OAuthに対するWPAD/PAC攻撃と対策
8月3日のBlackhat 2016で発表された、HTTPSのURLが読めるというWPAD/PAC Attack1、なるほどねぇ、と思わせるアタックですな。 HTTPS自身を攻撃するわけじゃなくて、HTTPSのhostに対するproxy resolveの時に、PACファイルを使ってURLの内容をフィルタリングして攻撃者のホストに送るというやり口。 毎回proxy resolveが走るブラウザ(例:Firefox, Chrome)とそうでないブラウザがあって、後者だとあまり攻撃は成功しないが、FirefoxやChromeなどでは効果的。ただし、LANのProxy設定などで、「設定を自動的に検出する」がオンになっていなければならない。でもこれは、企業システムなどでは割りとONになっていることが多いのではないだろうか。
はてなグループの終了日を2020年1月31日(金)に決定しました - はてなの告知
はてなグループの終了日を2020年1月31日(金)に決定しました 以下のエントリの通り、今年末を目処にはてなグループを終了予定である旨をお知らせしておりました。 2019年末を目処に、はてなグループの提供を終了する予定です - はてなグループ日記 このたび、正式に終了日を決定いたしましたので、以下の通りご確認ください。 終了日: 2020年1月31日(金) エクスポート希望申請期限:2020年1月31日(金) 終了日以降は、はてなグループの閲覧および投稿は行えません。日記のエクスポートが必要な方は以下の記事にしたがって手続きをしてください。 はてなグループに投稿された日記データのエクスポートについて - はてなグループ日記 ご利用のみなさまにはご迷惑をおかけいたしますが、どうぞよろしくお願いいたします。 2020-06-25 追記 はてなグループ日記のエクスポートデータは2020年2月28
OAuth 2.0 の code は漏れても大丈夫ってホント!? - OAuth.jp
昨日のCovert Redirect で Query 漏れるケースもある!?やOAuth 2.0 の脆弱性 (!?) “Covert Redirect” とはにあるように、OAuth 2.0 の code が漏れちゃうことも、ありえます。 漏れないためにやるべきことは、上記の記事やFacebook Login で Covert Redirect を防止するなんかでも紹介してるので、そちら読んでください。 で、今回の内容は「code が漏れたら何がまずいのか」についてです。 「code は漏れても大丈夫」説 「Covert Redirect」についての John Bradley 氏の解説(追記あり)にも、こうありましたね。 OAuth と OpenID Connect には複数の response_type があるんだけど、さきのリポートの著者は、最も一般的な response_type が
特定のクライアントを許可している Twitter ユーザーの Token Credentials を入手する攻撃 - ひだまりソケットは壊れない
怪しいクライアントを許可していないのに勝手に twitter で DM が送信されていた 何やら Twitter で勝手に DM が送られるという事案が発生していた模様。 調査の結果、ある web ページにアクセスしただけで、Twitter の token credentials が攻撃者に知られてしまう *1 ということがわかったらしい。 下記ページにまとめられていたのだけどパッと読んですぐには攻撃手法を理解できなかったので、いろいろ考えたことを書き残しておく。 「ちょっとこれみてくれない」とurlを送るスパムDMの解析と解説 - Togetter 簡潔な解説が以下の記事にあったので、簡潔な説明で理解できる人は下記記事参照。 gist:5053810 (DM踏んだだけでアレな件はTwitterのOAuth実装がク○だと思う) 【拡散希望】twitterの新型ウイルスがヤバい URL踏んだ
ssig33.com - OAuth とか OpenID とかのフローを利用してフィッシングする話
はじめに。これは霊界に住む死者からの通信に基き書かれた記事です。しかし文責は私にあります。 OpenID はパスワードの授受なしに認証の伝達が出来る仕組みです。 OAuth はパスワードの授受なしでリソースへのアクセス権限を委譲出来る仕組みです。 こうした仕組みを用いて外部サイトと連携している限り、外部サイトへパスワードなどが流出する可能性は低いです。また外部サイトが所有する OAuth の token などが外部に流出たとしても、サイトの利用者や OAuth を提供するプロバイダーがその token を早期に無効にすることが出来ます。 しかしセキュリティへしっかり配慮されて作られた OpenID や OAuth をパスワードを抜く為のフィッシングに使用することが出来ます。以下のような具合です。 OpenID 経由で外部サイトにログインしようとする/OAuth を使用して外部サイトに権限を
RFCとなった「OAuth 2.0」――その要点は?
