高木浩光@自宅の日記 - ログイン成功時のリダイレクト先として任意サイトの指定が可能であってはいけない
■ ログイン成功時のリダイレクト先として任意サイトの指定が可能であってはいけない これが「脆弱性」として合意されるかどうかわからなかったが、脅威と対策をまとめてIPAに届け出てみたところ、受理され、当該サイト(複数)は修正された。以下、この問題がどういうもので、どうするべきなのか、はてなのケースを例に書いておく。 4月にこんな話が盛り上がりを見せていた。*1 ソーシャルブックマークユーザーのIDとPASSをいとも簡単に抜き取る手口, ホームページを作る人のネタ帳, 2007年4月6日 Bボタンフィッシングとは何? 記事の最後には私のブログでもおなじみの、はてなブックマークへ追加ボタンや、バザールのブックマークボタン(Bボタン)を設置しているブログを最近良く見かける。何気なく私はそれを利用したりしている。(略)『あれ?セッションがきれたのかな』と思い、自分のIDとパスワードを入れてログイン。
URLが認証IDになる、ライブドアが「OpenID」機能を提供開始 - @IT
2007/05/07 ライブドアは5月7日、開発者向けの認証APIサービス「livedoor Auth」に「OpenID」機能をベータ版として追加したと発表した。OpenIDはURLをサイト認証のIDに使うことで、複数サイトでのシングルサインオンと、IDの一元管理が可能になる。 livedoor Authはポータルサイト「livedoor」のアカウントを別のアプリケーションでも認証に使えるようにする認証システム。livedoor AuthのOpenID機能を使えば、IDが「http://profile.livedoor.com/<ユーザーのlivedoor ID>」となり、このIDを使って外部のOpenID対応サービスにログインできる。実際の認証はライブドア側で行う。対応サービス側はユーザーの個人情報を認識せず、ユーザーは自分の個人情報の管理を一元化できる。 OpenIDに対応する日本語利
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
