安全・安心に向けたYahoo! ID連携の改善とネイティブアプリのID連携の実装 / YJTC19 in Shibuya B-4 #yjtc
4.6K Views
December 13, 19
スライド概要
Yahoo! ID連携は、ウェブサイトやアプリケーションにて、Yahoo! JAPAN IDを利用したログインができる機能を提供しています。
本セッションでは、より多くのサービスとの連携を促進するための安全・安心に向けたYahoo! ID連携の改善をご紹介しました。
2023年10月からSpeaker Deckに移行しました。最新情報はこちらをご覧ください。 https://speakerdeck.com/lycorptech_jp
関連スライド
各ページのテキスト
安全・安心に向けたYahoo! ID連携の改善と ネイティブアプリのID連携の実装 サービス統括本部 ID・セキュリティ 倉林雅 Copyright© 2019 Yahoo Japan Corporation. All Rights Reserved. 都筑一希
ID連携は導入先の実装によっては脆弱性を生み 運用によってはユーザーのプライバシーが侵害されます Copyright© 2019 Yahoo Japan Corporation. All Rights Reserved.
ID連携を提供する私たちに何ができるのかを考えました Copyright© 2019 Yahoo Japan Corporation. All Rights Reserved.
開発者が悩まず正しく実装・運用できるID連携の提供 Copyright© 2019 Yahoo Japan Corporation. All Rights Reserved.
このセッションについて 安全・安心に向けたYahoo! ID連携の改善をご紹介します。 セキュリティリスク・プライバシーリスクの低減、 ネイティブアプリのID連携のセキュリティ強化と ベストプラクティスについてのお話しします。 Copyright© 2019 Yahoo Japan Corporation. All Rights Reserved.
アジェンダ 1. セキュリティリスク・プライバシーリスクの低減 2. ネイティブアプリのID連携のセキュリティ強化と ベストプラクティス 3. 全体のまとめ Copyright© 2019 Yahoo Japan Corporation. All Rights Reserved.
アジェンダ 1. セキュリティリスク・プライバシーリスクの低減 2. ネイティブアプリのID連携のセキュリティ強化と ベストプラクティス 3. 全体のまとめ Copyright© 2019 Yahoo Japan Corporation. All Rights Reserved.
倉林 雅 サービス統括本部 ID・セキュリティ 新卒入社以来Yahoo! ID連携の開発・運用を担当し、 認証技術黒帯としてヤフーの認証・認可技術を発信。 OpenID ファウンデーション・ジャパンの理事、 エバンジェリストとしてOpenID・OAuthなどの 標準技術の普及と啓発活動を行っている。 Copyright© 2019 Yahoo Japan Corporation. All Rights Reserved.
セキュリティリスク・プライバシーリスクの低減 1. Yahoo! JAPAN ID誕生から今に至るまで 2. ログインユーザーID数拡大施策 3. セキュリティ強化施策 4. ID連携拡大施策 5. 情報漏洩や意図的な名寄せの対策 Copyright© 2019 Yahoo Japan Corporation. All Rights Reserved.
セキュリティリスク・プライバシーリスクの低減 1. Yahoo! JAPAN ID誕生から今に至るまで 2. ログインユーザーID数拡大施策 3. セキュリティ強化施策 4. ID連携拡大施策 5. 情報漏洩や意図的な名寄せの対策 Copyright© 2019 Yahoo Japan Corporation. All Rights Reserved.
