HTTPS でも Full URL が漏れる?OAuth の code も漏れるんじゃね?? - OAuth.jp
なんですかこれは! New attack bypasses HTTPS protection on Macs, Windows, and Linux DHCP につなぐと PAC ファイルがダウンロードされて HTTPS であろうとアクセス先の Full URL は漏れるですって? Web Proxy Autodiscovery ですって? チョットニホンゴデオネガイシマス ってことで、まぁこれが実際どれくらい簡単に実現できる攻撃パターンなのかは他のセキュリティ業界の方々に後で聞くとして、この記事でも触れられてる OpenID Connect とか OAuth2 への影響について、ちょっとまとめておきましょうか。 Authorization Request & Response が漏れる response_mode=form_post なんていうのも一部ありますが、基本 OAuth2 /
Covert Redirect Vulnerability with OAuth 2
tl;dr Covert Redirect Vulnerability is a real, if not new, threat when combined with Implicit Grant Flow (not Code flow) This Covert Redirect Vulnerability in OAuth 2 is an interesting one. There’s a couple of defending arguments that this isn’t a flaw in OAuth itself. While I agree that it isn’t a flaw in the protocol, I think the threat is a real one, combined with a) a loose validation on redir
事務局ブログ:「Covert Redirect」についての John Bradley 氏の解説(追記あり)
追記 (5/7 20:30): 本文中に「まともなブラウザーであれば、そのフラグメントを URI の一部にするようなことはないから、オープン・リダイレクターには送られない。」とありますが、少なくとも Chrome と Firefox はリダイレクト時に URI フラグメントをそのまま保つ (i.e. 不十分な redirect_uri チェック & オープン・リダイレクター & インプリシット・フローの場合、アクセス・トークン入りの URI フラグメントを、ブラウザーがそのままリダイレクト先へのリクエストに用いる) とのことです。続報があり次第追記します。 追記2 (5/7 23:50): John Bradley 氏自身によるフォローアップを訳しました。 Covert Redirect and its real impact on OAuth and OpenID Connect を、と
OAuthとOpenIDに深刻な脆弱性か--Facebookなど大手サイトに影響も
OpenSSLの脆弱性「Heartbleed」に続き、人気のオープンソースセキュリティソフトウェアでまた1つ大きな脆弱性が見つかった。今回、脆弱性が見つかったのはログインツールの「OAuth」と「OpenID」で、これらのツールは多数のウェブサイトと、Google、Facebook、Microsoft、LinkedInといったテクノロジ大手に使われている。 シンガポールにあるNanyang Technological University(南洋理工大学)で学ぶ博士課程の学生Wang Jing氏は、「Covert Redirect」という深刻な脆弱性によって、影響を受けるサイトのドメイン上でログイン用ポップアップ画面を偽装できることを発見した。Covert Redirectは、既知のエクスプロイトパラメータに基づいている。 たとえば、悪意あるフィッシングリンクをクリックすると、Faceboo
OpenID ConnectとSCIMの標準化動向
2. Copyright 2013 OpenID Foundation Japan - All Rights Reserved. ID管理システム プロビ ジョニング システム SSO / アクセス 管理 システム OpenID ConnectとSCIM ユーザー・ プロビジョニングAPI (SCIM Server) エンドユーザー向けWeb アプリケーション (OpenID Connect RP) 社内の ユーザー追加・ 変更・削除 サービスAの 利用 管理者 エンドユーザー 利用企業A社 SaaS A社 ユーザー・ プロビジョニングAPI (SCIM Server) エンドユーザー向けWeb アプリケーション (OpenID Connect RP) SaaS B社 サービスBの 利用 SCIM APIに従い、 サービスBの ユーザー追加・ 変更・削除 SCIM APIに従い、 サービス
curlで HEAD レスポンスを見るメモ - すがブロ
