プログラマーきて

**以下、5ちゃんねるからVIPがお送りします** · 2022/08/11(木) 14:49:41.015

デスクトップアプリケーション内で何かしらの認証情報を保存したいときってどこに保存するべき？

**以下、5ちゃんねるからVIPがお送りします** · 2022/08/11(木) 14:50:20.076

アマでもいい？

**以下、5ちゃんねるからVIPがお送りします** · 2022/08/11(木) 14:50:34.601

>>2
アマでもいい
どこに保存する？

**以下、5ちゃんねるからVIPがお送りします** · 2022/08/11(木) 14:50:40.257

C￥:ピクチャ

**以下、5ちゃんねるからVIPがお送りします** · 2022/08/11(木) 14:50:54.940

>>3
アマだしわからん

**以下、5ちゃんねるからVIPがお送りします** · 2022/08/11(木) 14:51:05.681

>>4
平文じゃだめじゃん

**以下、5ちゃんねるからVIPがお送りします** · 2022/08/11(木) 14:51:12.032

>>5
うーん

**以下、5ちゃんねるからVIPがお送りします** · 2022/08/11(木) 14:51:21.763

ユーザー固有の場所ならどこでもいいんじゃね

**以下、5ちゃんねるからVIPがお送りします** · 2022/08/11(木) 14:52:04.527

>>8
それだとセキュリティ的に良くないでしょ

**以下、5ちゃんねるからVIPがお送りします** · 2022/08/11(木) 14:53:06.244

ごめん自己解決した

**以下、5ちゃんねるからVIPがお送りします** · 2022/08/11(木) 14:53:42.794

適当に暗号化してファイルに置いておけば？

**以下、5ちゃんねるからVIPがお送りします** · 2022/08/11(木) 14:53:46.346

だろ？感謝しろよな

**以下、5ちゃんねるからVIPがお送りします** · 2022/08/11(木) 14:54:35.871

IDとパスワードを保存するな
トークンを保存しろ
そして保存するならセキュリティ的にどこに置いても変わらん

**以下、5ちゃんねるからVIPがお送りします** · 2022/08/11(木) 14:55:21.742

macとlinuxはkeyring
WinｈCredential Storeっていう仕組みがあるらしいのでそこに保存するっぽい

**以下、5ちゃんねるからVIPがお送りします** · 2022/08/11(木) 14:56:04.799

>>13
セッション切れの度にユーザにユーザ情報入力させるのはちょっとな

**以下、5ちゃんねるからVIPがお送りします** · 2022/08/11(木) 14:56:25.601

認証などパスワードから生成するユニークなハッシュ値が同じであれば良いんだからパスワード自体を残す必要は一切ない

**以下、5ちゃんねるからVIPがお送りします** · 2022/08/11(木) 14:56:49.424

C：\お宝_20220811

**以下、5ちゃんねるからVIPがお送りします** · 2022/08/11(木) 14:58:11.417

>>15
アクセストークンとリフレッシュトークンとか調べてみ
どのアプリもリフレッシュトークンが切れたら入力し直しにしてるよ

**以下、5ちゃんねるからVIPがお送りします** · 2022/08/11(木) 14:58:28.309

>>16
でも結局ログイン先のサービスと再度セッションを確立するにはユーザがパスワード入力する必要があるよね
今回のケースだとハッシュ値で保存したとしてあまり意味がない

**以下、5ちゃんねるからVIPがお送りします** · 2022/08/11(木) 15:00:06.004

自分で管理するなら暗号化してデータと一緒に保存しとけ

**以下、5ちゃんねるからVIPがお送りします** · 2022/08/11(木) 15:00:07.790

>>18
ログイン先のサービスにリフレッシュトークンがない
レガシーでAPIも提供されてない

**以下、5ちゃんねるからVIPがお送りします** · 2022/08/11(木) 15:02:28.848

>>21
なら危険だからやめたほうが良いんじゃないかなぁ
ユーザーのクレデンシャル流出させる気？
どうしてもやりたいなら自己責任で、俺は「ここに置けば安全」なんて無責任なこと言えない