1. Yahoo! JAPAN ID誕生から今に至るまで ログイン履歴 Yahoo! JAPAN 設立 ID連携数拡大 Copyright© 2019 Yahoo Japan Corporation. All Rights Reserved. Yahoo! ID連携 (OpenID Connect) OAuth 1.0 パスワードレス 20 20 18 20 16 FIDO スマートログイン 1タップ・0タップ ログイン BBAuth 20 14 ログインテーマ Yahoo! JAPAN ID 誕生 OpenID 2.0 ID連携 HTTPS化 シークレットID スマフォ版 ログイン SSO 20 12 20 10 08 20 ワンタイム パスワード ログインアラート ログインロック セキュリティ強化 プライバシー強化 ログインユーザー ID数拡大 ・・・ 20 98 19 19 96 Yahoo! JAPAN IDの施策と歴史
1. Yahoo! JAPAN ID誕生から今に至るまで Yahoo! JAPAN IDのサイクル セキュリティ強化 プライバシー強化 ID連携数拡大 Copyright© 2019 Yahoo Japan Corporation. All Rights Reserved. ログインユーザー ID数拡大
1. Yahoo! JAPAN ID誕生から今に至るまで Yahoo! JAPAN IDのサイクル ??? ??? セキュリティ強化 プライバシー強化 ログインユーザー ID数拡大 ID連携数拡大 ??? Copyright© 2019 Yahoo Japan Corporation. All Rights Reserved. ???
セキュリティリスク・プライバシーリスクの低減 1. Yahoo! JAPAN ID誕生から今に至るまで 2. ログインユーザーID数拡大施策 3. セキュリティ強化施策 4. ID連携拡大施策 5. 情報漏洩や意図的な名寄せの対策 Copyright© 2019 Yahoo Japan Corporation. All Rights Reserved.
2. ログインユーザーID数拡大施策 アプリにおけるログインユーザーの拡大 2013年 • アプリ間でログインセッションを 共有する1タップログインを提供 2014年 • ログイン済みのアプリがある場合、 新たなアプリの初回起動時に 自動でログインする0タップログインを提供 複数のアプリ利用でもわずらわしくない ログイン体験を実現しログイン率の向上に成功 Copyright© 2019 Yahoo Japan Corporation. All Rights Reserved.
2. ログインユーザーID数拡大施策 回線認証によるユーザー体験の向上 2015年 • ソフトバンク端末の回線による認証 • パスワード入力不要 • 自動でログイン可能 キャリアの強みを活用して よりシームレスなユーザー体験を実現 Copyright© 2019 Yahoo Japan Corporation. All Rights Reserved. https://www.softbank.jp/mobile/service/smart-login/
セキュリティリスク・プライバシーリスクの低減 1. Yahoo! JAPAN ID誕生から今に至るまで 2. ログインユーザーID数拡大施策 3. セキュリティ強化施策 4. ID連携拡大施策 5. 情報漏洩や意図的な名寄せの対策 Copyright© 2019 Yahoo Japan Corporation. All Rights Reserved.
3. セキュリティ強化施策 パスワードレスとFIDOで不正ログイン対策強化 2017年 • パスワードレス(SMS認証)によってリスト型 攻撃のリスクを低減 • ユーザーがパスワードを考えて覚える負担も軽減 2018年 • アプリやブラウザーで生体認証が利用可能 • SMS認証の確認コード入力も不要になり体験向上 不正ログインの根本的原因をなくし 安全かつユーザー体験のよりよいログインを提供 Copyright© 2019 Yahoo Japan Corporation. All Rights Reserved. https://about.yahoo.co.jp/pr/release/2018/09/27a/
セキュリティリスク・プライバシーリスクの低減 1. Yahoo! JAPAN ID誕生から今に至るまで 2. ログインユーザーID数拡大施策 3. セキュリティ強化施策 4. ID連携拡大施策 5. 情報漏洩や意図的な名寄せの対策 Copyright© 2019 Yahoo Japan Corporation. All Rights Reserved.
