パスワードを忘れた? アカウント作成
87498 submission
セキュリティ

OAuthにセキュリティホール見つかる 9

タレコミ by taro-nishino
taro-nishino 曰く、
The H Securityの記事によれば、オープンなオンライン認証プロトコルであるOAuthにセキュリティホールが見つかったとのことです。
このセキュリティホールを利用すれば、以下のことが可能です。
アタッカーは、リクエストトークンを含む認証URIを保存しておき、後で被害者に、その認証URIから成るリンクをクリックさせることによって、被害者のリソースにアクセス出来ます。
現在、TwitterやYahoo等のOAuthプロバイダーは、対策が見つかるまで、OAuthサービスを中止しています。
Twitter's APIのリーダーであるAlex Payne氏は、Twitterユーザコミュニティーからの批判に応えて、OAuthプロバイダー各社が脆弱性の非公開に合意したことを謝罪するとともに、TwitterのOAuth APIについては、ベーターテストであることを強調しております。
Twitter's official comment on our disabling of OAuth
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2009年04月27日 12時39分 (#1555770)

    なんかトラブルが起こったときの対応に稚拙さを露呈する企業が目立つよなあ。
    Twitterに限らず。

    • この場合の稚拙でない対応ってどんなのですか?
      Twitterのそれが、そう悪いものとは思えないです。

      親コメント
      • by Anonymous Coward

        基本的にユーザーに黙って何かやるというのは批判の対象になるし、そういう事例はたくさんあったわけだが、いまだにそれがわからない人もいるんですね。

        • by Anonymous Coward

          そうですか?ユーザの顔色をうかがって被害を拡大させるより遙かに素晴らしい対応だったと思いますが。
          これはむしろ他に(特に日本企業に)真似して欲しいレベルですけど、
          いまだに「ユーザが第一、他がどうなっても知らないから俺の望むとおりに動け」なんて自分本位な人もいるんですね。

    • by Anonymous Coward
      たしかにジャ○ーズ事務所のトラブル対応は素晴らしかった
      • by Anonymous Coward
        他業種に学ぶのはいいことだけど、めんどくさいな。
        誰かトラブル対応のプロトコルを作って、 RFC にポストしてくれないかな?
        • by Anonymous Coward
          誰か言いだしっぺの法則発動、ってコメントしろよ。
          #無限ループって(ry
    • by Anonymous Coward
      doblog って、ベンチャー発?
  • このスレ全然伸びなかったねw 投稿者&編集者残念w (スコア:-1, 荒し)
typodupeerror

ナニゲにアレゲなのは、ナニゲなアレゲ -- アレゲ研究家

読み込み中...