いつも忘れるので -I で見れる。そんで-Lも付けておくと、リダイレクトを追跡してくれるので、どんな風に動いているかわかりやすいですね。 % curl -LI http://yahoo.co.jp/ HTTP/1.1 301 Moved Permanently Date: Mon, 26 Mar 2012 09:37:04 GMT Location: http://www.yahoo.co.jp/ Vary: Accept-Encoding Connection: close Content-Type: text/html; charset=utf-8 Cache-Control: private HTTP/1.1 200 OK Date: Mon, 26 Mar 2012 09:37:04 GMT P3P: policyref="http://privacy.yahoo.co.jp/w3
YappoLogs: 誰でも簡単にOpenID 2.0なOPを作る方法 and CodeReposでOpenID(2.0対応)プロバイダの提供始めましたのお知らせ
誰でも簡単にOpenID 2.0なOPを作る方法 and CodeReposでOpenID(2.0対応)プロバイダの提供始めましたのお知らせ 先週のbuilder techtalkから俄然としてOpenIDが熱くなって来た今日この頃いかがお過ごしでしょうか。 先日参加して来たOpenID Hackathonの成果として、CodeReposがOpenIDのOpenID 2.0 Providerになりましたことをお知らせします。 CodeReposのアカウントをお持ちの方は、fastladderとかLIMLICとかのOpenIDでサインオンできるサービでOpenID URLをcoderepos.orgとだけ打ち込んでログインしてみて下さい。 2.0に対応していない所だったらhttp://coderepos.org/share/wiki/Committers/usernameとでも入れればいいと
Final: OpenID Authentication 2.0 - 最終版
Abstract OpenID 認証は、エンドユーザが識別子 (Identifier) を管理していることを証明する方法を提供するものである。OpenID 認証を利用すれば、リライングパーティー (Relying Party、以下 RP) はエンドユーザのパスワードやメールアドレスなどにアクセスする必要がなくなる。 OpenID は、分散方式であり、RP や OpenID プロバイダ (OpenID Provider 、以下 OP) の承認・登録を行なう中央集権的な機関は存在しない。エンドユーザは利用する OP を自由に選択することができ、OP を変更しても自身の識別子をそのまま継続して利用することができる。 プロトコル自体は JavaScript や最新ブラウザを必要としないが、AJAX を利用しても認証 (authentication) の仕組みは上手く機能する。つまり、エンドユーザは
第4回 Railsで作るOpenID対応アプリケーション実践(前編) | gihyo.jp
はじめに 今回はいよいよ、アプリケーションを作りながら、OpenIDの実践的な使い方を解説します。サンプルとして作成するアプリケーションは、ミニブログと呼ばれるつぶやきブログです。いわゆるTwitterクローンです。利用者はミニブログにログインして、一言つぶやきます。ブログの一種ですので、当然ユーザ認証が必要になります。普通はパスワードを用いた認証が一般的ですが、今回はOpenIDを用いてユーザを認証するようにアプリケーションを作成していきます。 さて、認証と簡単に言いましたが、認証に必要となる機能をもう少し具体的に列挙してみましょう。 ユーザ登録 サービスを利用するために必要な情報(IDやメールアドレスなど)を利用者に入力してもらい、データベースへ登録する。 ログイン(認証) 利用者が入力した認証情報(パスワードなど)を元に利用者を認証し、ログインの可否を判定する。ログインに成功した利用
OpenIDとOAuthの違い - 僕のススメ。
以下を読んでの雑感。もうちょっと簡単に書けると思う。 非技術者のためのOAuth認証(?)とOpenIDの違い入門 | @_Nat Zone OpenID どういうサービス? 各ウェブサービスで共通して使えるアカウントを提供するサービス。 利点 AというサイトでもBというサイトでもCというサイトでも新たにアカウントを作成することなくサービスを使うことが出来る。アカウントを一つに出来ることでパスワードの管理が煩雑にならずにならないし、アカウントを作る手間が省けて便利。 仕組み アカウントを管理している認証を行うサイトが一つだけあって、それに対してA・B・Cっていうサイトが認証をしにいくって感じ。 OAuth どういうサービス Aっていうサイトが提供しているサービス内容をBっていうサイトでも使えるようにするサービス。説明するのに便利だからここからはTwitterを例に書いてみる。 利点 Twi
はてなグループの終了日を2020年1月31日(金)に決定しました - はてなの告知