4. ID連携拡大施策 Yahoo! ID連携とは IDプロバイダ 認証結果 属性情報 認証・認可 サービス利用 ユーザー Copyright© 2019 Yahoo Japan Corporation. All Rights Reserved. Webサイト アプリケーション
4. ID連携拡大施策 Yahoo! ID連携の活用事例 Copyright© 2019 Yahoo Japan Corporation. All Rights Reserved.
4. ID連携拡大施策 OAuth 1.0を提供終了、主流のOpenID Connectへ移行 2020年3月31日 • 認可機能であるOAuth 1.0の提供を終了 • OpenID ConnectおよびOAuth 2.0に準拠 したYahoo! ID連携 v2への移行を推進中 機能拡張されたID連携に移行することで キャンペーン施策が容易になり ID連携拡大につながる Copyright© 2019 Yahoo Japan Corporation. All Rights Reserved. https://developer.yahoo.co.jp/changelog/2019-11-27-yconnect.html
セキュリティリスク・プライバシーリスクの低減 1. Yahoo! JAPAN ID誕生から今に至るまで 2. ログインユーザーID数拡大施策 3. セキュリティ強化施策 4. ID連携拡大施策 5. 情報漏洩や意図的な名寄せの対策 Copyright© 2019 Yahoo Japan Corporation. All Rights Reserved.
5. 情報漏洩や意図的な名寄せの対策 情報漏洩や意図的な名寄せの問題 パートナー共通のユーザー識別子の懸念点 1. パートナー企業でユーザー識別子が漏洩した際の名寄せ 2. パートナー企業間による意図的な名寄せ 1.漏洩時の名寄せ 共通ID 共通ID ユーザー 共通ID 2.意図的な名寄せ Yahoo! ID連携 パートナーA パートナーB 共通ID 名寄せ 共通ID 共通ID 共通ID Copyright© 2019 Yahoo Japan Corporation. All Rights Reserved. 悪意あるユーザー ユーザー 共通ID Yahoo! ID連携 パートナーA パートナーB パートナーA 担当者 名寄せ 共通ID 共通ID パートナーB 担当者
5. 情報漏洩や意図的な名寄せの対策 PPIDとは Yahoo! ID連携 • Pairwise Pseudonymous Identifierの略称 • ユーザー識別子をサービス(Client ID) ごとに異なる値とする仕組み PPID-A PPID-B ID連携するIDが同一であっても サービスごとのPPIDを発行することで 名寄せの防止が可能 Copyright© 2019 Yahoo Japan Corporation. All Rights Reserved. PPID-C パートナーA パートナーB パートナーC
5. 情報漏洩や意図的な名寄せの対策 PPID提供によってリスク低減 PPIDによって漏洩時の名寄せ、意図的な名寄せを防止し ユーザーのセキュリティリスク・プライバシーリスクを低減 1.漏洩時の名寄せ PPID-A ユーザー PPID-B 2.意図的な名寄せ Yahoo! ID連携 パートナーA パートナーB 名寄せ 防止 PPID-A PPID-A PPID-B Copyright© 2019 Yahoo Japan Corporation. All Rights Reserved. ユーザー PPID-B Yahoo! ID連携 パートナーA パートナーB パートナーA 担当者 名寄せ 防止 PPID-A PPID-B パートナーB 担当者
Yahoo! ID連携でPPIDをサポート ※2020年以降に新規導入から順次提供開始 画像 アフロ Copyright© 2019 Yahoo Japan Corporation. All Rights Reserved.
アジェンダ 1. セキュリティリスク・プライバシーリスクの低減 2. ネイティブアプリのID連携のセキュリティ強化と ベストプラクティス 3. 全体のまとめ Copyright© 2019 Yahoo Japan Corporation. All Rights Reserved.
都筑 一希 サービス統括本部 ID・PIM本部 普段はYahoo! ID連携 バックエンド・iOS開発を担当 兼務のCTO室 iOSアプリWGにて全社の課題解決 Copyright© 2019 Yahoo Japan Corporation. All Rights Reserved.
ネイティブアプリのID連携のセキュリティ強化とベストプラクティス 1. ネイティブアプリのセキュリティ対策 2. ネイティブアプリとバックエンドのID連携 Copyright© 2019 Yahoo Japan Corporation. All Rights Reserved.
