OAuth 2.0 Implicit Flow で認証の問題点、再び。 - OAuth.jp
おひさしぶりです、@novです。 最近は、新しいFacebook iOS SDK使ってるアプリを見つけるとまずToken置換攻撃を試みていますが、結構高い確率でこの攻撃に対して脆弱なアプリがみつかります。困ったものです。。 そんななか、2週間ほど前に、Micosoft Researchの人がIETF OAuth WGのメーリングリストに同じ問題を提起していました。該当Threadでは少し話題が脱線している部分もありますが、もともと最初にこの問題を提起したJohn BradleyがOAuth 2.0 CoreにSecurity Considerationsを追加する流れのようです。 これが現状の改善につながれば良いのですが、そう簡単に行かないかもなとも思います。というのも、この問題、なかなかデベロッパーにとって理解されない傾向があります。 そこで今日は、これまでいくつかのアプリデベロッパーに
特定条件下におけるOAuth 2.0の認可応答を奪取されるリスクとその対策について - r-weblife
こんにちは、ritouです。 やっと”なんちゃらAdvent Calendar”がおさまり、これからは”一年を振り返って(遠い目”みたいな記事が増えることでしょう。その間のタイミングを狙います。 何の話か mixi Platformが導入したっていうOAuth 2.0のCSRF対策拡張を使ってみた - r-weblife の最後にちょっと書いたんですけど、モバイルアプリでOAuth 2.0を使う際にやっかいな問題が残ってました。 今回は、「ネイティブアプリケーションからOAuth 2.0を使うとき、特定の条件下において、正規のClientではない悪意のある第3者に認可応答を持って行かれて、その結果Access Tokenを取得できちゃうリスクがあるよね。どうしようか。」っていう話です。 条件っていうのは、 OAuth 2.0のClientはネイティブアプリケーションであり、Client C
OAuth 2.0のAccess TokenへのJSON Web Token(JSON Web Signature)の適用 - r-weblife
こんばんは、ritouです。 久々の投稿な気がしますが、今回はOAuth 2.0のリソースアクセス時の設計の話です。 ずーっと前から書こうと思いつつ書いてなかったので、ここに書いておきます。 出てくる用語や仕様は、下記の翻訳リンクを参照してください。 The OAuth 2.0 Authorization Framework JSON Web Signature (JWS) 想定する環境 わりとよくある環境を想定しています。 OAuth 2.0で認可サーバーとリソースサーバーがある 認可サーバーがAccess Tokenを発行 リソースサーバーがAPIリクエストに含まれるAccess Tokenを検証する よくある実装とその悩みどころを、JSON Web Token(JSON Web Signature)により軽減できるかもという話です。 よくある実装 : Access Tokenに一見ラ
非技術者のためのOAuth認証(?)とOpenIDの違い入門【2023年版】
昔から、「OpenIDは認証でOAuthは認可だ」などということが言われます。しかし、その言語の意味を取り違えている方が結構多い気がしています。「もうOpenIDなんていらね。OAuthだけでいいじゃん」というような言説がよく流れてくるのがその証拠だと思います。OAuth認証というのもその類ですね。 そこで、今日はOAuthとOpenIDの違いを考えてみたいと思います。 Youtube版 OpenIDは紹介状、OAuthは合鍵 まずはOpenIDの概要の復習です。「OpenIDは認証」という言葉の内容をまずは復習してみましょう。 「認証」とは大変広い言葉でいろいろな場面で使われますが、「OpenIDは認証」という使い方の時は、「OpenIDは、いま来ている人の身元を認証」(ユーザ認証)という意味です。図にすると図1のような流れになります。 この例では、有栖さんがお客としてサービス提供をして
AndroidでGoogle OAuth2認証を行う。(Installed Applicationとして登録) - 高温処理済みコースケ
仕事でやってるアプリがGoogle Appsと連携するのだけど、OAuth2認証をandroidのAccountManagerに管理されたくないので、Androidでブラウザ使って認証するための試行錯誤 なんでAccountManagerで認証されたくないかというとタブレットで動かしているのだけど、アプリがKIOSK端末アプリ的な位置づけのため、ブラウザ開くとすでにログインしているとかシャレにならない。(gmail開くとメール見れるとか困るんですよ。まったく) 認証が面倒くさいというよりセキュリティ面での信頼がおける方法を実装するのが面倒くさいというほうが正しいとおもう。 (参考) http://awwa500.blogspot.jp/2012/12/androidgoogle-service-oauth20.html 最初はブラウザではなくWebView使ったアプリ内ブラウザでやっていた
mixi Platformが導入したっていうOAuth 2.0のCSRF対策拡張を使ってみた - r-weblife
