Covert Redirect Vulnerability with OAuth 2
tl;dr Covert Redirect Vulnerability is a real, if not new, threat when combined with Implicit Grant Flow (not Code flow) This Covert Redirect Vulnerability in OAuth 2 is an interesting one. There’s a couple of defending arguments that this isn’t a flaw in OAuth itself. While I agree that it isn’t a flaw in the protocol, I think the threat is a real one, combined with a) a loose validation on redir
単なる OAuth 2.0 を認証に使うと、車が通れるほどのどでかいセキュリティー・ホールができる
In some of the feedback I have gotten on the openID Connect spec, the statement is made that Connect is too complicated. That OAuth 2.0 is all you need to do authentication. Many point to Identity Pro… 英語読みたくないという人のために簡単に解説すると… OAuth 2.0 の implicit flow を使って「認証」をしようとすると、とっても大きな穴が開きます。 カット&ペーストアタックが可能だからです。 OAuth 認証?は、図1のような流れになります。 図1 OAuth 認証?の流れ 一見、問題なさそうに見えます。しかし、それはすべてのサイトが「良いサイト」ならばです。 Site_A
Facebook Graph API — getting access tokens
As described in the documentation it’s a fairly easy process — and it does not require any signatures. For example, I have an application with an id 116122545078207, and I am using the URL of this blog (https://benbiddington.wordpress.com) to collect request tokens. [update, 2010-04-29] If ever there was a lesson to read specification and documentation carefully, this is it. Thanks to comments fro
bit.ly の OAuth 2.0 とか色々試してみたら色々アレだった : にぽたん研究所
ある日、うちのサービスで bit.ly 使って URL を短縮したいねーなんて話があがって、まぁ、単純に短縮化するなら、@shiba_yu36 さん作の WebService::Bitly なんか使えば簡単に色々出来て便利だなーって思いました。 で、きっと、このモジュールを使っているであろうはてなダイアリーとか見てみたら、bit.ly の設定画面があるんですね。 自分自身の bit.ly アカウントを使えば bit.ly でトラッキングとか出来るし便利だなーと思いました。 …でもね、うちのサービスの利用者の方々は、はてな民のようなリテラシーの高いユーザばかりではないのですよ。 「bit.ly の API キー」とか言っても「は?????」って感じの方が大多数。 意味わからないものを設定画面につけるとなっちゃん宛にクレームがいっぱい来てしまいます。 とりあえず、bitly API Docum
PHPを読んだことある人のためのOAuthのSignature解説 - r-weblife
今回はOAuthのお話です。 なんとなく、世の中に出回っているライブラリを使わず、OAuthの機能を独自で1から作りこむ人もけっこういるような気がします。 今回はPHPのOAuthライブラリを用いて、HMAC-SHA1のSignatureを作成するときのロジックを見てみます。 仕様 : OAuth Core 1.0 Revision A ■ 前提条件 今回は2legged OAuth Request(3leggedでも一緒) GETでhttp://r-weblife.sakura.ne.jp/SignedRequest/example.phpにアクセス 下記のようなパラメータを付加する $params = array( "opensocial_app_url" => 'http://r-weblife.sakura.ne.jp/SignedRequest/SignedRequest.xml
OpenpearでHTTP_OAuthProviderを公開してみた - よしだ’s diary