RFCとなった「OAuth 2.0」――その要点は?:デジタル・アイデンティティ技術最新動向(2)(1/2 ページ) いまWebの世界では、さまざまなWebサービスが提供するプラットフォームと、サー ドパーティが提供するアプリケーションがAPIを中心に結び付き、一種の「APIエコノミー」を形成しています。この連載では、そこで重要な役割を果たす「デジタル・アイデンティティ」について理解を深めていきます。 再び、デジタル・アイデンティティの世界へようこそ 前回「『OAuth』の基本動作を知る」ではOAuthの仕様がどういうものかについて説明しました。今回は引き続き、 OAuth 1.0とOAuth 2.0の違い OAuth 2.0をセキュアに使うために知っておくべきこと について述べていきます。 OAuth 1.0とOAuth 2.0の違い クライアントタイプの定義 OAuth 2.0では、O
単なる OAuth 2.0 を認証に使うと、車が通れるほどのどでかいセキュリティー・ホールができる
In some of the feedback I have gotten on the openID Connect spec, the statement is made that Connect is too complicated. That OAuth 2.0 is all you need to do authentication. Many point to Identity Pro… 英語読みたくないという人のために簡単に解説すると… OAuth 2.0 の implicit flow を使って「認証」をしようとすると、とっても大きな穴が開きます。 カット&ペーストアタックが可能だからです。 OAuth 認証?は、図1のような流れになります。 図1 OAuth 認証?の流れ 一見、問題なさそうに見えます。しかし、それはすべてのサイトが「良いサイト」ならばです。 Site_A
TwitterのOAuth仕様変更、DMアクセスには再度ユーザーの”許可”が必要 - うさぎ文学日記
5月19日Twitterの公式BlogでTwitterのサードパーティなどのアプリケーションが使う、OAuthで設定しているアクセス権限に仕様変更があると、アナウンスがありました。 Twitter Blog: Mission: Permission これまでの”Readのみ”、”Read/Write”以外に、”Read, Write & Direct Messages”という種類が追加されることに。これを選択するとダイレクトメッセージの「読み込み」、「削除」ができなくなるようです。(送信はできるみたいですね) ユーザーにとっては、サードパーティのアプリケーションにダイレクトメッセージを読ませない、という選択肢を取ることができて嬉しいですね。 詳しい仕様は以下にあります。 The Application Permission Model | dev.twitter.com この仕様変更の適用
非技術者のためのOAuth認証(?)とOpenIDの違い入門【2023年版】
昔から、「OpenIDは認証でOAuthは認可だ」などということが言われます。しかし、その言語の意味を取り違えている方が結構多い気がしています。「もうOpenIDなんていらね。OAuthだけでいいじゃん」というような言説がよく流れてくるのがその証拠だと思います。OAuth認証というのもその類ですね。 そこで、今日はOAuthとOpenIDの違いを考えてみたいと思います。 Youtube版 OpenIDは紹介状、OAuthは合鍵 まずはOpenIDの概要の復習です。「OpenIDは認証」という言葉の内容をまずは復習してみましょう。 「認証」とは大変広い言葉でいろいろな場面で使われますが、「OpenIDは認証」という使い方の時は、「OpenIDは、いま来ている人の身元を認証」(ユーザ認証)という意味です。図にすると図1のような流れになります。 この例では、有栖さんがお客としてサービス提供をして
Twitterさん、OAuthのアクセス権限の細分化を! : akiyan.com
Twitterさん、OAuthのアクセス権限の細分化を! 2010-09-07 TwitterのOAuth認証を利用するサービスを作ってみたが... 一昨日の日曜日(9/5)に、クックパッドさんのオフィス提供による 『TFJ CodeCamp #2』 という1日開発合宿に行きまして、TwitterのOAuth認証を使ったサービスを初めて作ったんです。ユーザーのタイムラインを読んでいろいろやってくれるタイプのサービスを。で、実際OAuth認証するサービスを公開することを考えてみたんですが、どーにも無視できないリスクがありまして。 まず、TwitterのOAuth認証のアクセス権限レベルって、「全部のデータが読める」or「何でもできる」しかありません。今回のサービスはタイムラインさえ読めればいいのですが、OAuth認証としては全部のデータを読める要求しかできなくて、その認証をしてもらったならば
