GitLabで1クリックアカウント乗っ取りが可能だった脆弱性から学ぶ、OpenID Connect実装の注意点 - Flatt Security Blog
はじめに こんにちは。株式会社Flatt Securityセキュリティエンジニアの森(@ei01241)です。 最近は認証や認可に際してOpenID Connectを使うWebサービスが増えていると思います。「Googleアカウント/Twitter/Facebookでログイン」などのUIはあらゆるサービスで見かけると思います。しかし、OpenID Connectの仕様をよく理解せずに不適切な実装を行うと脆弱性を埋め込むことがあります。 そこで、突然ですがクイズです。以下のTweetをご覧ください。 ⚡️突然ですがクイズです!⚡️ 以下の画面はOAuth 2.0 Best Practice上は推奨されないような実装になっており、潜在的リスクがあります。https://t.co/bXGWktj5fx どのようなリスクが潜んでいるか、ぜひ考えてみてください。このリスクを用いた攻撃についての解説記
golangでOAuthとOpenID Connectの違いを整理して理解する
はじめに 前回の記事に引き続きAuth屋さんのOIDC本を読みました。 今回もチュートリアルのcurlとブラウザで行っている部分をgolangに置き換えてみたいと思います。 方針は前回の実装と同じです。 httpサーバを起動させる アクセスするとgoogleにリダイレクトさせる callbackを受けたら認可コードでトークンリクエストをする 取得したトークンでプロフィールにアクセスする OAuthではGoogleのPhoto APIにアクセスしましたが、プロフィール情報にアクセスするのが違いとなります。 IDトークンの検証も行いますが勉強のためなるべくライブラリなどは使用せず標準pkgで愚直に書いてみます。 golangに最近入門したのでお見苦しいコードを書いているかもですがご笑覧ください🙇♂️🙇♂️🙇♂️ 最終的なコードは以下にあります。 準備 OAuthでGoogleに設定
認証とセキュリティ
認証・認可とか、認証周りの構成とか注意点について時間が経つとすぐ忘れてしまうので、備忘録かねて記事で残しておこうかと思います。 参考記事 認証と認可 まず認証周りの整理から。 認証と認可は別なものです。よく聞く OAuth2.0 は 3rd party 向けの認可の仕組みを定義したものであって、認証の仕組みではないのでこの差を理解しないまま流用すると誤った認証や攻撃対象となってしまうリスクを伴います。 認可とは 認可とは、あるリソースに対してアクセスを許可することです。あるリソースとは例えば Google photo の画像かもしれないし、Github のリポジトリのソースかもしれません。名前やメールアドレスなどの個人情報を含むものかもしれません。認可はこれらのリソースに対してリソースオーナーが許可することを指しています。 身近なもので言うと、切符なんかがよく例に出されます。駅に入るには、
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
