タグ

セキュリティとOAuthに関するwasaiのブックマーク (9)

  • OAuthとOpenIDに深刻な脆弱性か--Facebookなど大手サイトに影響も

    OpenSSLの脆弱性「Heartbleed」に続き、人気のオープンソースセキュリティソフトウェアでまた1つ大きな脆弱性が見つかった。今回、脆弱性が見つかったのはログインツールの「OAuth」と「OpenID」で、これらのツールは多数のウェブサイトと、Google、Facebook、Microsoft、LinkedInといったテクノロジ大手に使われている。 シンガポールにあるNanyang Technological University(南洋理工大学)で学ぶ博士課程の学生Wang Jing氏は、「Covert Redirect」という深刻な脆弱性によって、影響を受けるサイトのドメイン上でログイン用ポップアップ画面を偽装できることを発見した。Covert Redirectは、既知のエクスプロイトパラメータに基づいている。 たとえば、悪意あるフィッシングリンクをクリックすると、Faceboo

    OAuthとOpenIDに深刻な脆弱性か--Facebookなど大手サイトに影響も
  • もふったーをハックしたら予想以上に酷かった件 - kusano-k’s blog

    TweetDeck をハックしたら予想以上に酷かった件 - Windows 2000 Blog もふったーの作者が、TweetDeckがConsumer keyとConsumer secretを平文で持っていることを批判していたので、もふったーはどうなっているのか調べてみた。 もふったーをインストールする Immunity Debuggerをインストールする Immunity Debuggerでもふったーを開き、下の画面のようになるまで、F9を押して実行する CPUウィンドウの左上の欄で右クリック → Search for → All referenced text strings 出てきた画面で右クリック → Search for text → 「consumer_key」で検索 oauth_consumer_keyをダブルクリック → F2を押してブレークポイントを設定 → F9を押し

    もふったーをハックしたら予想以上に酷かった件 - kusano-k’s blog
    wasai
    wasai 2013/03/19
    スペシャルねこまんまなんて久々に聞いたわw
  • TwitterのOAuth脆弱性

    TwitterのOAuth脆弱性 Presentation Transcript TwitterのOAuth脆弱性 2013-03-01 Xtone Ltd. ピザ会 Aki / @nekoruri なにがおきたの?( ^o^) なんか友達からURL送られてきたお なにがおきたの?( ˘⊖˘) 。o(ID/Pass入力しなきゃ安全だよな……) なにがおきたの?|URL| ┗(☋` )┓三 なにがおきたの?( ◠‿◠ )☛ アクセストークンは頂いた、抵抗は無意味だ なにがおきたの?▂▅▇█▓▒░(’ω’)░▒▓█▇▅▂うわあああああああ なにがおきたの?( ^o^)なんか友達からURL送られてきたお( ˘⊖˘) 。O(ID/Pass入力しなきゃ安全だよな……)|URL| ┗(☋` )┓三( ◠‿◠ )☛アクセストークンは頂いた、抵抗は無意味だ▂▅▇█▓▒░(’ω’)░▒▓█▇▅▂うわああああ

  • Gmailの成りすまし事件、傾向と対策

    池田信夫氏のGmailアカウントがハックされて、寸借詐欺メールが送信されたようです。 Gmailの振り込め詐欺にご注意池田信夫、自らのメールアカウントを乗っ取られ今日も見事な醜態を晒す私の周囲でも、知人が同種の被害にあっていますので、他人事ではない気がします。池田氏が被害にあった原因は不明のようですが、このエントリではその原因を予想(妄想)し、対策について検討します。 池田氏の主張:twitter連携アプリからの漏洩池田氏は自らのブログエントリで以下のように主張しています。 Gmailのパスワードを知らせたことはないのですが、ツイッターと共通にしていたため、「連携アプリ」を認証するときパスワードを入力します。これはシステム側に通知されないことになっていますが、悪意をもって偽装することは容易です。かなりあやしげなアプリも含めて20ぐらい使っていたので、そこから推測してGmailにログインされ

    Gmailの成りすまし事件、傾向と対策
    wasai
    wasai 2012/10/04
    わかっているつもりだけど、気をつけてはおかないといかんな
  • 単なる OAuth 2.0 を認証に使うと、車が通れるほどのどでかいセキュリティー・ホールができる