ネイティブアプリのID連携のセキュリティ強化とベストプラクティス 1. ネイティブアプリのセキュリティ対策 2. ネイティブアプリとバックエンドのID連携 Copyright© 2019 Yahoo Japan Corporation. All Rights Reserved.
1. ネイティブアプリのセキュリティ対策 認可コード横取り攻撃の例 ユーザー アプリ 悪意のある アプリ ブラウザ 認可サーバー App 認可リクエスト 認可リクエスト 認証・認可 認可 レスポンス 認可レスポンス トークンリクエスト トークンレスポンス Copyright© 2019 Yahoo Japan Corporation. All Rights Reserved.
1. ネイティブアプリのセキュリティ対策 認可コード横取り攻撃の例 ユーザー アプリ 悪意のある アプリ ブラウザ 認可サーバー App 認可リクエスト example://xxx 認可リクエスト 認証・認可 同一のカスタムURIスキームで起動 認可 レスポンス 認可レスポンス トークンリクエスト トークンレスポンス Copyright© 2019 Yahoo Japan Corporation. All Rights Reserved.
1. ネイティブアプリのセキュリティ対策 認可コード横取り攻撃の例 ユーザー アプリ 悪意のある アプリ ブラウザ 認可サーバー App 認可リクエスト example://cb?code=abc 認証・認可 認可 レスポンス 認可リクエスト 認可レスポンス トークンリクエスト トークンレスポンス Copyright© 2019 Yahoo Japan Corporation. All Rights Reserved.
1. ネイティブアプリのセキュリティ対策 認可コード横取り攻撃の例 ユーザー アプリ 悪意のある アプリ ブラウザ 認可サーバー App 認可リクエスト 認可リクエスト 認証・認可 認可コード 認可レスポンス アクセストークン 認可 レスポンス リフレッシュトークン 不正アクセス成功 Copyright© 2019 Yahoo Japan Corporation. All Rights Reserved. トークンリクエスト トークンレスポンス
1. ネイティブアプリのセキュリティ対策 認可コード横取り攻撃の例 ユーザー アプリ 悪意のある アプリ ブラウザ 認可サーバー App 認可リクエスト 認可リクエスト 認証・認可 認可コード 認可レスポンス アクセストークン 認可 発行対象のクライアントでなくても レスポンス リフレッシュトークン 認可コードを利用できることが問題 不正アクセス成功 Copyright© 2019 Yahoo Japan Corporation. All Rights Reserved. トークンリクエスト トークンレスポンス
1. ネイティブアプリのセキュリティ対策 PKCEによる認可コード横取り攻撃の対策 ユーザー 悪意のある アプリ アプリ ブラウザ 認可サーバー App 認可リクエスト code̲verifier 認可リクエスト 認証・認可 認可レスポンス 認可レスポンス 認可コード code̲verifier トークンリクエスト トークンレスポンス Copyright© 2019 Yahoo Japan Corporation. All Rights Reserved.
1. ネイティブアプリのセキュリティ対策 PKCEによる認可コード横取り攻撃の対策 ユーザー 悪意のある アプリ アプリ ブラウザ 認可サーバー App 認可リクエスト code̲verifier 認可リクエスト 認証・認可 認可リクエストとトークンリクエストを 認可レスポンス code code̲verifierで紐づける 認可レスポンス code̲verifier トークンリクエスト トークンレスポンス Copyright© 2019 Yahoo Japan Corporation. All Rights Reserved.
1. ネイティブアプリのセキュリティ対策 PKCEによる認可コード横取り攻撃の対策 ユーザー アプリ 悪意のある アプリ ブラウザ 認可サーバー App 認可リクエスト 認可リクエスト 認証・認可 認可 レスポンス 認可レスポンス 認可コード code̲verifier??? トークンリクエスト トークンレスポンス Copyright© 2019 Yahoo Japan Corporation. All Rights Reserved.
