ssig33.com - OAuth とか OpenID とかのフローを利用してフィッシングする話

はじめに。これは霊界に住む死者からの通信に基き書かれた記事です。しかし文責は私にあります。 OpenID はパスワードの授受なしに認証の伝達が出来る仕組みです。 OAuth はパスワードの授受なしでリソースへのアクセス権限を委譲出来る仕組みです。 こうした仕組みを用いて外部サイトと連携している限り、外部サイトへパスワードなどが流出する可能性は低いです。また外部サイトが所有する OAuth の token などが外部に流出たとしても、サイトの利用者や OAuth を提供するプロバイダーがその token を早期に無効にすることが出来ます。 しかしセキュリティへしっかり配慮されて作られた OpenID や OAuth をパスワードを抜く為のフィッシングに使用することが出来ます。以下のような具合です。 OpenID 経由で外部サイトにログインしようとする/OAuth を使用して外部サイトに権限を

[tsupo]

ログインしてない状態で OAuth の手順をはじめようとしたときに飛ばされるログインフォームを偽装した攻撃の話。

[dowhile]

”これは霊界に住む死者からの通信に基き書かれた記事です。”

[koroharo]

とりあえず一回全く違うパスワード入れてエラーになるか確認する習慣にするとか。まぁ、逆手にとってきたらどうしようもないけど。

[szks]

OAuthのセキュリティモデルは半分崩壊してるとおもう

[raimon49]

アドレスバー隠れてる環境でこの実装をされたら、確かに勘違いして2回入力してしまう。

[tyoro1210]

lastpass の補完が効くかどうかで判断する。