OpenID や OAuth の役割と、既存のシングル・サインオンとの違い:Goodpic
This shop will be powered by Are you the store owner? Log in here
xAuthの申請方法をまとめました
twitterと外部アプリを連携させるにはOAuthを利用します。 しかし、OAuthで認証するには、ブラウザ上でtwitterへアクセス許可の認証が必要となります。 そこで、直接アプリケーションから認証することができるXAuthの導入を紹介します。 まず、アプリケーションの登録申請が必要となります。 Twitter Application : http://twitter.com/apps ここからアプリの申請を行ないましょう。登録が完了すると、OAuthを利用することができます。 さらにXAuthを利用したい場合は、Twitterサポートと連絡をとる必要があります。 連絡は api@twitter.com から行ないます。 Hi. my name is Hiroaki. My twitter id is kodam_dev. Please permit the access to xA
OAuth WRAP/2.0 | ゆっくりブログ
意外と知らない人が多いので書いておく。 OAuth 認証において Consumer Secret の漏洩について心配している人が多い。 Twitter API で言うところの Application Type: Client なアプリケーションの場合。 特に、LL(Perl, Ruby, PHP, Python …)で配布する場合。 Consumer Secret は秘匿するべきもので、やはり漏らして良いものではない。 # まぁ、知らないアプリケーションの問い合わせが来ても自己責任だけどね :P そのため、現状ではユーザーごとに Consumer Secret を取ってもらうしかない。 それを改善する手段として、現在 OAuth WRAP/2.0 という仕様が策定されている。 要はリクエストトークンが不要になる。イコール、Consumer Secret も不要になる。 Twitt
WASForum Conference 2010: OAuthとWEBサイト運営のエコシステムに潜む罠 | 水無月ばけらのえび日記
公開: 2010年6月1日0時30分頃 WASForum Conference 2010、高木さんのセッションが延びてしまって開始予定時間を大きく過ぎたところで、トライコーダ上野宣さんによる「OAuthとWEBサイト運営のエコシステムに潜む罠」。
PHPで作るOAuthプロバイダ作成サンプルコード:phpspot開発日誌
Writing an OAuth Provider Service - Rasmus' Toys Page PHPで作るOAuthプロバイダ作成サンプルコードがPHPファウンダーのRasmus氏によってエントリ化されてます。 Twitterみたいに、開発者向けにOAuthプロバイダを公開してAPIでサイトの機能を公開する際に使えるので覚えておくと便利かもしれませんね。 peclのoauthエクステンションによって実行できるので、インストールも楽チンで、インストール後はコードを元に比較的容易に実装できそうです。 関連エントリ PECLのoAuthエクステンションを使ってPHPでTwitterにログインするサンプル例 PHPからOAuth認証が出来るPEARライブラリ「HTTP_OAuth」
[OAuth] 携帯でfoursquareのOAuthを無理やりやってみた
モバイルフォースクエアの開発初期に、OAuthでfoursquareの認証をやろうとしていた時に試した結果です。手元にあったAU,docomoの端末で確認しています。 AU(W61CA)でfoursquareのOAuthをやってみた ログイン画面 承認画面 日本語文字化け… 文字化け&Denyが押せないが、動作はOK! docomo Cookie対応機種(N-07A)でfoursquareのOAuthをやってみたログイン画面 承認画面 デザインは崩れるが、動作はOK! デザインは崩れるが、動作はOK! docomo Cookie非対応機種(SH704i)でfoursquareのOAuthをやってみたログイン画面→表示が崩れ、ログインボタンを押しても同じ画面が繰り返し表示されるだけ…。 ※当時はログインできていた記憶が…、サーバ側の実装が変わったかもしれないです まとめCookie対応機なら
