はてブログ

はてなブックマーク新着エントリーの過去ログサイトです。



タグ ディープリンク

新着順 人気順 5 users 10 users 50 users 100 users 500 users 1000 users
 
(1 - 2 / 2件)
 

OAuthにおける認可コード横取り攻撃とその対策 - Akaki I/O

2021/07/04 このエントリーをはてなブックマークに追加 236 users Instapaper Pocket Tweet Facebook Share Evernote Clip OAuth Akaki I 対策 挙動 シナリオ

​前回の記事で示したように、カスタムURLスキームを偽装した不正アプリは正規アプリへのディープリンクを乗っ取れる。この挙動の悪用シナリオとして、正規アプリと認可サーバー間のOAuthフローにおける認可コード横取り攻撃が知られている。この攻撃への対策を把握するためにiOS環境でシナリオを再現し、PKCEの有効性を... 続きを読む

カスタムURLスキームの乗っ取りとその対策 - Akaki I/O

2021/05/17 このエントリーをはてなブックマークに追加 353 users Instapaper Pocket Tweet Facebook Share Evernote Clip カスタムURLスキーム Akaki I 対策 攻撃 非推奨

カスタムURLスキームは、モバイルアプリ内のコンテンツへ直接誘導するディープリンクに広く利用されている¹。そのような中で、2020年3月にLINEはカスタムURLスキーム line:// の使用を非推奨とした²。非推奨の理由をLINEは「乗っ取り攻撃が可能なため」と説明し、代わりにHTTP URLスキームによるリンクを推奨している。... 続きを読む

 
(1 - 2 / 2件)