こんばんはこんばんは!!、ritouです。 木曜に公開されたこの記事を見て実際に試してみた/使ってみたってエントリ、たぶん誰も書いてくれないので自分で書きます。 OAuthのセキュリティ強化を目的とする拡張仕様を導入しました - mixi engineer blog とりあえず上記の記事を読んで、最後の方のシーケンス図を覚えといてください。 では動作確認を始めましょう。 手順0 : サービスを登録してclient_id, client_secretの取得 もしかして、mixi Platformの挙動だけ確かめたい人にとってはここがハードル高いのか。まぁしょうがないです。 開発者登録している人はこちらからサービスを登録できますね。 https://sap.mixi.jp/connect_consumer.pl 例として、とりあえずこんな感じで登録してみます。 client_id : 4f75
OAuthのセキュリティ強化を目的とする拡張仕様を導入しました - mixi engineer blog
こんにちは. 研究開発グループ ritouです. だいぶ前の記事で紹介したとおり, mixi Platformは様々なユーザーデータをAPIとして提供するにあたり, リソースアクセスの標準化仕様であるOAuth 2.0をサポートしています. mixi PlatformがOAuth 2.0の最新仕様に対応しました | mixi Engineers' Blog mixi Platformをさらに安全にご利用いただくため, OAuth 2.0におけるCSRF対策を目的とした拡張仕様を検討, 導入しましたので紹介します. OAuth 2.0の認可フローとCSRF エンジニアの方であれば, Webサービスに対するCSRF(Cross-site Request Forgery)をご存知でしょう. CSRF攻撃とは悪意のある外部サービスへのアクセスや特定のURLへの誘導などをきっかけとしてユーザーの意図
オーオース2・0におけるCSRF対策で認可サーバーができること - 知らないけどきっとそう。
4/2 追記 ブログのタイトルを「知ってるけどきっとそうじゃない。」に変更しましたが、それだとただの嘘だ、ということに気づきましたので、元のタイトルに戻します 大変ご迷惑をおかけいたしました 本日から、ブログのタイトルを「知ってるけどきっとそうじゃない。」に改めました 今年度も、どうぞよろしくお願いいたします By kidmissile - Identity Discs Acquired(2010) / CC BY-NC-ND 2.0 新タイトルになって最初の記事は、「オーオース2・0」におけるCSRF(クロスサイトリクエストフォージェリー)についてです CSRFといえば、URLをクリックしただけで「こんにちはこんにちは!!」させられてしまう脆弱性であることを、ご存知の方は多いと思います 最近は、フェイスブックアカウント等でログインできるウェブアプリケーション(応用ソフト)も増えてきました
mitmproxyを使ってSSL通信の中身を確認する - ku
MacでiPhone上で行われている通信の内容を調べたい。HTTPのときはWiresharkで見られるけれどSSLのときはCharlesでもできるらしいけど、ちょっとだけ使うには少し高めなのでmitmproxyを使います。mitmproxy - SSL interceptionに書いてあるSSLでの使い方をそのままやるだけでできます。 インストールwget http://mitmproxy.org/download/mitmproxy-0.6.tar.gz | tar xf cd mitmproxy-0.6 sudo python setup.py install curl http://excess.org/urwid/urwid-1.0.1.tar.gz | tar xf - sudo python setup.py install OSX 10.7だと問題なくインストールできたけど1
OAuth2.0のclient_secretって本当に秘密鍵ですか? - ブログなんだよもん
OAuthをしているサービスをAndroid + PhoneGap経由で使いたくて調べて見ました。 そして、色々調べたり考えたりした結果、 client_secret ってそもそも秘密鍵にする必要なくね? という天啓を得たので、つらつらと書いてみます。secretって名前なのに秘密である必要がないなんて、わけがわからないよ。 間違ってる気がしてならないので、誰か指摘をしてください。マジで。 とりあえず、前提として自分のサービスの認証替わりに使いたいわけじゃなくて、純粋にそのサービスを使うのが目的。OAuthなサービスはサーバサイドで使ったことは何度かあるんだけど、クライアントサイドで使うという事で、扱いが困るのがclient_secret。名前の通り、秘密鍵として扱う必要があると思ってたんだけど、正直安全にクライアント側で管理する方法が無い。 公開している通常のソースからは外してビルド時に
Re: OAuth 2.0のclient_secretって本当に秘密鍵ですか? - OAuth.jp