公開した。 Openpearでパッケージを公開するとメールアドレスも公開されるという事をさっき知った。 もういいやと思って、文中のPear準拠のコメント部分で本名も晒した。 プログラムは去年書いたものをベースにしたんだけど、結構書き方も変わった。 なかなかいい感じの書き方が出来たんじゃないかと思ってる。 HTTP_OAuthProvider - Openpear http://openpear.org/package/HTTP_OAuthProvider /HTTP_OAuthProvider/trunk - リポジトリブラウザ - Openpear http://openpear.org/repository/HTTP_OAuthProvider/trunk 機能 OAuthリクエストの認証を行うサービスプロバイダ側のライブラリ。 2Legged OAuthと3Legged OAuthの
Writing an OAuth Provider Service | Toys
Last year I showed how to use pecl/oauth to write a Twitter OAuth Consumer. But what about writing the other end of that? What if you need to provide OAuth access to an API for your site? How do you do it? Luckily John Jawed and Tjerk have put quite a bit of work into pecl/oauth lately and we now have full provider support in the extension. It's not documented yet at php.net/oauth, but there are s
Tender Surrender » OpenSocialのOAuthまとめ
OpenSocialでは、コンテナが外部サーバーとの通信を行う際、または外部サーバーがコンテナと通信を行う際、OAuthを使用して認可を行います。今回はOpenSocialにおけるOAuthについて、現段階でのまとめを書いてみます。 ※追記(2008/10/20):2008/10/4に書いたコチラの記事も必読です。 OAuthって何だったっけ? OAuthはユーザー、コンシューマ、サービスプロバイダの3者間でデータのやり取りを行うとした場合、ユーザーがコンシューマにクレデンシャル(IDやパスワード)を渡すことなく、ユーザーが所有するサービスプロバイダ上のリソースにコンシューマをアクセスさせるためのものです。 例えばユーザーがGoogle(サービスプロバイダ)のアドレス帳(リソース)をMySpace(コンシューマ)上で利用するシーンを思い浮かべてください。OAuthがなければ、MySpace
ウノウラボ Unoh Labs: PECL::oauthでxAuth
yamaokaです。 TwitterのBasic認証によるユーザー認証が6月に廃止されるようですね。 認証はOAuthで行ってください、とのことなのですが OAuthの認証画面を表示するためにブラウザを起動するのがふさわしくないケースや、 そもそも貧弱なブラウザでうまく利用できないケースもあります。 そうした場合の解決方法として、xAuthという仕組みがTwitterに実装されています。 詳しくは次に紹介するweb上の記事を参照してください。 s-take Blog.: Twitterによる簡易版OAuth: "xAuth" OAuthでデスクトップアプリがブラウザを経由させたくないときのxAuth - Codin' In The Free World the.hackerConundrum: Sneak peek at Twitter's browserless OAuth creden
OAuthのPHP実装 - おぎろぐはてブロ
OAuthの実装については、http://oauth.net/code/ に各言語ごとに情報が載っています。 PHPのところを適当に訳すとこんな感じ。 OAuthをサポートするPHP Extensionがある。John Jawedによって書かれた。例はここに、段階的な説明もある。このPECLパッケージは、Rasmus Lerdorfによってデファクトスタンダードとみなされている。 Andy Smith は、OAuthの基礎的なPHPライブラリを書いた。 Cal Henderson は、署名を扱うのを主としたシンプルなOAuthライブラリを、提供した。 HTTP_OAuth は、Jeff Hodsdon と Bill Shupp (Digg) によって開発されたPEARパッケージです。このツールを使って試すことができる。 CakePHP用にOAuthコンポーネントがあります。 Justin
PHPでYahoo!のOAuth対応APIにアクセスしてみよう!
ヤフー株式会社は、2023年10月1日にLINEヤフー株式会社になりました。LINEヤフー株式会社の新しいブログはこちらです。LINEヤフー Tech Blog こんにちは、IDプラットフォーム技術の近藤です。 前回の記事ではYahoo! JAPAN のOAuthが採用しているSession Extensionについて簡単に紹介をしました。 そこでSession Extentionの一連のフローを開発者が意識することなく、OAuthに対応したYahoo! JAPANのAPIを使ってWebアプリを実装できるようにYahoo! JAPANデベロッパーネットワーク上にPHP SDKを公開しました。 今回はSDKを利用してマイ・オークション表示(ウォッチリスト・開催中のオークション)APIにアクセスする簡単なサンプルコードを作っていきたいと思います。 はじめに,Yahoo!デベロッパーネットワーク
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