![[OAuth] 携帯でfoursquareのOAuthを無理やりやってみた](https://cdn-ak-scissors.b.st-hatena.com/image/square/a903da7cbef1e8e8cfab1fe784e6d2186742d401/height=288;version=1;width=512/http%3A%2F%2F4.bp.blogspot.com%2F_IngpC7Xbw78%2FS-6ZdSwmKrI%2FAAAAAAAAAM8%2FA2Unl5Z7vLA%2Fw1200-h630-p-k-no-nu%2Fw61ca-4sq-login.JPG)
[OAuth] 携帯でTwitterのOAuthを無理やりやってみた
2011-07-04追記: 今はTwitterのOAuth画面もガラケー対応されてます。自動でリダイレクトはされないのでユーザによるクリックは相変わらず必要ですが。 モバイルフォースクエアの開発初期に、OAuthでTwitterの認証をやろうとしていた時に試した結果です。手元にあったAU,docomoの端末で確認しています。 AU(W61CA)でTwitterのOAuthをやってみた ログイン画面 承認画面 特に問題なし! 自動でリダイレクトはされないが、リンクを手動でクリックすれば動作はOK! docomo Cookie対応機種(N-07A)でTwitterのOAuthをやってみた ログイン画面 承認画面 文字化けがひどいが、ID・パスワード欄っぽいところに入れて1つ目のボタン(ログイン)を押せば承認画面に飛ぶ。 自動でリダイレクトはされないが、リンクを手動でクリックすれば動作はOK!
![[OAuth] 携帯でTwitterのOAuthを無理やりやってみた](https://cdn-ak-scissors.b.st-hatena.com/image/square/95ebfb30e1bf95e1c7e554c2f92b295c1f4a00b9/height=288;version=1;width=512/http%3A%2F%2F1.bp.blogspot.com%2F_IngpC7Xbw78%2FS-6gEadv-xI%2FAAAAAAAAAN0%2FgvviZI0-zTU%2Fw1200-h630-p-k-no-nu%2Fw61ca-tw-login2.JPG)
ガラケーでもOAuthに対応できそうな話
Hiromitsu Takagi @HiromitsuTakagi @mb4sqjp http://www.mb4sq.jp/login ケータイ版の「初めて利用する方」で、OAuthを使うとあるのに他サイトのIDとパスワードを入力させるのはなぜですか?「OAuth認証」ボタンの上に他サイトのパスワード入力欄があるのはおかしくないですか? 2010-05-09 00:01:40 モバイルフォースクエア @mb4sqjp @HiromitsuTakagi ご指摘ごもっともです。始めはOAuthで実装していたのですが、現在はxAuth(4sqではAuth Exchange)で認証しています。※4sqのoauth画面が一部の機種だと文字化けするため。 説明文早めに直しておきます。 2010-05-09 00:13:19
OAuthプロトコルの中身をざっくり解説してみるよ - ( ꒪⌓꒪) ゆるよろ日記
「おーおーっすっ!」 てなこって、TwitterのAPIのBASIC認証も6月末に終了してOAuth/xAuthに移行するというこの時期に、あらためてOAuthについて勉強してみたんですのよ? OAuth認証を利用するライブラリは各言語で出そろってきてるのでそれを使えばいんじゃまいか? というと話が終わるので、じゃあそのライブラリの中身はなにやってんのよってことを、OAuthするScalaのライブラリ作りながら調べたことをまとめてみました。 間違っているところもあると思うのでツッコミ歓迎です>< OAuthってそもそもなんなの? ものすごくざっくりというと「API利用側が、ユーザ認証をAPI提供サービス側にやってもらうための仕様」って感じでしょうか? BASIC認証の場合、API利用側が認証に必要なアカウントやパスワードを預かる必要があるわけです。悪意のあるAPI利用側が「なんとかメーカー
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
TwitterのOAuthの問題まとめ
