タグ

ブックマーク / oauth.jp (8)

  • Account Takeover Vulnerability in Microsoft Teams - OAuth.jp

    約一年ぶりの記事ですね。 みなさん、三密避けて OAuth の勉強に勤しんでおられますでしょうか? さて、今朝こんな記事が上がってました。 「Microsoft Teams」にアカウント乗っ取りの脆弱性、画像表示だけで不正侵入 – ITmedia エンタープライズ 今回の脆弱性は Teams のデスクトップ版と Web ブラウザ版の両方に影響する。攻撃者は狙った相手に GIF などの画像を送り付けて表示させ、画像が Web ブラウザに読み込まれる過程で認証トークンを盗み出す。被害者の画面には画像が表示されるだけなので、自分が攻撃されたことに気付かない。 攻撃者がこのユーザーになりすまして組織内の他の従業員に不正なGIFを送信すれば、ワームのような形で侵入を広げ、組織全体の Teams アカウントを乗っ取る可能性もある。そうなれば、社外秘情報や会議、カレンダー、パスワードといった重要情報が流

    nekoruri
    nekoruri 2020/04/28
    リンク

  • PowerShell for AzureAD - OAuth.jp

  • FIDO Alliance - OAuth.jp

    先週末、FIDO Alliance のメンバーが来日して、FIDO Alliance Tokyo Seminar というセミナーが開催されていました。僕も今春の #idcon vol.18 で FIDO Alliance について紹介した 時にまだいろいろ不明点が多かったのもあって、このセミナーに参加してきました。 で、参加してみて分かった事。 生体認証押し まぁ、これは FIDO Alliance のサイト見ても、元々そうっちゃそうなんですが。 FIDO は仕様的には特に生体認証センサーとか必要ないし、FIDO に準拠してない Apple TouchID みたいなセンサーモジュールと連携したソフトウェアモジュールさえ積んでればFIDO 仕様に沿った実装は可能です。 ひとことで言うと、エンドユーザーが「端末のセキュア領域に保存されている秘密鍵にアクセスして assertion に署名できる

    nekoruri
    nekoruri 2015/05/26
    @wenbose おもに生体認証が目立ってるだけで、生体認証がMUSTではないです。じっさいFIDO U2F準拠のUSBキーとかあるので。
    リンク

  • Facebookが新たなAccess Token Introspection APIを出したようです - OAuth.jp

    今朝fb_graphにこんな要望が来てて知ったのですが、Facebookが新たなAccess Token Introspection APIを出したようです。 Adding support for /debug_token endpoint · Issue #269 · nov/fb_graph こんなリクエストを送ると こんなレスポンスが帰ってくる、と。 "data" ってなんやろとかApp Token無いと使えへんのメンドイなとか思ったりはしますが、ちゃんと別のClientに発行されたAccess Tokenをinput_tokenとして送るとエラーが帰ってくるし、Success Responseにはscopeとかissued_atとかも付いてくるので、いろいろと使い勝手は良さそうですね。まぁ例のごとく完全に独自仕様ですが。 って実際にGraph API Explorerで試したら、i

    nekoruri
    nekoruri 2012/10/16
    「別のClientに発行されたAccess Tokenをinput_tokenとして送るとエラーが帰ってくるし、Success Responseにはscopeとかissued_atとかも付いてくる」
    リンク

  • The OAuth 1.0 Protocol 翻訳版 (draft-hammer-oauth-10) - OAuth.jp

    nekoruri
    nekoruri 2010/09/03
    The OAuth 1.0 Protocol 翻訳版 (draft-hammer-oauth-10) - OAuth.jp
    リンク

  • The OAuth 1.0 Protocol 翻訳版 (draft-hammer-oauth-10) - OAuth.jp

    nekoruri
    nekoruri 2010/09/03
    リンク

  • SocialWeb Conference vol.6 - OAuth Night - OAuth.jp

    nekoruri
    nekoruri 2010/09/02
    "OAuthの概要の説明 + OAuth 1.0のフローをtcpflowベースでおさらい" SocialWeb Conference vol.6 - OAuth Night - OAuth.jp
    リンク

  • SocialWeb Conference vol.6 - OAuth Night - OAuth.jp

    @nov です。 先週の金曜日にSocialWeb Japan主催のSocialWeb Conference vol.6 ~ OAuth Night ~で、OAuth 1.0の紹介をしてきたので、そのスライドをアップします。 スライドではOAuthの概要の説明 + OAuth 1.0のフローをtcpflowベースでおさらいしてます。 実は現場では最初の方を日語化したスライドを使っていたのですが、フォント的に英語の方がきれいなので、アップしたのは英語版です。きっと皆さん読む時は英語の方が分かりやすいと信じて。 Oauth 1.0 View more presentations from Matake Nobukazu. @ritou くんのOAuth 2.0の紹介スライド + Demo + 感想もろもろはこちらです。 SocialWeb Conference vol.6で発表しました! #

    nekoruri
    nekoruri 2010/09/02
    "OAuthの概要の説明 + OAuth 1.0のフローをtcpflowベースでおさらい" SocialWeb Conference vol.6 - OAuth Night - OAuth.jp
    リンク
  • 1

お知らせ

もっと読む

公式Twitter

  • @HatenaBookmark

    リリース、障害情報などのサービスのお知らせ

  • @hatebu

    最新の人気エントリーの配信

はてなブックマーク

公式Twitter

はてなのサービス

  • App Storeからダウンロード
  • Google Playで手に入れよう
Copyright © 2005-2024 Hatena. All Rights Reserved.