ソフトバンク携帯電話に脆弱性、「かんたんログイン」でのなりすましが可能に | スラド セキュリティ
セキュリティコンサルティング会社のHASHコンサルティングが、ソフトバンク携帯電話のブラウザ機能の脆弱性について発表している(『Yahoo!ケータイの一部端末に「かんたんログイン」なりすましを許す問題』)。 この脆弱性は「DNS Rebinding」と呼ばれる手法を用いるもので、認証に「かんたんログイン」を使用しているサイトがターゲットとなる。攻撃の仕組みは上記のサイトなどを参照していただきたいが、TTLを短く設定したDNSを用い、悪意のあるWebサイトのドメインに対応するIPアドレスを短期的に攻撃対象のWebサイトのものに書き換えることで、ドメインが異なるWebサイトの情報をAjaxで取得するというもの。これにより、ターゲットのサイト上で閲覧に認証が必要な情報を盗み取ることができる。 一般的なWebブラウザではセッション管理をCookieで行っているため、悪意のあるWebサイトのドメイン
OpenID - Wikipedia
OpenID財団では、誰でも参加可能な手順「OpenID Process」を経て、デジタルアイデンティティ関連の標準化を行なっている。現在有効、ないしは策定中の仕様には以下のようなものがある。 2009年にOAuth 2.0の標準化がIETFで始まったことを受けて策定が始まった、次世代の認証・連合アイデンティティシステムの標準。 HTTP上で使う場合にはOAuth 2.0をベースにしながら、HTTP以外のプロトコル(XMPP他)にも拡張可能になっており、スマートフォン上でのアプリの台頭を意識した作りになっている。 セキュリティ的にも、OpenID Authentication 2.0がNIST SP800-63ベースでレベル2程度までしかサポートできないのに対して、最高レベルであるレベル4まで対応できるように設計されている。 これに当たって、別規格としてJSON Web Token(JWT
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
