【翻訳】JSON Web Tokenライブラリの危機的な脆弱性 Written on Sep 14, 2015. Posted in Web Technologies 以下の内容は、JSON Web Tokenを扱うライブラリの脆弱性に関する報告内容を和訳したものです。 https://auth0.com/blog/2015/03/31/critical-vulnerabilities-in-json-web-token-libraries/ JSON Web Tokenライブラリの危機的な脆弱性 最近、いくつかのJSON Web Token実装のセキュリティについてレビューしていた間に、私は検証処理をバイパスする攻撃が可能な危機的な脆弱性を持つ多くのライブラリを発見しました。多くの実装や言語を横断して、同じ2つの欠陥が見つかりました。そして、問題が起こる場所を書き上げることが助けになると
JavaでJWT JWT、Json Web Tokenの略。電子的に署名することで改ざんができないJSONみたいなものをイメージするといいようです。詳しくはまだ理解できていないので適当にググってください、またはこちらの記事がわかりやすいです。 qiita.com これを今作っている学校のサービスのAPIの認証に用いることができないかなぁと画策してました。 JavaでAPIサーバーを作っているので、Javaで使えることが大前提。結論から言うと、複数のJavaで使用できるJWTのライブラリが存在するので特に問題はなさそうでした。 jwt.io ここに載っているだけでも6個のライブラリがあるようです。 とりあえずどれがいいかもよくわからなかったので、↑のサイトを作っているAuth0が作ったライブラリのREADMEにあるコードを動かしてみました。 import io.jsonwebtoken.Jw
Note: JWT の仕様やそもそも論の話は触れません。どう使うか、何が出来るかしか書いていません。 JSON Web Token? JSON Web Token とは、ざっくりいって署名の出来る JSON を含んだ URL Safe なトークンです。 署名とは、署名時に使った鍵を用いて、JSON が改ざんされていないかをチェック出来るようにすることです。 URL Safe とは、文字通り、URL に含めることの出来ない文字を含まないことです。 これだけだとよくわかりませんが、触り心地としては次のような性質があります。 発行者だけが、鍵を使ってトークンが正しいことを検証出来る。 暗号化ではないので、JSON の中身は誰でも見られる。 仕様的には、暗号化のオプションもあります。 しかしながら、JSON の変更は出来ない。(改ざんをすると、検証時に失敗するので。) 全体的には、なんか変更できな
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く