**以下、5ちゃんねるからVIPがお送りします** · 2022/08/11(木) 15:03:09.243

>>22
ユーザの情報を保存する先としてキーリングという仕組みがあるのでそこへ保存することになった

**以下、5ちゃんねるからVIPがお送りします** · 2022/08/11(木) 15:06:10.013

C:\Users\takashi\darkness_labo\apps\ninsho_demo\index.html
これ開発者ツールで見てみ
参考にしていいぞ

**以下、5ちゃんねるからVIPがお送りします** · 2022/08/11(木) 15:07:15.834

>>24
はい

**以下、5ちゃんねるからVIPがお送りします** · 2022/08/11(木) 15:07:50.021

>>23
いや、他サービスのIDとパスワードを入力させるなという事

**以下、5ちゃんねるからVIPがお送りします** · 2022/08/11(木) 15:08:46.213

>>26
そうだね

**以下、5ちゃんねるからVIPがお送りします** · 2022/08/11(木) 15:17:22.680

仕組み的にはサードパーティのパスワード管理ソフトとおなじだしセキュリティの問題はキーリングに依存するじゃん
ChromeやFirefoxのパスワード共有機能も同じような仕組みだし
WebだとXSSの可能性も出てくるしリフレッシュトークンをCookieやLocalstorageから盗難される事もある

デスクトップアプリケーションの場合パッケージ自体の侵害や対象のソフトウェアの侵害がない限り盗難リスクは低くないか

たとえリモートアクセスされてもキーリングはロックされてるわけだし

**以下、5ちゃんねるからVIPがお送りします** · 2022/08/11(木) 15:18:45.961

なりすましで傍受される可能性はあるか

**以下、5ちゃんねるからVIPがお送りします** · 2022/08/11(木) 15:22:04.376

先に一旦アクセス先のIPを貰って整合性の確認してからの認証である程度防げそう

**以下、5ちゃんねるからVIPがお送りします** · 2022/08/11(木) 15:30:10.489

nodeならkeytarみたいなのかな
そんな独自実装で認証作らんでも

**以下、5ちゃんねるからVIPがお送りします** · 2022/08/11(木) 15:31:24.554

>>31
独自実装じゃないよ
ただただポストしてキーを貰うだけ
キーはローカルに保存せずすぐ使う
キーリングはかなり単純っぽい

**以下、5ちゃんねるからVIPがお送りします** · 2022/08/11(木) 15:32:32.911

ごめんkeytarっぽいので合ってる

**以下、5ちゃんねるからVIPがお送りします** · 2022/08/11(木) 15:37:18.506

作るアプリによって
リスクの大きさが違うから評価しにくそう

**以下、5ちゃんねるからVIPがお送りします** · 2022/08/11(木) 15:37:32.906

俺たちが使うこと無ければ自由にやってくれ
でセキュリティインシデント起きても知らんがなだけど
まぁ>>15のトークン保持とかが普通だよなぁ

**以下、5ちゃんねるからVIPがお送りします** · 2022/08/11(木) 15:38:46.129

そんなでかいアプリじゃない

**以下、5ちゃんねるからVIPがお送りします** · 2022/08/11(木) 15:39:20.797

トークンは1度きりしか使えない

**以下、5ちゃんねるからVIPがお送りします** · 2022/08/11(木) 15:43:19.522

１度きりしか使えないトークンってなんだよ

**以下、5ちゃんねるからVIPがお送りします** · 2022/08/11(木) 15:44:09.112

>>38
俺が聞きたい
常にリフレッシュトークンを貰っているような感じ

**以下、5ちゃんねるからVIPがお送りします** · 2022/08/11(木) 15:45:37.195

ログイン機能はしばらくオプショナルにしておく