OAuth 2.0 Implicit Flowをユーザー認証に利用する際のリスクと対策方法について #idcon - r-weblife
おはようございます、ritouです。 今回は、一部で先週話題なりましたOAuth 2.0のImplicit Flowについてのエントリになります。 (2012/2/7 いろいろと修正しました。) 単なる OAuth 2.0 を認証に使うと、車が通れるほどのどでかいセキュリティー・ホールができる | @_Nat Zone Thread Safe: The problem with OAuth for Authentication. 今回は以下の内容について整理したいと思います。 OAuth 2.0のどの機能にセキュリティホールがあるのか 誰が攻撃者になれるのか 対策 OAuth 2.0 Implicit Flowとは OAuth 2.0ではサードパーティーアプリケーションが保護リソースへのアクセス権限を得るためのいくつかのフローが定義されています。 (仕様中ではFlowやGrant Type
OpenIDでPPIDの実装方法を確認した。 - r-weblife
前回、コメントで教えていただいたいただいたICAMのドキュメントをみたら、さくっと書いてありました。 http://www.idmanagement.gov/documents/ICAM_OpenID20Profile.pdf Final: OpenID Provider Authentication Policy Extension 1.0 OpenID Auth Request RPはPAPE拡張を使ってこんな感じのパラメータをRequestに含んでOPに送ります。 openid.ns.pape : http://specs.openid.net/extensions/pape/1.0 openid.pape.preferred_auth_policies : http://schemas.xmlsoap.org/ws/2005/05/identity/claims/privatepe
OpenID AXのセキュリティ問題をダラダラとつづる - r-weblife
こんばんは、ritouです。 連休中に、なんかOpenIDとかAXとかなつかしげなネタがふってきたので取り上げます。 Attribute Exchange Security Alert | OpenID Security advisory to websites using OpenID Attribute Exchange - The official Google Code blog いったい何があったのでしょうか。 OpenIDのこと知ってる人向けに簡単にいうと 以下のような場合に、悪い人がレスポンスをいじくって攻撃できちゃうかもねという話ですね。 RPがopenid.signedに含まれていないAXパラメータの値を使ってしまう(ようなライブラリを使っている) シナリオとして、AXで渡されるEmailをユーザー判定に使っているようなRPだとけっこうやばいんじゃないの?みたいなのがあり
進捗は95%?OAuth 2.0 Draft 13の内容をざっくりまとめる - r-weblife
OAuth 2.0のDraft 13出ました。 draft-ietf-oauth-v2-13 - The OAuth 2.0 Authorization Framework Facebookやmixi Graph APIなどを使って開発されたことがある方は、OAuth 2.0 Draft 10の仕様はほぼ理解されていると思います。 Draft 10は単体である程度まとまった仕様として書かれていましたが、そのあとのDraft 11から構成の見直しなどが行われました。 もうそろそろ決まりそうだという噂があるので、今一度ざっくり最初からまとめ直していきます。 ただ、ClientやAuthorization Serverなど、基本的な説明は省略しています。 Draft 11以降に出てきた(と思われる)説明などを簡単にまとめたつもりです。 毎度のことながら、長いうえにこれは翻訳ではないので、厳密に調
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
