわけだし 先に一旦アクセス先のIPを貰って整合性の確認してからの認証である程度防げそう nodeならkeytarみたいなのかな
そんな独自実装で認証作らんでも >>31
独自実装じゃないよ
ただただポストしてキーを貰うだけ
キーはローカルに保存せずすぐ使う
キーリングはかなり単純っぽい 作るアプリによって
リスクの大きさが違うから評価しにくそう 俺たちが使うこと無ければ自由にやってくれ
でセキュリティインシデント起きても知らんがなだけど
まぁ>>15のトークン保持とかが普通だよなぁ >>38
俺が聞きたい
常にリフレッシュトークンを貰っているような感じ ■ このスレッドは過去ログ倉庫に格納されています