gofix/portal-tunnel-rs
1
0
Fork 0
Code Issues Pull requests Projects Releases 11 Packages 1 Wiki Activity Actions

[P2][ux] SIWE register 실패 시 challenge 소모 정책을 명확화하고 재시도 UX 개선 #44

New issue
Closed
opened 2026-05-02 04:59:45 +00:00 by boxqkrtm · 1 comment
boxqkrtm commented 2026-05-02 04:59:45 +00:00
Copy link

문제

leases.rs::consume_verified_challenge()/sdk/register 요청 처리 시 challenge를 먼저 HashMap에서 remove()한 뒤 만료, message match, signature 검증을 수행합니다.

즉 다음 경우에도 challenge가 즉시 소모됩니다.

  • siwe_message mismatch
  • signature invalid
  • malformed signature
  • expired challenge

영향

  • 사용자가 잘못된 서명을 한 번 제출하면 같은 challenge로 재시도할 수 없음
  • client는 새 /sdk/register/challenge부터 다시 시작해야 함
  • 보안상 one-time challenge 정책은 타당할 수 있으나, 의도된 정책인지 코드/문서/API error에서 명확하지 않음

제안

아래 중 하나를 선택해 정책을 명확화합니다.

  1. 현재처럼 실패 시에도 challenge를 소모하되, API error/documentation에 명확히 설명
  2. signature/message mismatch 같은 검증 실패에서는 짧은 retry window 동안 challenge를 유지
  3. failed attempt count를 challenge에 저장하고 일정 횟수 초과 시 소모

보안 관점에서는 replay 방어를 유지해야 하므로, 재시도 허용 시 attempt cap과 short TTL을 함께 적용하는 것이 좋습니다.

완료 기준

  • challenge 소모 정책이 명확히 문서화되거나 UX 개선됨
  • client가 실패 후 새 challenge가 필요한지 안정적으로 판단 가능
  • 정책에 맞는 regression test 추가

검토 기준: portal-relay SIWE registration flow 정적 리뷰. 관련 코드: crates/portal-relay/src/auth/siwe.rs, crates/portal-relay/src/relay/leases.rs, crates/portal-relay/src/api/mod.rs.

## 문제 `leases.rs::consume_verified_challenge()`는 `/sdk/register` 요청 처리 시 challenge를 먼저 `HashMap`에서 `remove()`한 뒤 만료, message match, signature 검증을 수행합니다. 즉 다음 경우에도 challenge가 즉시 소모됩니다. - `siwe_message` mismatch - signature invalid - malformed signature - expired challenge ## 영향 - 사용자가 잘못된 서명을 한 번 제출하면 같은 challenge로 재시도할 수 없음 - client는 새 `/sdk/register/challenge`부터 다시 시작해야 함 - 보안상 one-time challenge 정책은 타당할 수 있으나, 의도된 정책인지 코드/문서/API error에서 명확하지 않음 ## 제안 아래 중 하나를 선택해 정책을 명확화합니다. 1. 현재처럼 실패 시에도 challenge를 소모하되, API error/documentation에 명확히 설명 2. signature/message mismatch 같은 검증 실패에서는 짧은 retry window 동안 challenge를 유지 3. failed attempt count를 challenge에 저장하고 일정 횟수 초과 시 소모 보안 관점에서는 replay 방어를 유지해야 하므로, 재시도 허용 시 attempt cap과 short TTL을 함께 적용하는 것이 좋습니다. ## 완료 기준 - challenge 소모 정책이 명확히 문서화되거나 UX 개선됨 - client가 실패 후 새 challenge가 필요한지 안정적으로 판단 가능 - 정책에 맞는 regression test 추가 --- 검토 기준: `portal-relay` SIWE registration flow 정적 리뷰. 관련 코드: `crates/portal-relay/src/auth/siwe.rs`, `crates/portal-relay/src/relay/leases.rs`, `crates/portal-relay/src/api/mod.rs`.
gofix commented 2026-05-03 18:58:43 +00:00
Owner
Copy link

검토했지만 코드 변경은 하지 않습니다. register challenge는 서명 실패/메시지 mismatch에도 소모되는 one-time nonce 정책이 맞습니다. 재시도 UX보다 replay 방어가 우선이고, client는 실패 시 새 challenge를 요청해야 합니다. 이 정책을 이슈 답변으로 명확히 하고 닫습니다.

