アカウント名:
パスワード:
オープンIDのことは詳しくは分からないけど、もともと本人の使用を前提にしているんだからオープンIDの性質上当たり前では?
結局のところ、二段階認証が無い、って時点で詰んでたという話なのでは。
いいこと思いついた、nanacoのIDと紐づけて、支払時にnanacoのfelica機能で認証しようぜ!ハードウェアキーだから偽造できまいw
外部IDでも外部ID側で意思確認できてれば関係ないそして外部側で出来てなかったというソースは無い
外部IDでの認証が成功したと勝手に誤認する欠陥があった可能性がある
名前とかの情報はOpenIDのプロバイダからもらってる。認証に失敗したら、プロバイダから情報が来ないので、さすがに誤認はしないんじゃないかなぁ。
任意のアカウントのパスワードを誰でも変更可能っていうよくわからん脆弱性は、OpenID経由のやつだけが対象外だったので、まだこの件に関しては OpenIDのものだけが安全だったのだが、こっちにもなんか問題あったら、全滅じゃないのか?
それって最初からnanacoやおサイフケータイ使えって話じゃ
偽物の外部IDと真性の内部IDが不正に連携できる脆弱性って話だろ真性の外部IDと真性の内部IDが正当に連携できるだけなら当然脆弱性ではない
分かった、憶測だけど悪意のある第三者が勝手に作った外部IDと7payID?を提携させても普通は7payID内部で外部IDと提携するか確認や認証機構があるけど今回それが無かったって事じゃなかな? だったら相当やばいね、だから被害がこんなに拡大したのかも・・・
セブンのID自体も外部扱いだったから(想像)、問題の洗い出しのために一回全部止めたんでは
日経の書出しが悪いのでそう思うのも無理はないけど、本文はこう。
関係者によると、外部IDの一部の情報が分かれば、本人になりすましてセブンイレブンアプリにログインし、個人情報を閲覧できてしまう脆弱性があった。
トークン認証バイパス?
OpenID Connectって接続手順がたーくさんあるのね。シンプルじゃないというレベルじゃなく、ぐちゃぐちゃ。大抵の場合、列挙されているだけでなぜそうしなければいけないのかの説明はない。必然性があるからたくさんあるんだけどね。どれでもいいから簡単な実装で、という戦略で使うとこんな風になる。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
にわかな奴ほど語りたがる -- あるハッカー
それって脆弱性? (スコア:0)
オープンIDのことは詳しくは分からないけど、もともと本人の使用を前提にしているんだからオープンIDの性質上当たり前では?
Re: (スコア:0)
結局のところ、二段階認証が無い、って時点で詰んでたという話なのでは。
いいこと思いついた、nanacoのIDと紐づけて、支払時にnanacoのfelica機能で認証しようぜ!
ハードウェアキーだから偽造できまいw
Re: (スコア:0)
外部IDでも外部ID側で意思確認できてれば関係ない
そして外部側で出来てなかったというソースは無い
外部IDでの認証が成功したと勝手に誤認する欠陥があった可能性がある
Re: (スコア:0)
名前とかの情報はOpenIDのプロバイダからもらってる。認証に失敗したら、プロバイダから情報が来ないので、さすがに誤認はしないんじゃないかなぁ。
任意のアカウントのパスワードを誰でも変更可能っていうよくわからん脆弱性は、OpenID経由のやつだけが対象外だったので、まだこの件に関しては OpenIDのものだけが安全だったのだが、こっちにもなんか問題あったら、全滅じゃないのか?
Re: (スコア:0)
それって最初からnanacoやおサイフケータイ使えって話じゃ
Re: (スコア:0)
偽物の外部IDと真性の内部IDが不正に連携できる脆弱性って話だろ
真性の外部IDと真性の内部IDが正当に連携できるだけなら当然脆弱性ではない
Re: (スコア:0)
分かった、憶測だけど悪意のある第三者が勝手に作った外部IDと7payID?を提携させても普通は7payID内部で外部IDと提携するか確認や認証機構があるけど
今回それが無かったって事じゃなかな? だったら相当やばいね、だから被害がこんなに拡大したのかも・・・
Re: (スコア:0)
セブンのID自体も外部扱いだったから(想像)、問題の洗い出しのために一回全部止めたんでは
Re: (スコア:0)
日経の書出しが悪いのでそう思うのも無理はないけど、本文はこう。
トークン認証バイパス?
Re: (スコア:0)
OpenID Connectって接続手順がたーくさんあるのね。
シンプルじゃないというレベルじゃなく、ぐちゃぐちゃ。
大抵の場合、列挙されているだけでなぜそうしなければいけないのかの説明はない。必然性があるからたくさんあるんだけどね。
どれでもいいから簡単な実装で、という戦略で使うとこんな風になる。