これじゃ逆に車が通れるほどのどでかいセキュリティー・ホールが空くんじゃ？？ (#2128137) | Gawker Mediaの新システム、コメント投稿者はFacebookまたはtwitter、Googleからログインしなければならない | スラド

この議論は賞味期限が切れたので、アーカイブ化されています。新たにコメントを付けることはできません。

「Gawker Mediaの新システム、コメント投稿者はFacebookまたはtwitter、Googleからログインしなければならない」記事へのコメント

記事ページを表示すべてのコメント取得

検索18コメント Log In/Create an Account

これじゃ逆に車が通れるほどのどでかいセキュリティー・ホールが空くんじゃ？？ (スコア:4, 興味深い)

by yangkookkim (41499) on 2012年04月02日 15時49分 (#2128137) ホームページ

この方式ってOauthを認証に使って大きなセキュリティホールを作ってしまうというパターンじゃないですか？

単なる OAuth 2.0 を認証に使うと、車が通れるほどのどでかいセキュリティー・ホールができる
http://www.sakimura.org/2012/02/1487/ [sakimura.org]

Oauthを使用している悪意のあるサイトが、ユーザーのアクセストークンを取得すれば、それを使って
Gizmodeにそのユーザでログインさせてしまうんじゃないんだろうか？そうなれば、本人が知らない間に
その人の名前でどんなコメントでも書き放題。

うーん、しかしこんなあからさまだろうか？何か自分の理解が間違っているのだろうか、、、

より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。

アレゲはアレゲ以上のなにものでもなさげ -- アレゲ研究家