検索対象

並び順

ブックマーク数

期間指定

  • から
  • まで

1 - 5 件 / 5件

新着順 人気順

pkceの検索結果1 - 5 件 / 5件

  • OAuthにおける認可コード横取り攻撃とその対策

    OAuthにおける認可コード横取り攻撃とその対策 Jul 5, 2021 前回の記事で示したように、カスタムURLスキームを偽装した不正アプリは正規アプリへのディープリンクを乗っ取れる。この挙動の悪用シナリオとして、正規アプリと認可サーバー間のOAuthフローにおける認可コード横取り攻撃が知られている。この攻撃への対策を把握するためにiOS環境でシナリオを再現し、PKCEの有効性を確認した。 要約 OAuth 2.0の拡張機能であるPKCEを導入することで認可コード横取り攻撃を無効化できる。OAuth 2.0の仕様では、認可サーバーはネイティブアプリをクライアント認証できない。そのため、認可サーバーは認可コードを横取りした不正アプリと正規アプリを識別できない。しかし、PKCEの仕組みにより認可サーバーは正規アプリを識別できるようになり、認可コード横取り攻撃の検知が可能となる。 ネイティブア

      OAuthにおける認可コード横取り攻撃とその対策

    • OAuth2.0拡張仕様のPKCE実装紹介 〜 Yahoo! ID連携に導入しました

      ヤフー株式会社は、2023年10月1日にLINEヤフー株式会社になりました。LINEヤフー株式会社の新しいブログはこちらです。LINEヤフー Tech Blog こんにちは。 サービス統括本部の都筑(@kazuki229_dev)です。 新卒4年目で普段はYahoo! ID連携のサーバーサイド、iOSのSDKの開発などを担当しています。 Yahoo! ID連携とは、Yahoo! JAPANのシングルサインオンやユーザーの属性情報を取得するID連携の仕組みです。 Yahoo! ID連携とは このYahoo! ID連携ではPKCEというOAuth2.0の拡張仕様を実装しました。 https://developer.yahoo.co.jp/changelog/2019-12-12-yconnect.html そこで、PKCEの基本的な話と、実装の際に調査したことをまとめてみました。 PKCEとは

        OAuth2.0拡張仕様のPKCE実装紹介 〜 Yahoo! ID連携に導入しました

      • Auth0を利用してOAuth 2.0のPKCEを理解する | DevelopersIO

        Auth0を利用してPKCEを一緒に試しつつ、理解していきましょう。本記事ではPKCEを実際に試してみて、理解できることをゴールに書いていきます。 はじめに みなさま。はじめまして、Auth0社の筒井です。ソリューションアーキテクト・テクニカルアカウントマネージャーとして主にAuth0のEnterprise版をご契約頂いたお客様に対して技術支援を行っています。今回はゲストブロガーとして投稿します。 Auth0を利用してPKCEを一緒に試しつつ、理解していきましょう。PKCEはすでに様々なところで詳細に説明されているので、ご存知の方も多いと思います。 本記事ではPKCEを実際に試してみて、理解できることをゴールに書いていきます。 さっそくですが、PKCEって何でしょうか? PKCEは、Proof Key for Code Exchangeの略で、呼び方はピクシーと呼びます。RFC 7636と

          Auth0を利用してOAuth 2.0のPKCEを理解する | DevelopersIO

        • SPA で役立ちそうな OAuth 2.0 for Browser-Based Apps を読んだ - ぷらすのブログ

          こんにちは、@p1assです。 GW 中に SPA で OAuth を使うときのプラクティスについて調べていたところ、OAuth2.0 for Browser-Based Apps という RFC の Internet-Draft を見つけました。 一通り読んでみたところ、現時点でのベストプラクティスが良い感じにまとまっていたので、興味深かったところを抜粋して紹介します。 全てを網羅するわけではないので、興味がある方は原文を読んでください。 This specification details the threats, attack consequences, security considerations and best practices that must be taken into account when developing browser-based application

            SPA で役立ちそうな OAuth 2.0 for Browser-Based Apps を読んだ - ぷらすのブログ

          • Authorization Code Flow with PKCE Clientの実装(Node.js) - Qiita

            はじめに RFC7636 PKCE(Proof Key for Code Exchange by OAuth Public Clients)は認可コード横取り攻撃の対策(authorization code interception attack)として策定された仕様です。 また、PKCEは認可コード横取り攻撃にかかわらず、OAuth2.0におけるCSRFの対策としても機能します。 なお、stateによるCSRF対策ではクライアントが検証を実施するのに対して、PKCEによるCSRF対策では認可サーバーが検証を実施するという違いがあります。(PKCEを利用した場合でも、クライアントが固定値などの脆弱なcode_challenge、code_verifierを利用するとCSRFに対して脆弱になるためクライアントに対策の責務がないわけではありません) PKCEはスマートフォンアプリなどのPubl

              Authorization Code Flow with PKCE Clientの実装(Node.js) - Qiita
            1

            はてなブックマーク

            公式Twitter

            はてなのサービス

            • App Storeからダウンロード
            • Google Playで手に入れよう
            Copyright © 2005-2024 Hatena. All Rights Reserved.