Contenu connexe
Similaire à へろくしーの挫折 (18)
へろくしーの挫折
- 1. 「へろくしー」の挫折
Heroku-ja Meetup #1
2011年7月7日
@yebihara | 海老原 雄一郎
- 2. @yebiharaについて
• キャリア
定職に就かず職を転々
日本オラクル
→ ソニー
→ IPLocks
→ Preferred Infrastructure (Railsでサービスをいくつか開発)
→ SaaS/PaaS系の某ドットコム企業 (Heroku勉強中)
• 好きなもの
– 巨人
– ビール
– SQL
• 「NoSQL入門」
http://www.slideshare.net/pfi/introductiontoonlysql
- 3. 最近困ったこと
• 某SaaSアプリケーションの標準APIから取得できるユー
ザー情報には、プライバシー情報が含まれる。
• 企業内ユースがメインなので通常は問題ないが、今
回だけは隠したかった。
User
*id
! *email
標準 API
*name
{ title
id: 90053, address
email: “yebihara@bou.com”, phoneNumber
モバイル端末 name: “海老原 雄一郎”, ...
title: “データベーススペシャリスト”,
address: “東京都品川区・・・”,
phoneNumber: “090xxxxxxxx”,
...
}
某SaaSアプリケーション
- 4. 最初の解決案
• カスタムAPIを作る。
• けど、標準APIがそのままだと意味ない。
カスタムAPI
User
{
*id
id: 90053,
name: “海老原 雄一郎”, *email
title: “データベーススペシャリスト”, *name
モバイル端末 } title
!
address
標準API
phoneNumber
{ ...
id: 90053,
攻撃者 email: “yebihara@bou.com”,
name: “海老原 雄一郎”,
title: “データベーススペシャリスト”,
address: “東京都品川区・・・”,
phoneNumber: “090xxxxxxxx”,
... 某SaaSアプリケーション
}
- 5. リバースプロクシー案
• 某SaaSアプリケーションは、アクセス可能なソースIPア
ドレス範囲を制限する機能を持っている。
• 前段にリバースプロクシーを置いて、標準APIへのアク
セスをブロックすればいい!
カスタムAPI
User
Reverse Proxy
*id
*email
*name
モバイル端末 title
address
標準API
phoneNumber
...
攻撃者
某SaaSアプリケーション