1. ネイティブアプリのセキュリティ対策 PKCEによる認可コード横取り攻撃の対策 ユーザー アプリ 悪意のある アプリ ブラウザ 認可サーバー App 認可リクエスト 認可リクエスト 認証・認可 認可コードのみでは 認可レスポンス code=abc アクセストークン などの取得は不可能に 認可 code̲verifier=??? レスポンス トークンリクエスト トークンレスポンス Copyright© 2019 Yahoo Japan Corporation. All Rights Reserved.
Yahoo! ID連携でPKCEをサポート Yahoo! JAPAN Advent Calendar 2019 12/19(木) PKCEの記事を公開予定 画像 アフロ Copyright© 2019 Yahoo Japan Corporation. All Rights Reserved.
1. ネイティブアプリのセキュリティ対策 章のまとめ 認可コード横取り攻撃を PKCEで対策 PKCEを利用して ネイティブアプリをより安全に Copyright© 2019 Yahoo Japan Corporation. All Rights Reserved.
ネイティブアプリのID連携のセキュリティ強化とベストプラクティス 1. ネイティブアプリのセキュリティ対策 2. ネイティブアプリとバックエンドのID連携 Copyright© 2019 Yahoo Japan Corporation. All Rights Reserved.
iOS SDKをGitHubで公開 ※ベータ版のため仕様変更する可能性があります https://github.com/yahoojapan/yjlogin-ios-sdk Android SDKは現在準備中 Copyright© 2019 Yahoo Japan Corporation. All Rights Reserved.
Yahoo! ID連携のドキュメントを更新 ※ベータ版のため仕様変更する可能性があります https://developer.yahoo.co.jp/yconnect/v2/client̲app/ios/swift/ Copyright© 2019 Yahoo Japan Corporation. All Rights Reserved.
2. ネイティブアプリとバックエンドのID連携 SDKを利用したベストプラクティス ユーザー アプリ App Copyright© 2019 Yahoo Japan Corporation. All Rights Reserved. SDK ブラウザ バックエンド Yahoo! ID連携
2. ネイティブアプリとバックエンドのID連携 SDKを利用したベストプラクティス ユーザー アプリ SDK ブラウザ バックエンド App アプリとバックエンド間でセッション確立 nonceとcode̲verifierを生成 SDKのログインメソッドを実行 バックエンドに認可コードを渡しトークンリクエスト Copyright© 2019 Yahoo Japan Corporation. All Rights Reserved. Yahoo! ID連携
2. ネイティブアプリとバックエンドのID連携 SDKを利用したベストプラクティス ユーザー アプリ SDK ブラウザ バックエンド App アプリとバックエンド間でセッション確立 nonceとcode̲verifierを生成 SDKのログインメソッドを実行 バックエンドに認可コードを渡しトークンリクエスト Copyright© 2019 Yahoo Japan Corporation. All Rights Reserved. Yahoo! ID連携
2. ネイティブアプリとバックエンドのID連携 アプリとバックエンド間でセッションを確立 ユーザー アプリ SDK ブラウザ App nonce・code̲verifierリクエスト nonce・code̲verifierレスポンス Copyright© 2019 Yahoo Japan Corporation. All Rights Reserved. バックエンド Yahoo! ID連携
2. ネイティブアプリとバックエンドのID連携 アプリとバックエンド間でセッションを確立 ユーザー アプリ SDK ブラウザ バックエンド Yahoo! ID連携 App nonce・code̲verifierリクエスト nonce・code̲verifierレスポンス nonce code̲verifier Copyright© 2019 Yahoo Japan Corporation. All Rights Reserved. nonce code̲verifier
2. ネイティブアプリとバックエンドのID連携 アプリとバックエンド間でセッションを確立 ユーザー アプリ SDK ブラウザ バックエンド Yahoo! ID連携 App nonce・code̲verifierリクエスト セッションに紐づけて バックエンドに保存 パラメータを nonce・code̲verifierレスポンス nonce code̲verifier Copyright© 2019 Yahoo Japan Corporation. All Rights Reserved. nonce code̲verifier
