「OAuth 2.0 (Implicit Flow) でログイン」の被害例 - OAuth.jp
。登場人物 OAuth 2.0対応してる某ゲームプラットフォーム 某ゲームプラットフォーム上で占いゲームを運営してる攻撃者 某ゲームプラットフォーム上で農園ゲームを運営してる被害アプリの開発者 某ゲームプラットフォーム上で無邪気に遊んでる被害ユーザ ※ 念のため、今回の話は特にゲームに限った話ではない。 前提 某ゲームプラットフォーム、農園ゲーム共に、XSS とか CSRF とかセッションハイジャックされるような脆弱性はない。 農園ゲームはプラットフォームが発行するAccess TokenをOAuth 2.0のImplicit Flowを使って受け取り、同じくプラットフォームが提供するProfile API (GET /me とか) にアクセスして、レスポンスに含まれる user_id をもとにユーザを認証している。 攻撃者は占いゲームのDBから任意のAccess Tokenを取得可能。
ハッカーの流儀
Mark Zuckerberg / 青木靖 訳 2012年2月1日 Facebookは元々会社にしようと作ったのではありませんでした。世界をもっとオープンで繋がり合ったものにするという社会的なミッションのために始めたのです。 私たちにとってこのミッションがどんな意味を持ち、私たちがどのように決断し、私たちがどんな理由でやっているのかを、Facebookに投資される皆さんに理解していただくことは非常に重要だと考えています。このメッセージで私たちのやり方の概要を示せればと思います。 Facebookで働く私たちは、人々が情報を広め消費する方法に革命をもたらしたテクノロジーに触発されます。私たちは印刷術やテレビのような発明についてよく話します。単にコミュニケーションをより効率的に行えるようにすることで、社会の重要な部分の多くがすっかり変容を遂げることになりました。より多くの人が意見を言えるように
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
