Wakarana v26.06-1を公開しました
公開日時: 2026-06-25 08:55:55更新日時: 2026-06-25 08:57:45Midari Createでは、オープンソースのwebアプリケーション組み込み向けログイン認証・ユーザー管理ライブラリ「Wakarana」の最新版となるバーション26.06-1を公開しました。この更新では、認証試行ログやこれを前提としたアカウントロックアウト関連の処理を刷新しています。
詳細な変更内容は以下の通りです。
IPアドレスを対象としたロックアウトに指数バックオフを導入
これまでのWakaranaでは主にユーザーアカウントを対象としたロックアウト(ログインなどの認証に連続で失敗した場合に一定時間認証を行えなくする機能)によりパスワード総当り攻撃への対策を行っていましたが、この方式だけではパスワードスプレー攻撃に対する耐性が必要最低限しか確保できない状態であったほか、特定のユーザーIDに対してログイン試行を続けることで当該ユーザーIDの正当な保有者がログインすることを妨害することが可能でした。今回の更新では、これらの問題を解消すべく、ユーザーIDを対象としたロックアウト機能は概ねこれまで通り維持しつつも、IPアドレスに対する指数バックオフによるロックアウトを導入。同じIPアドレスから繰り返しログインを試行した場合は失敗する度にロックアウト時間が長くなるようにすることで、同一端末からの連続ログイン試行を大幅に抑制するとともに、悪意を持ったアクセスで正当なユーザーのログインが妨害される可能性も軽減されました。
メールアドレスや招待コードの認証もロックアウトの対象に
v26.06-1では、これまで認証試行ログの記録やロックアウト処理の対象としてこなかったメールアドレス認証コードの認証や招待コードの認証も認証試行ログの記録とロックアウト処理の対象とし、総当たり攻撃に対する耐性を確保しました。また、これらのコードの有効期限確認処理についても、例えば招待コードならユーザー登録の前後で招待コードの有効性を確認する処理の前側段階で使用されることを前提としているため、認証処理と同様にロックアウトの対象となっています。
認証試行ログの長期保存とJSONLエクスポートに対応
従来は主に短時間のロックアウト処理で使用するためのものであり、短期間のみ保存する情報として位置づけられてきた認証試行ログですが、今回の更新ではこれを長期保存の対象として再定義。これまでは同一ユーザーIDに対して大量の試行があった場合は古いログが自動削除される機能が存在していましたが、v26.06-1ではこれを廃止し、代わりに、古いログをJSONL形式でエクスポートしてから削除する機能を実装しました。
メールドメインブラックリストの一括取得機能を再実装
認証試行ログやアカウントロックアウト以外の改良としては、v26.04-1まで存在していたメールドメインブラックリストの一括取得機能の再実装を実施しています。ダウンロード
Wakarana v26.06-1はMidari Createの詳細情報ページからダウンロードしていただけます。古いバージョンをダウンロードする必要がある場合は、Fossilリポジトリをクローンし、バージョン番号のタグでチェックアウトしてください。
この記事のタグ:
Wakarana
Wakarana