by
Anonymous Coward
on 2015年07月03日 11時35分
(#2841274)
MSのヘルプの方では、「信頼済みとして指定したデバイスにアクセスできなくなった場合 (ノート PC を紛失したり、盗まれたりした場合)、アカウントのセキュリティ保護のため、Microsoft アカウントからすべての信頼済みデバイスを削除することをお勧めします」と書かれているので、それってヤバイバグか(仕様上の)不具合なんじゃない?スラドだけじゃなくてMS公式のサポート掲示板にも、アプリやOSバージョン等の詳しい情報を添えて投稿してみた方がいいんじゃないかな…。
OneDrive など ログイントークンを無効にできない Android アプリもなんとかすべき (スコア:5, 興味深い)
Microsoft 製を含む大多数の Android アプリに存在する「脆弱性」であって、HTTP Over TLS の脆弱な実装と合わせて対処すべきだと思うので投稿します。
最近、ユーザーが、ログイントークン・セッションIDを無効にできない Android アプリ・Webサービスが急増しています。以前は別の端末からログインすると前の端末から自動ログアウトされるサービスが多かったので問題が無かったのですが、マルチデバイスに対応する際に何故か危険な実装となってしまったのだと思います。
本日、Android に OneDrive (v3.1.1) をインストール・サインインして、検証したところ、
Re:OneDrive など ログイントークンを無効にできない Android アプリもなんとかすべ (スコア:0)
MSのヘルプの方では、「信頼済みとして指定したデバイスにアクセスできなくなった場合 (ノート PC を紛失したり、盗まれたりした場合)、アカウントのセキュリティ保護のため、Microsoft アカウントからすべての信頼済みデバイスを削除することをお勧めします」と書かれているので、それってヤバイバグか(仕様上の)不具合なんじゃない?スラドだけじゃなくてMS公式のサポート掲示板にも、アプリやOSバージョン等の詳しい情報を添えて投稿してみた方がいいんじゃないかな…。