2. ネイティブアプリとバックエンドのID連携 SDKのログインメソッドで認可コード取得 ユーザー アプリ SDK ブラウザ バックエンド App アプリとバックエンド間でセッション確立 nonceとcode̲verifierを生成 SDKのログインメソッドを実行 バックエンドに認可コードを渡しトークンリクエスト Copyright© 2019 Yahoo Japan Corporation. All Rights Reserved. Yahoo! ID連携
2. ネイティブアプリとバックエンドのID連携 SDKのログインメソッドで認可コード取得 ユーザー アプリ SDK ブラウザ バックエンド App ログイン メソッド 認可 リクエスト 認可リクエスト 認証・認可 コールバック Copyright© 2019 Yahoo Japan Corporation. All Rights Reserved. 認可 レスポンス 認可レスポンス Yahoo! ID連携
2. ネイティブアプリとバックエンドのID連携 SDKのログインメソッドで認可コード取得 ユーザー アプリ SDK ブラウザ バックエンド App ログイン メソッド 認可 リクエスト 認可リクエスト 認証・認可 コールバック Copyright© 2019 Yahoo Japan Corporation. All Rights Reserved. 認可 レスポンス 認可レスポンス Yahoo! ID連携
コードサンプル(Swift)
LoginManager.shared.login(
scopes: [.openid, .profile],
nonce: “<バックエンドで生成したnonce>",
codeChallenge: “<バックエンドで生成したcode_verifierから生成>")
{ (result) in
switch result {
case .success(let loginResult):
let code = loginResult.authorizaGonCode
case .failure(let error):
…
}
}
Copyright© 2019 Yahoo Japan Corporation. All Rights Reserved.
コードサンプル(Swift)
LoginManager.shared.login(
scopes: [.openid, .profile],
nonce: “<バックエンドで生成したnonce>”,
codeChallenge: “<バックエンドで生成したcode_verfiierから生成>")
{ (result) in
switch result {
case .success(let loginResult):
let code = loginResult.authorizaHonCode
case .failure(let error):
…
}
}
Copyright© 2019 Yahoo Japan Corporation. All Rights Reserved.
コードサンプル(Swift)
LoginManager.shared.login(
scopes: [.openid, .profile],
nonce: “<バックエンドで生成したnonce>",
codeChallenge: “<バックエンドで生成したcode_verfiierから生成>")
{ (result) in
switch result {
case .success(let loginResult):
let code = loginResult.authorizaGonCode
case .failure(let error):
…
}
}
Copyright© 2019 Yahoo Japan Corporation. All Rights Reserved.
2. ネイティブアプリとバックエンドのID連携 SDKのログインメソッドで認可コード取得 ユーザー アプリ SDK ブラウザ バックエンド App ログイン メソッド 認可 リクエスト 認可リクエスト 認証・認可 認可コード コールバック Copyright© 2019 Yahoo Japan Corporation. All Rights Reserved. 認可 レスポンス 認可レスポンス Yahoo! ID連携
2. ネイティブアプリとバックエンドのID連携 SDKを利用したベストプラクティス ユーザー SDK アプリ ブラウザ バックエンド App アプリとバックエンド間でセッション確立 nonceとcode̲verifierを生成 SDKのログインメソッドを実行 バックエンドに認可コードを渡しトークンリクエスト Copyright© 2019 Yahoo Japan Corporation. All Rights Reserved.
2. ネイティブアプリとバックエンドのID連携 バックエンドに認可コードをわたしトークン発行 ユーザー アプリ SDK ブラウザ バックエンド Yahoo! ID連携 App トークンリクエスト トークン リクエスト トークン レスポンス トークンレスポンス Copyright© 2019 Yahoo Japan Corporation. All Rights Reserved.
