MacOS XとiOSのXARA脆弱性について
今日(6月18日)午後、GigaZineで「iOSとOS XでiCloud・メール・ブラウザ保存のパスワードが盗まれる脆弱性が発覚、Appleは半年以上も黙殺」1というセンセーショナルな記事が出ました。まぁ、Webメディアだからしょうがないかという感じではありますが、記事を読んだだけでは何のことやらさっぱりなので、読みましたよ、元の論文。 その論文は、これです。 Xing, Bai, Li, Wang, Chen, Liao: “Unauthorized Cross-App Resource Access on MAC OS X and iOS” 2 まずは、著者たちに拍手をしましょう。 その上で: 著者たちが、初めて発見したと主張するゼロデイ攻撃は以下の4つ、細かくは5つに分類されます。 Password Stealing (Keychainのアクセス・コントロール脆弱性)[MacOS
「番号」は漏れると危ないのか?
さて、マイナンバー対応バブル真っ盛りの夏を迎えつつありますが、皆さんいかがお過ごしでしょうか? 折しも年金番号が盛大に漏れて1、マイナンバーへの影響もあるのではないかとなども言われておりますが、そもそも「番号」が漏れることを「住所・氏名・生年月日」などの各種個人情報以上に大騒ぎするのには私は違和感があります。それは、こと漏洩に関して言うと、プライバシーインパクトは「番号」<「住所・氏名・生年月日」<<「付随する情報」だからです。 以下、簡単化のために「番号」<「住所・氏名・生年月日」に焦点を絞ります。 1. なりすましによる被害 「番号」それ自体は、その本人のデータを他の人のデータから区別するという能力しか無いはずです。米国のSSNなどは、誤った理解から番号自体を本人確認に使ってしまったりしてなりすまし事故を盛大に起こしております2が、日本のマイナンバーや年金番号はそんなことはしていないは
米Yahoo!からのパスワード流出を考える
(UPDATE1) Yahoo! Voice と Yahoo! Voices は別のサービスらしいので、そこをUPDATEしました。なお、結論は変わりません→ってことは、Yahoo! Voice も気をつけて対処したほうが良いってことですよ…。 米 Yahoo! からパスワードが流出したと大騒ぎである。 米Yahoo!は長らくビジネス的問題を抱えていて、多くの人材が流出していてシステムメンテに手が回らなくなっているので、「あー、ついにやってしまったか」と最初にニュースに接した時には思った。最近は、認証は専門部隊を持っているところに任せましょうという講演をあちこちでして回っているのだが、認証プロバイダ(Identity Provider, IdP) もやっている Yahoo! がこれをやってしまったというのは、個人的にも非常にインパクトが大きい[1]。 実際、この分野に造詣の深い Evolu
単なる OAuth 2.0 を認証に使うと、車が通れるほどのどでかいセキュリティー・ホールができる
In some of the feedback I have gotten on the openID Connect spec, the statement is made that Connect is too complicated. That OAuth 2.0 is all you need to do authentication. Many point to Identity Pro… 英語読みたくないという人のために簡単に解説すると… OAuth 2.0 の implicit flow を使って「認証」をしようとすると、とっても大きな穴が開きます。 カット&ペーストアタックが可能だからです。 OAuth 認証?は、図1のような流れになります。 図1 OAuth 認証?の流れ 一見、問題なさそうに見えます。しかし、それはすべてのサイトが「良いサイト」ならばです。 Site_A
spモードメール問題
spモードメール問題、あの、アドレスが付け変わってしまうというやつが話題になっています。ただ記事を読んだだけではよくわからなかったので、NTT DOCOMOテクニカル・ジャーナル Vol.18 No.3 の Technology Report [1] なども参考にしながら絵を書いて見ました。ちなみに、ここで網というのは、spモード網のことです。 独自認証方式によるメールアカウント取得というのは、 (1) メールアプリがオフィシャルなものであることを独自方式で認証 (2) spモード接続を通じて、ユーザー情報を取得 というものらしいですが、詳細はわかりません。どうもこの辺に今回の鍵があるような気がしますが、どうなんですかね。上の図では、spモード接続を通じたユーザー認証をIPアドレスでしているように書いています。これは、記事などで読んだことからの類推です。こうしていると、今回の事象がおきます
RESTに対する7つの誤解
海外に行くと、既に REST対SOAPの決着は付いている[1](エンタープライズでもコンシューマでも)ように見えるのだが、日本国内で話していると、まだまだ混乱しているようだ。さながら2009年ごろの状況を見るようだ。そこで、今日は RESTに関わる誤解について、幾つか書いてみたいと思う。(殴り書きだが、あんまり聞かれるのでFAQとして。なお、以下の多くは、[2] サービスステーション:RESTの詳細でより詳細に書かれている。) 誤解1. RESTはマッシュアップ用のプロトコルで、サーバ間通信には適さないのではないか? どこからこのような誤解が来ているのか理解に苦しむ。ひょっとすると、RESTはHTTPベースということが、ブラウザとWebサーバのやり取りという風に誤って捉えられているのかもしれない。 もちろん間違いである。 ブラウザとWebサーバとの間同様、サーバからサーバへの通信にもHTT
非技術者のためのOAuth認証(?)とOpenIDの違い入門【2023年版】
昔から、「OpenIDは認証でOAuthは認可だ」などということが言われます。しかし、その言語の意味を取り違えている方が結構多い気がしています。「もうOpenIDなんていらね。OAuthだけでいいじゃん」というような言説がよく流れてくるのがその証拠だと思います。OAuth認証というのもその類ですね。 そこで、今日はOAuthとOpenIDの違いを考えてみたいと思います。 Youtube版 OpenIDは紹介状、OAuthは合鍵 まずはOpenIDの概要の復習です。「OpenIDは認証」という言葉の内容をまずは復習してみましょう。 「認証」とは大変広い言葉でいろいろな場面で使われますが、「OpenIDは認証」という使い方の時は、「OpenIDは、いま来ている人の身元を認証」(ユーザ認証)という意味です。図にすると図1のような流れになります。 この例では、有栖さんがお客としてサービス提供をして
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
