Zero-day in Sign in with Apple Deep-dive - OAuth.jp

2020/06/02 5 users 挙動 Apple http ブラウザ 先週末

先週末に Zero-day in Sign in with Apple とかいう記事が出ていました。 この記事ではいまいち詳細がわからないんで、ちょっと実際 Apple IdP の挙動調べてみたら、当該 Endpoint 発見しました。 実際にどこが脆弱だったのか 非 Safari ブラウザで、適当な RP にアクセス e.g.,) http://signin-with-apple.herokuapp.co... 続きを読む

Sign in with Apple の特徴分析 (1) - OAuth.jp

2019/06/09 53 users Apple Sign in with 特徴分析 IdP 現時点

前記事 で書いたように、ここ数日 Sign in with Apple 用の RubyGem 作りながら、Sign in with Apple の特徴というか、他の IdP との違いみたいなところいろいろ調査したので、現時点での Sign in with Apple に対する雑感をまとめておきます。 Client ID と Team ID および App ID との関係 個人として Apple Developer... 続きを読む

LINE ID Login - OAuth.jp

2017/09/28 34 users

LINE が OpenID Connect サポートしたみたいですね。 なんか前からしてんだと思ってたんですが、まぁいいや。 ということで、早速触ってみました。 こちらに 今回使った Ruby のサンプルスクリプト 置いておきます。 まぁ、ちょっと特殊な点がいくつかありますが、十分 OpenID Connect です。 気になった点は以下の通り。 ID Token の署名アルゴリズムが HS256... 続きを読む

HTTPS でも Full URL が漏れる？OAuth の code も漏れるんじゃね？？ - OAuth.jp

2016/07/27 316 users Pac OAuth DHCP https code

なんですかこれは！ New attack bypasses HTTPS protection on Macs, Windows, and Linux DHCP につなぐと PAC ファイルがダウンロードされて HTTPS であろうとアクセス先の Full URL は漏れるですって？ Web Proxy Autodiscovery ですって？ チョットニホンゴデオネガイシマス ってことで、まぁこれが... 続きを読む

OAuth 2.0 の code は漏れても大丈夫ってホント!? - OAuth.jp

2014/05/09 49 users code Query Covert Redirect 脆弱性

昨日のCovert Redirect で Query 漏れるケースもある!?やOAuth 2.0 の脆弱性 (!?) “Covert Redirect” とはにあるように、OAuth 2.0 の code が漏れちゃうことも、ありえます。 漏れないためにやるべきことは、上記の記事やFacebook Login で Covert Redirect を防止するなんかでも紹介してるので、そちら読んでくだ... 続きを読む

Implicit Flow では Covert Redirect で Token 漏れるね - OAuth.jp

2014/05/07 68 users TOKEN Covert Redirect 宮川さん 訂正版

この記事は、先ほど書いたこちらの記事の訂正版です。 記事に入る前に、まずは全シンガポールにお詫び申し上げますm m さて、Covert Redirect についての説明は…超絶取り消し線はいりまくってる前の記事を読んでください、でいいでしょうか？ で、訂正分だけ以下に。 Fragment Handling in Redirect 宮川さんが記事にしてますね。 英語だけど。 で、まぁ要するに、(Mo... 続きを読む

OAuth 2.0 の脆弱性 (!?) "Covert Redirect" とは - OAuth.jp

2014/05/07 58 users Covert Redirect 脆弱性 袋だたき バス 海外

ゴールデンウィークまっただなかに Twitter で海外の ID 厨から袋だたきにあってたので、もうこの問題は片付いただろうとすっかり油断してた「Covert Redirect」の件ですが、日本でもゴールデンウィーク明けてバズりだしたので、一旦問題を整理した方がよさそうですね。 事の発端 Wang Jing さんていうシンガポールの大学院生が、こんなサイトを公開すると共に CNet はじめ各種メデ... 続きを読む

Y!J API が止まった日 - GlobalSign の Root 証明書切れから学んだこと - OAuth.jp

2014/01/30 129 users root GlobalSign

昨日あたりから、Yahoo! Wallet や YConnect といった、Yahoo! Japan の API にアクセスできなくなったって人、ちらほらいるかもしれませんね。 僕もちょっとそういうケース見かけました。 なんか Yahoo! Japan がポカしちゃったの？とか、まぁ昨日まで健康に動いてたシステムが突然 Yahoo! Japan の API にアクセスできなくなっちゃったんだし、そ... 続きを読む

Rails SessionにCookieStore使った時の問題点 - OAuth.jp

2013/09/26 194 users 問題点

今日 @mad_p さんからRT来てたこのツイートに関して、ちょっと調べたのでまとめときます。 Security Issue in Ruby on Rails Could Expose Cookies http://t.co/JlsXVEn4rZ— Ruby on Rails News (@RubyonRailsNews) September 25, 2013 前提条件 Railsではデフォルトで... 続きを読む

OAuth.jp - Login with Amazonを使うと、あなたのサイトのユーザーがアカウントハイジャックされる。

2013/05/30 15 users アカウント ユーザー tumblr iOS posterous

OAuth.jp posterous => tumblrに移行しました。 リンク切れ発見したら教えてくださいm_ _m Amazon が、Login with Amazon というAPIおよびそれに付随する JS / iOS / Android SDKs を出してきました。 以下の記事にあるように、OAuth 2.0 ベースで認証連携を行う仕組みです。 Amazonアカウントでアプリやサイトにログ... 続きを読む

Re: OAuth 2.0のclient_secretって本当に秘密鍵ですか？ - OAuth.jp

2012/08/03 22 users ドキュメント 混乱 実装 とおり Google

昨日こんな記事を見かけたので、記事にまとめることにします。 OAuth2.0のclient_secretって本当に秘密鍵ですか？ 元記事にあるとおり、現状Native AppでのOAuth 2.0の実装は、API提供者・利用者ともにポリシーがバラバラで、混乱の元になっていると思います。 Googleのドキュメントにも「the client_secret is obviously not treat... 続きを読む

OAuthにおける「クライアントサイドに対する認可」なのか「サーバーサイドに対する認可」なのか明確でない問題 - 金利0無利息キャッシング – キャッシングできます - subtech

2012/02/14 123 users bulkneets ritou クライアントサイド 認可 金利

ココらへんの問題について、適当に自分の考えを書いたりします。 http://www.sakimura.org/2012/02/1487/ http://d.hatena.ne.jp/ritou/20120206/1328484575 http://oauth.jp/oauth-20-implicit-flow https://twitter.com/#!/bulkneets/status/1669... 続きを読む

OpenID Connectを体験できるデモ環境の紹介 - r-weblife

2011/08/17 15 users r-weblife Rack OpenID Connect

こんばんは、ritouです。最近、OpenID Connectのフローを体験できるサンプルOP/RPが出てきています。OpenID Connect Sample OPまずはこちら。FbGraph と Rack::OAuth2 と OAuth.jp の中の人です。OpenID Connect RubyGem リリース - OAuth.jpOpenID Connect の OP & RP 用の Rub... 続きを読む