OAuth 2.0 の code は漏れても大丈夫ってホント!? - OAuth.jp

2014/05/09 49 users code Query OAuth.jp 脆弱性 ケース

昨日のCovert Redirect で Query 漏れるケースもある!?やOAuth 2.0 の脆弱性 (!?) “Covert Redirect” とはにあるように、OAuth 2.0 の code が漏れちゃうことも、ありえます。 漏れないためにやるべきことは、上記の記事やFacebook Login で Covert Redirect を防止するなんかでも紹介してるので、そちら読んでくだ... 続きを読む

Implicit Flow では Covert Redirect で Token 漏れるね - OAuth.jp

2014/05/07 68 users TOKEN OAuth.jp 宮川さん 訂正版 英語

この記事は、先ほど書いたこちらの記事の訂正版です。 記事に入る前に、まずは全シンガポールにお詫び申し上げますm m さて、Covert Redirect についての説明は…超絶取り消し線はいりまくってる前の記事を読んでください、でいいでしょうか？ で、訂正分だけ以下に。 Fragment Handling in Redirect 宮川さんが記事にしてますね。 英語だけど。 で、まぁ要するに、(Mo... 続きを読む

OAuth 2.0 の脆弱性 (!?) "Covert Redirect" とは - OAuth.jp

2014/05/07 58 users OAuth.jp 脆弱性 袋だたき Twitter バス

ゴールデンウィークまっただなかに Twitter で海外の ID 厨から袋だたきにあってたので、もうこの問題は片付いただろうとすっかり油断してた「Covert Redirect」の件ですが、日本でもゴールデンウィーク明けてバズりだしたので、一旦問題を整理した方がよさそうですね。 事の発端 Wang Jing さんていうシンガポールの大学院生が、こんなサイトを公開すると共に CNet はじめ各種メデ... 続きを読む

「Covert Redirect」についての John Bradley 氏の解説 | 事務局ブログ | OpenID ファウンデーション・ジャパン

2014/05/07 173 users OpenID CNET ワークアウト 解説 博士課程

Covert Redirect and its real impact on OAuth and OpenID Connect を、とりいそぎ訳しました。ご参考まで。 博士課程の学生である Wanj Jing 氏が「リライング・パーティ内のオープン・リダイレクター」を見つけて、今朝公表してたけど、これを CNet や他のメディアがネタにしたせいで、わたしは朝のワークアウトを中断しなくちゃいけなくな... 続きを読む