2. ネイティブアプリとバックエンドのID連携 バックエンドに認可コードをわたしトークン発行 ユーザー アプリ SDK ブラウザ バックエンド Yahoo! ID連携 App トークンリクエスト 認可コード トークン リクエスト トークン レスポンス トークンレスポンス Copyright© 2019 Yahoo Japan Corporation. All Rights Reserved.
2. ネイティブアプリとバックエンドのID連携 バックエンドに認可コードをわたしトークン発行 ユーザー アプリ SDK ブラウザ バックエンド Yahoo! ID連携 App nonce トークンリクエスト code̲verifier トークン リクエスト 認可コード トークン レスポンス code̲verifier トークンレスポンス Copyright© 2019 Yahoo Japan Corporation. All Rights Reserved.
2. ネイティブアプリとバックエンドのID連携 バックエンドに認可コードをわたしトークン発行 ユーザー アプリ SDK ブラウザ バックエンド Yahoo! ID連携 App nonce トークンリクエスト code̲verifier トークン リクエスト ID Token トークン レスポンス トークンレスポンス Copyright© 2019 Yahoo Japan Corporation. All Rights Reserved.
2. ネイティブアプリとバックエンドのID連携 バックエンドに認可コードをわたしトークン発行 ユーザー アプリ SDK ブラウザ バックエンド Yahoo! ID連携 App nonce トークンリクエスト code̲verifier セッションに紐づけてバックエンドに保存した パラメータを各種検証に利用 トークン リクエスト ID Token トークン レスポンス トークンレスポンス Copyright© 2019 Yahoo Japan Corporation. All Rights Reserved.
2. ネイティブアプリとバックエンドのID連携 SDKを利用したベストプラクティス ユーザー アプリ SDK ブラウザ バックエンド App アプリとバックエンド間でセッション確立 nonceとcode̲verifierを生成 SDKのログインメソッドを実行 バックエンドに認可コードを渡しトークンリクエスト Copyright© 2019 Yahoo Japan Corporation. All Rights Reserved. Yahoo! ID連携
2. ネイティブアプリとバックエンドのID連携 章のまとめ iOS SDKをOSSとして公開 ネイティブアプリとバックエンドの ID連携実装をより安全に Copyright© 2019 Yahoo Japan Corporation. All Rights Reserved.
アジェンダ 1. セキュリティリスク・プライバシーリスクの低減 2. ネイティブアプリのID連携のセキュリティ強化と ベストプラクティス 3. 全体のまとめ Copyright© 2019 Yahoo Japan Corporation. All Rights Reserved.
全体のまとめ PPID対応 PKCEサポート セキュリティ強化 プライバシー強化 ログインユーザー ID数拡大 ID連携数拡大 iOS SDK更新 OSS公開 ネイティブアプリ ベストプラクティス ドキュメント公開 Copyright© 2019 Yahoo Japan Corporation. All Rights Reserved.
全体のまとめ 1. セキュリティリスク・プライバシーリスクの低減 • PPID対応によりユーザー識別子の漏洩や意図的なサービスでの名寄せを防止 2. ネイティブアプリのID連携のセキュリティ強化とベストプラクティス • PKCE対応により認可コードの横取り対策 • バックエンドサーバーを連携したネイティブアプリの実装方法を公開 • iOS SDKをOSSとして公開 Copyright© 2019 Yahoo Japan Corporation. All Rights Reserved.
本日ご紹介した改善やベストプラクティスはごく一部です この他にも考えなければならない課題はあります Copyright© 2019 Yahoo Japan Corporation. All Rights Reserved.
私たちはユーザーの安心が続くように より安全なID連携になるよう改善し続けます Copyright© 2019 Yahoo Japan Corporation. All Rights Reserved.
Copyright© 2019 Yahoo Japan Corporation. All Rights Reserved.