はてなグループの終了日を2020年1月31日(金)に決定しました 以下のエントリの通り、今年末を目処にはてなグループを終了予定である旨をお知らせしておりました。 2019年末を目処に、はてなグループの提供を終了する予定です - はてなグループ日記 このたび、正式に終了日を決定いたしましたので、以下の通りご確認ください。 終了日: 2020年1月31日(金) エクスポート希望申請期限:2020年1月31日(金) 終了日以降は、はてなグループの閲覧および投稿は行えません。日記のエクスポートが必要な方は以下の記事にしたがって手続きをしてください。 はてなグループに投稿された日記データのエクスポートについて - はてなグループ日記 ご利用のみなさまにはご迷惑をおかけいたしますが、どうぞよろしくお願いいたします。 2020-06-25 追記 はてなグループ日記のエクスポートデータは2020年2月28
OpenID Provider のセキュリティ対策 (2) - return_to と realm のチェックを怠るな! - 日向夏特殊応援部隊
OpenID Provider のセキュリティ対策 (1) - まずは SSL を導入!話はそれからだ - Yet Another Hackadelicの続編です。 はじめに RP が認証アサーションリクエストである checkid_setup/checkid_immediate を行う際には通常は return_to と realm を指定します。 return_to とは OP から認証アサーションレスポンスを間接通信で受け取る際に戻って来るURLの事。RP が指定しておく。 realm とは return_to のパターンをワイルドカードを使って表現する。 return_to と realm の検証 基本的に return_to の先は http://openid.art-code.org/handler であるという前提で。便宜上番号振りました。 (1) 期待通りの組合せ real
OpenIDのxrds文書の正しい書き方
とあるサービスでOpenIDでのログインを実装したのですがある日突然「データがありません」というエラーが・・・ エラーメッセージ不親切すぎるヨ(;´д⊂) 起きた原因 ~~~ header( “X-XRDS-Location: http://hoge.com/yadis.xrds” ) ; ~~~ これを書いたから(;´д⊂) どうやら1回これを書いてyadis.xrdsの存在を教えちゃうと、この一文を消したとしても見に来ちゃう模様・・・ そうなったらyadis.xrdsを正しく直して満足していただくしかないです 正しい?yadis.xrds ~~~ http://specs.openid.net/auth/2.0/return_to https://hoge.com/auth.php http://hoge.com https://hoge.com ~~~ 参考url:XRDSを設置して
OpenID Authentication 2.0時代の幕開け
XRDSベースのディスカバリー いままで1.1の仕様では、OPの所在やdelegateしたいIdentifierの指定をHTMLに記述していましたが、これをXRDSというXMLのフォーマットで記述されたものにすることができます。 このXRDS文書の所在をどのようにRPに知らせるかは以下のように2通りの手段があります。 Claimed IdentifierがXRIの場合は、レスポンス本文がXRDS文書となります Claimed IdentifierがURLの場合は、HTMLのレスポンスヘッダでx-xrds-locationの値で指定されたURL、またはmeta要素でhttp-equiv属性がx-xrds-locationの時の対応する値で指定されたURLに文書があります。あるいはcontent-typeがapplication/xrds+xmlの場合はレスポンス本文にXRDS文書があります
Xlune::Blog: XRDSを設置して自分のドメインをOpenID(2.0対応)として使う
XRDSって何? ぶっちゃけ、よく知りません。 OpenID Provider の情報を記述したXML形式のファイルだと思います。 XRDSってどう使うの? @ITに記事があるよ。 ・・・まぁ、説明はこれで済んでしまうんですが。。。 一応、導入ログ書きます。 XRDSファイルを作る とりあえず、Yahoo!、はてな、openid.ne.jp の OpenID Provider を記述したXRDSファイルを作る。 <?xml version="1.0" encoding="UTF-8"?> <xrds:XRDS xmlns:xrds="xri://$xrds" xmlns:openid="http://openid.net/xmlns/1.0" xmlns="xri://$xrd*($v*2.0)"> <XRD> <Service priority="0"> <Type>http://spe
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
スターバックス、無料Wi-FiをSNSアカウントのみで利用可能に 9月26日から
Covert Redirect and its real impact on OAuth and OpenID Connect
http://leandrob.com/2014/05/covert-redirect-facebook-and-espn-security-oh-my-god/
はっぴぃ・りなっくす - OpenID Janrain - yahoo - Tools > PHP - SmartSection
PHP OpenID Library で RP Discovery要求対応の例 | てっく★ゆきろぐ Rev2