검토했지만 코드 변경은 하지 않습니다. register challenge는 서명 실패/메시지 mismatch에도 소모되는 one-time nonce 정책이 맞습니다. 재시도 UX보다 replay 방어가 우선이고, client는 실패 시 새 challenge를 요청해야 합니다. 이 정책을 이슈 답변으로 명확히 하고 닫습니다.
gofix closed this issue 2026-05-03 18:58:43 +00:00
Sign in to join this conversation.
No Branch/Tag specified
Branches Tags
master
codex/release-v2.3.2-20260606T133940Z-v2.3.2
codex/release-v2.3.1-20260606T053818Z-v2.3.1
codex/release-v2.3.0-20260601T053029Z-v2.3.0
fix/install-rustls-provider
fix/secure-existing-identity-dir-mode
codex/release-v2.2.5-20260531T135659Z-v2.2.5
codex/release-v2.2.4-20260528T101441Z-v2.2.4
fix/ech-sni-routing
codex/release-v2.2.3-20260520T013605Z-v2.2.3
codex/release-v2.2.2-20260515T172725Z-v2.2.2
codex/v221-upstream-compat
fix/ech-dns-records
feature/upstream-v2.2.0
codex/v219-server-compat
fix/debian-slim-final-stage
fix/disable-kaniko-cache-push
chore/drop-amd64-build
fix/amd64-build-opt-level-2
fix/amd64-build-oom-mitigation
fix/preserve-file-capabilities
chore/derive-release-version-from-env
chore/adopt-k3s-style-versioning
ci/kaniko-multi-arch-images
docs/relay-server-scope
codex/v218-relay-compat
feature/rollback-kaniko-image-build
cleanup/remove-multihop-diagnostics
fix/multihop-kernel-tcp
chore/bump-release-version-dev5
fix/issue-16-delete-zero-hop-route
fix/issue-16-hop-route-first-seen
chore/bump-release-version-dev4
ci/rust-checks
codex/multihop-structured-logs
fix/multihop-hop-route-signature
codex/relay-landing-rust-port-note
ci/multiarch-container-image
chore/release-v2.1.8-rs.dev3
ci/fix-registry-auth
chore/release-v2.1.8-rs.dev2
docs/update-unsupported-features
feature/tls-acme-cloudflare
ci/tagged-container-image
feature/distroless-runtime
feature/public-relays-list
feature/document-unsupported-upstream-features
v2.3.2+rs.1-dev.1
v2.3.1+rs.1
v2.3.1+rs.1-dev.1
v2.3.0+rs.1
v2.3.0+rs.1-dev.1
v2.2.5+rs.1
v2.2.5+rs.1-dev.3
v2.2.5+rs.1-dev.2
v2.2.5+rs.1-dev.1
v2.2.4+rs.1
v2.2.4+rs.1-dev.1
v2.2.3+rs.2
v2.2.3+rs.2-dev.1
v2.2.3+rs.1
v2.2.3+rs.1-dev.1
v2.2.2+rs.2
v2.2.2+rs.2-dev.1
v2.2.2+rs.1
v2.2.2+rs.1-dev.1
v2.2.1+rs.1
v2.2.0+rs.1
v2.1.9+rs.1
v2.1.8+rs.1
v2.1.8-rs.dev5
v2.1.8-rs.dev4
v2.1.8-rs.dev3
v2.1.8-rs.dev2
Labels
Clear labels
No items
No labels
Milestone
Clear milestone
No items
No milestone
Projects
Clear projects
No items
No project
Assignees
Clear assignees
No assignees
2 participants
Notifications
Due date
The due date is invalid or out of range. Please use the format "yyyy-mm-dd".

No due date set.

Dependencies

No dependencies set.

Reference
gofix/portal-tunnel-rs#44
No description provided.