昨日こんな記事を見かけたので、記事にまとめることにします。 OAuth2.0のclient_secretって本当に秘密鍵ですか? 元記事にあるとおり、現状Native AppでのOAuth 2.0の実装は、API提供者・利用者ともにポリシーがバラバラで、混乱の元になっていると思います。 Googleのドキュメントにも「the client_secret is obviously not treated as a secret.」とあるわけだけど、そのくせclient_secretを使ってるし、ネットで調べても少なくない数の人がアプリに埋め込んでるので、client_secretを公開したときの問題を考えてみる。 “offline” アクセスと “online” アクセス Googleは、“offline access” に対して以下のようなポリシーを持っています。 Upcoming cha
Rails複数DB Casual TalksでMySQLとActiveRecordの話をしてきた - かみぽわーる
Rails複数DB Casual Talks - connpass お疲れさまでした。 当日は準備不足で資料がただのリンク集だったのを公開用に当社比800%ぐらい加筆したので、当日参加できなかった人が見ても内容がわかるようになってると思います。 MySQLとActiveRecord @ryopekoさんのツイートふぁぼってたらみんなが複数DBの話するなかでひとりだけMySQLの話するとか公開処刑なのでは!?と思ったけど、ちょうどみんなestablish_connectionの話でおなかいっぱいでしたからね、楽しんでもらえたようでよかったです。 @kamipo fav されたということはレールズで DB 周りのつらい話、何か話してくれると思って大丈夫ですか?— 複数DB (@ryopeko) October 3, 2014 YAPC のときに kamipo さんと HUB で話した時に、レー
【速報】ドラゴンボールの新作映画でフリーザ様復活wwwwwwwwwwwwwwwwwwwwwwww
1 風吹けば名無し@\(^o^)/ :2014/11/17(月) 21:07:17.97 ID:QC+1p9Me0.net 2 風吹けば名無し@\(^o^)/ :2014/11/17(月) 21:08:02.35 ID:x92ZV9SD0.net アカン 7 風吹けば名無し@\(^o^)/ :2014/11/17(月) 21:08:43.84 ID:IXKfO/ik0.net 今更復活しても瞬殺やんけ 9 風吹けば名無し@\(^o^)/ :2014/11/17(月) 21:08:56.66 ID:ZG7p+YZn0.net ビルスより強くなったら草生えるw 10 風吹けば名無し@\(^o^)/[teyon] :2014/11/17(月) 21:08:58.31 ID:j01lLZf70.net 界王神ウキウキやろなあ 11 風吹けば名無し@\(^o^)/ :2014/11/
あの「イラつく文字認証」のおかげで年間250万冊もの本がデジタル化されている - ログミー[o_O]
誰もが一度はイラっとさせられたであろう文字認証「CAPTCHA」。ユーザがコンピュータで無いことを確認するセキュリティ機能のひとつですが、近年、これを解読することは「本のテキスト化」に協力することと同義になりました。同システムの開発者でクラウドソーシングも発案した起業家、Luis von Ahn(ルイス・フォン・アン)氏が、7億5,000万人が参加するプロジェクトが生まれたキッカケを語ります。(TEDxCMU 2011より) 誰もが一度はイラっとさせられるCAPTCHA(キャプチャ) ルイス・フォン・アン氏:このように、ゆがめられた文字の並びを読んで埋めるタイプのウェブフォームを見たことのある人は何人いますか? これを見て本当にいらいらすると感じた人は何人いますか? はい、すばらしいですね。私がこれを発明しました。私がこれを発明したメンバーの1人です。 (会場笑) これはCAPTCHAと呼
![あの「イラつく文字認証」のおかげで年間250万冊もの本がデジタル化されている - ログミー[o_O]](https://cdn-ak-scissors.b.st-hatena.com/image/square/8ba18e7ffd334cdf4bc1b04ec39ddafc0c460dcc/height=288;version=1;width=512/https%3A%2F%2Fimg.logmi.jp%2Fwp-content%2Fuploads%2F2014%2F11%2Fvon1ec_R.jpg)
Kindleにファミリープラン登場、電子書籍のシェアが可能に
Kindleにファミリープラン登場、電子書籍のシェアが可能に2014.11.16 13:00 そうこ やっときた! けど、日本はまだみたい、ぎゃー! Kindleがソフトウェアアップデートし、家族間での本の共有が可能になりました。以前から、ファミリープランだすよとは発表していましたが、ついにリリース。新しい機能として「ファミリーライブラリ」が登場、2人の大人、4人の子どもの間で電子書籍の共有ができるようになります。Kindle端末だけでなく、Kindleアプリが使える他社端末でも共有はOK。現在のところ、このファミリープランで共有できるのは本のみ。音楽や映画の共有は出来ません。今後、広がることを期待します。 が、アップデートページの米国版と日本版を確認してみると、ファミリーライブラリー機能は日本版にはまだないようです。残念、ぬか喜びでした。 しかし、今回のアップデートでは、ファミリーライブ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Tout sur le sport du football
TwitterのOAuthの問題の補足とか