対策が目に見えて効果ありとされると嬉しいものです。先月最初にこの診断をしたときには 7 つの項目にチェックが入っていましたが、それがひとつだけになりました。そのひとつが、「 REST API 経由でのユーザー列挙」ですね。 REST API の有効性からあえてこの項目は対策を行っていませんでした。なので、予想できる結果ですね。
ユーザー名が分かると、パスワードを機械的に発生させて突破する手法が使える。だから、ユーザー列挙は押さえておきましょう。ということでよろしいのでしょうか。私の理解はその程度なんですが、であるならパスワードを一定数間違えるとロックがかかり、画像による追加認証をつける。という対策を取っています。それで何とかなるように思うんですが、どうなんでしょう。自信ないです。
使っているプラグインには REST API をオフにする機能もついています。更に、 REST API をオフにしないプラグインを指定できるようになっています。この機能を ON にしてみようかなと思っています。それで不具合が出れば再び OFF にすれば良いしね。次回のチェックは 15 日に行おうと思っています。さて、診断結果が A になるでしょうか。
投稿者プロフィール
最新の投稿
ノン・カテゴリ2025年4月16日東山グランドホテル滞在中
Tech2025年4月2日脆弱性対策(再び)
Tech2025年4月2日安い Chromebook を新規購入した
ノン・カテゴリ2025年3月6日家電製品の故障は連鎖する
