2020年8月12日に、セキュアコーディング ガイドラインを改訂し、認証情報の適切な取り扱いについて追記しました。
特にカスタマイズで外部連携を行っている場合は、追記した内容について、ご確認のほどよろしくお願いいたします。
セキュアコーディング ガイドラインの改訂
項目「認証情報を適切に取り扱う」の追加
以下の抜粋の通り、認証情報の適切な取り扱いについて追記いたしました。
(一部抜粋)
認証情報の保存場所は、認証情報が漏洩した場合の影響を考慮して、慎重に検討してください(認証情報の公開範囲を限定してください)。
特に JavaScript カスタマイズを利用する場合は、一般利用者が閲覧できる場所に保存されやすい傾向があります。
...中略...
推奨する保存先
- バックエンド(サーバー内のデータベースやサーバレスプラットフォームなど)
- kintone プラグインのプロキシ
kintone.plugin.app.setProxyConfig() 、kintone.plugin.app.getProxyConfig() - Garoon プロキシ API
- HttpOnly の Cookie
...中略...
推奨しない保存先
- フロントエンドのプログラム(例:kintone JavaScript カスタマイズ、Garoon JavaScript カスタマイズ)
- Web Storage(localStorage 、sessionStorage)
- kintone プラグインの設定
kintone.plugin.app.setConfig() 、kintone.plugin.app.getConfig() - HttpOnly ではない Cookie
改訂の適用日
記事に関するフィードバック
記事のコメント欄は記事に対するフィードバックをする場となっております。
右の記事フィードバックのためのガイドを参照してコメントしてください。
記事のリンク切れなど、気になる点がある場合も、こちらのフォームからフィードバックいただけますと幸いです。