はてなブックマーク - OAuthに脆弱性、TwitterやYahoo!がAPIを停止 − ＠IT

OAuthに脆弱性、TwitterやYahoo!がAPIを停止 − ＠IT

www.atmarkit.co.jp

タグ : OAuth security セキュリティ api twitter webサービス yahoo 認証 openid @IT

コンピュータ・IT 63 users

2009/04/23 API ベースでWeb アプリケーションやローカルアプリケーションを連携させる技術として普及が期待されている認可プロトコル「OAuth」（オース）にセッション固定攻撃の脆弱性が発見された。OAuthに対応したAPIを公開しているYahoo!やTwitter、YammerがOAuth対応APIによるデータ提供を緊急停止する事態となっている（Yahoo!のコメント、Twitterのコメント、Yammerのコメント）。一方、OpenSocialなどでOAuthを使っているグーグルはコメントで、... > このページを見る

最終更新時間: 2009年04月24日01時03分

▼ブログで紹介する

みんなのブックマーク人気（0）新着

saitokoichi API, development
『OpenIDはログイン時の認証プロセスをサービスと切り分けることができる枠組みを提供し、OAuthはAPIを使ったデータアクセスをユーザーの明示的な許可に基づいて提供する枠組みを提供する』 2009/08/02
kitone OAuth, セキュリティ
CSRFみたいな 2009/07/28
toton security
「OAuth」にセッション固定攻撃の脆弱性 2009/07/08
stibbar API, webサービス, セキュリティ, 認証
フォーーーーーーーー！！！Twitterはハードロックなので、事前通告なしにいきなりとめるとか許される。いや、知らないけど。 2009/06/04
Tetsu3 OAuth, 認可
うえーこうぇー。 2009/04/27
tsupo OAuth, security, sessionFixation, twitter, yahoo, yammer
プロトコル自体にセッション固定攻撃の脆弱性 / 一方、OpenSocialなどでOAuthを使っているグーグルはコメントで、問題が発見されたものと異なるOAuthを使っているため、現在提供中のサービスについて影響はないとしている 2009/04/24
hirotow
おーす、おら脆弱性。 2009/04/24
wacky OAuth, プロトコル, 認証, セキュリティ
oAuthにセッション固定攻撃の脆弱性が発見されたとのこと。問題は「OAuth Core 1.0」のプロトコル自体にあり、OAuthコミュニティは仕様改訂や公開済みの実装のバージョンアップを予定。 2009/04/24
lizy authentication, oauth, security
openidとの違いがよく分からんな……勉強しないと 2009/04/24
yorihito_tanaka
「OAuthはOpenIDと並んでオープンなプロトコルによるサイト間連携を行う仕組みで、それぞれユーザー認証・認可のプロトコルだ」が変 2009/04/24
takkaw oauth, security, twitter
ガビーン 2009/04/24