タグ

ブックマーク / www.sakimura.org (2)

  • 調べてみた>「PaloAlto Networks製品のSAML認証に危険度最大の脆弱性米サイバー軍も注意喚起」

    去る7月1日に次のような記事が流れてきました。 ただ、この記事からだけだと、結局どういう脆弱性なのかわかりませんし、Palo Alto Networks のサイトの当該ページに行っても同様です。ここのところ忙しくてなかなか手が回らなかったのですが、今日土曜日は仕事をしないと決めていたのでちょっと調べてみました。といっても、他の文献をあたっただけですが。 その中で詳しくて良いと思ったのが、tenableの解説です。 攻撃成功の前提条件 それによると、この攻撃が成功するためには次の2つの前提条件があります。 SAML認証をおこなっていること。IdPの証明書の検証を行わない設定になっていること。 (図1)  SAML Identity Provider Server Profile configuration画面 (Source) tenable 「IdPの証明書の検証を行わないなってことあるの

    調べてみた>「PaloAlto Networks製品のSAML認証に危険度最大の脆弱性米サイバー軍も注意喚起」
  • 非技術者のためのOAuth認証(?)とOpenIDの違い入門【2023年版】

    昔から、「OpenIDは認証でOAuthは認可だ」などということが言われます。しかし、その言語の意味を取り違えている方が結構多い気がしています。「もうOpenIDなんていらね。OAuthだけでいいじゃん」というような言説がよく流れてくるのがその証拠だと思います。OAuth認証というのもその類ですね。 そこで、今日はOAuthとOpenIDの違いを考えてみたいと思います。 OpenIDは紹介状、OAuthは合鍵 まずはOpenIDの概要の復習です。「OpenIDは認証」という言葉の内容をまずは復習してみましょう。 「認証」とは大変広い言葉でいろいろな場面で使われますが、「OpenIDは認証」という使い方の時は、「OpenIDは、いま来ている人の身元を認証」(ユーザ認証)という意味です。図にすると図1のような流れになります。 この例では、有栖さんがお客としてサービス提供をしているサイトである伊

    非技術者のためのOAuth認証(?)とOpenIDの違い入門【2023年版】
  • 1