    In some of the feedback I have gotten on the openID Connect spec, the statement is made that Connect is too complicated. That OAuth 2.0 is all you need to do authentication. Many point to Identity Pro… 英語読みたくないという人のために簡単に解説すると… OAuth 2.0 の implicit flow を使って「認証」をしようとすると、とっても大きな穴が開きます。 カット&ペーストアタックが可能だからです。 OAuth 認証?は、図1のような流れになります。 図1 OAuth 認証?の流れ 一見、問題なさそうに見えます。しかし、それはすべてのサイトが「良いサイト」ならばです。 Site_A

    単なる OAuth 2.0 を認証に使うと、車が通れるほどのどでかいセキュリティー・ホールができる
    wasai
    wasai 2012/02/03
    覚えておく
  • https://jp.techcrunch.com/2011/06/11/20110610third-party-twitter-apps-can-access-your-private-messages-without-authorization/

    https://jp.techcrunch.com/2011/06/11/20110610third-party-twitter-apps-can-access-your-private-messages-without-authorization/
    wasai
    wasai 2011/06/13
    あとで確認しておく
  • TwitterでOAuth認証するアプリケーションのアクセスレベルに「DMへのアクセス権限」が追加された - F.Ko-Jiの「一秒後は未来」

    これまでTwitterのOAuth認証にはアクセスレベルが「Readのみ」「ReadとWrite」という2段階しかなく、認証を許可してしまうとダイレクトメッセージの内容までアプリケーション側から読めてしまうという問題がありましたが、ようやくこの問題が解決するようです。 Beginning today, we’re giving you more control over what information you share with third-party applications. Apps that you use to access your direct messages will ask for your permission again. » Twitter Blog: Mission: Permission 公式にアナウンスされているように、Twitterアプリケーションのア

    TwitterでOAuth認証するアプリケーションのアクセスレベルに「DMへのアクセス権限」が追加された - F.Ko-Jiの「一秒後は未来」
  • 非技術者のためのOAuth認証(?)とOpenIDの違い入門【2023年版】

    昔から、「OpenIDは認証でOAuthは認可だ」などということが言われます。しかし、その言語の意味を取り違えている方が結構多い気がしています。「もうOpenIDなんていらね。OAuthだけでいいじゃん」というような言説がよく流れてくるのがその証拠だと思います。OAuth認証というのもその類ですね。 そこで、今日はOAuthとOpenIDの違いを考えてみたいと思います。 OpenIDは紹介状、OAuthは合鍵 まずはOpenIDの概要の復習です。「OpenIDは認証」という言葉の内容をまずは復習してみましょう。 「認証」とは大変広い言葉でいろいろな場面で使われますが、「OpenIDは認証」という使い方の時は、「OpenIDは、いま来ている人の身元を認証」(ユーザ認証)という意味です。図にすると図1のような流れになります。 この例では、有栖さんがお客としてサービス提供をしているサイトである伊

    非技術者のためのOAuth認証(?)とOpenIDの違い入門【2023年版】
    wasai
    wasai 2011/05/16
    絵付きでわかりやすいです
  • のっとったー

    のっとったーは,新時代の乗っ取りサービスです. のっとったーを利用して,友達Twitterアカウントを乗っ取ったり,知らない人にアカウントを乗っ取られたりしましょう. 使い方 OAuth認証します 乗っ取りたいユーザーを一覧から選択します 5分間そのユーザーになりすましてタイムラインの閲覧やツイートができます よくある質問 どういう仕組みで乗っ取っているんですか? OAuth認証の仕組みを使って安全にアカウントを乗っ取れます 誰が誰を乗っ取ることができるの? のっとったーを利用しているユーザー同士が,お互いのアカウントを乗っ取ることができます.誰が誰をのっとったか分かるようになっていますので,匿名でなにか書かれる,といった心配はありません.以下のリンクから,過去ののっとりをご覧になれます. 過去ののっとり 非公開(プロテクト)ユーザーをフォローしているけど大丈夫? 非公開ユーザーのツイー

    wasai
    wasai 2011/03/23
    これ、大丈夫なのかな?
  • 1