事務局ブログ：「Covert Redirect」についての John Bradley 氏の解説（追記あり）

追記 (5/7 20:30): 本文中に「まともなブラウザーであれば、そのフラグメントを URI の一部にするようなことはないから、オープン・リダイレクターには送られない。」とありますが、少なくとも Chrome と Firefox はリダイレクト時に URI フラグメントをそのまま保つ (i.e. 不十分な redirect_uri チェック & オープン・リダイレクター & インプリシット・フローの場合、アクセス・トークン入りの URI フラグメントを、ブラウザーがそのままリダイレクト先へのリクエストに用いる) とのことです。続報があり次第追記します。 追記2 (5/7 23:50): John Bradley 氏自身によるフォローアップを訳しました。 Covert Redirect and its real impact on OAuth and OpenID Connect を、と

[tengo1985]

スクロールするとトップが縮小するデザインに一番感心した

[stealthinu]

CNETの記事についてこれは既知の問題でFBの実装が悪いんだよって解説の日本語記事。例の記事ブクマした人みんなこれを読め！！！てか@mnb0327さんマジ感謝。

[tarchan]

＞Facebook は OAuth2 に似てるけど、「セキュリティに関する考察」仕様の多くを無視して (話を聞いてよ...)、開発者の利便性を優先してる。

[hide-K]

Covert Redirect に関するよいまとめ

[akulog]

Facebook(OAuth2.0)→理解してるけど対策コスト高杉 Google(OpenID)→対策中 Linkedin→ブログ書いたった Microsoft→ウチ関係なくね？

[tsupo]

『Facebook は OAuth2 に似てるけど、「セキュリティに関する考察」仕様の多くを無視して、開発者の利便性を優先してる』 このせいで、攻撃者が ESPN のオープン・リダイレクターを使えてしまう

[harupu]

よくある話

[T-norf]

あかん。ここらへんのhttpsでリダイレクトするフェデレーションの仕組み、もやっとだけで、ちゃんと理解しちょらん。そろそろ勉強するか、んなレベルまで口出しするのやめるか迷うなぁ。

[yusuke_k0606]

なるほど

[NOV1975]

なるほどね。とまれ、実装が不味いとよろしくないということは知っている人は知っている～じゃ不味いと思うので騒ぎは騒ぎとして。

[mkusunok]

John Bradley氏による解説の翻訳。分かりやすく整理されている

[ot2sy39]

話題の元記事と合わせて読みたい。

[sugimo2]

"良く知られている攻撃手法だし、みんな (もしかしたら Facebook を除くかもだけど) 緩和策を講じてる"

[iR3]

ふむふむ “けど、その code を使って攻撃者がなにかできるわけではないよ。これこそまさに、"code" response_type を使うことで得られる効果的な緩和策だね。”

[jt_noSke]

なるほど

[masaya-chonan]

"今回のリポートに新しい話は見当たらないなあ。良く知られている攻撃手法だし、みんな (もしかしたら Facebook を除くかもだけど) 緩和策を講じてる。"

[shioki]

"今回のリポートに新しい話は見当たらないなあ。良く知られている攻撃手法だし、みんな (もしかしたら Facebook を除くかもだけど) 緩和策を講じてる"

[ko-ya-ma]

> ブラウザーのバーから URL をカット & ペーストして。つまり、インプリシット・フローであれば、ユーザーが自分自身を攻撃することは可能だよ。けどそれを「深刻な脅威」とみなさないよね

[teppeis]

騒ぎ過ぎなのは同意だけど、アクセストークンが漏れないというのは間違い http://weblog.bulknews.net/post/85008516879/covert-redirect-vulnerability-with-oauth-2

[mad-p]

John Bradleyの解説の和訳。ありがとう

[miya-jan]

これはよい翻訳