OAuthにセキュリティホール見つかる 9
タレコミ by taro-nishino
taro-nishino 曰く、
The H Securityの記事によれば、オープンなオンライン認証プロトコルであるOAuthにセキュリティホールが見つかったとのことです。
このセキュリティホールを利用すれば、以下のことが可能です。
アタッカーは、リクエストトークンを含む認証URIを保存しておき、後で被害者に、その認証URIから成るリンクをクリックさせることによって、被害者のリソースにアクセス出来ます。
現在、TwitterやYahoo等のOAuthプロバイダーは、対策が見つかるまで、OAuthサービスを中止しています。
Twitter's APIのリーダーであるAlex Payne氏は、Twitterユーザコミュニティーからの批判に応えて、OAuthプロバイダー各社が脆弱性の非公開に合意したことを謝罪するとともに、TwitterのOAuth APIについては、ベーターテストであることを強調しております。
Twitter's official comment on our disabling of OAuth
Web 2.0(笑)なベンチャー企業って (スコア:0)
なんかトラブルが起こったときの対応に稚拙さを露呈する企業が目立つよなあ。
Twitterに限らず。
Re:Web 2.0(笑)なベンチャー企業って (スコア:1)
この場合の稚拙でない対応ってどんなのですか?
Twitterのそれが、そう悪いものとは思えないです。
Re: (スコア:0)
基本的にユーザーに黙って何かやるというのは批判の対象になるし、そういう事例はたくさんあったわけだが、いまだにそれがわからない人もいるんですね。
Re: (スコア:0)
そうですか?ユーザの顔色をうかがって被害を拡大させるより遙かに素晴らしい対応だったと思いますが。
これはむしろ他に(特に日本企業に)真似して欲しいレベルですけど、
いまだに「ユーザが第一、他がどうなっても知らないから俺の望むとおりに動け」なんて自分本位な人もいるんですね。
Re: (スコア:0)
Re: (スコア:0)
誰かトラブル対応のプロトコルを作って、 RFC にポストしてくれないかな?
Re: (スコア:0)
#無限ループって(ry
Re: (スコア:0)
このスレ全然伸びなかったねw 投稿者&編集者残念w (スコア:-1, 荒し) (スコア:0)