認可プロトコル OAuth にセキュリティホール見つかる 9
ストーリー by reo
建前と本音 部門より
建前と本音 部門より
taro-nishino 曰く、
オープンなオンライン認証プロトコルである OAuth にセキュリティホールが見つかったとのことです (The H Securityの記事、@IT の記事より) 。
このセキュリティホールを利用することで、アタッカーはリクエストトークンを含む認証 URI を保存しておき、後で被害者にその認証 URI から成るリンクをクリックさせることによって、被害者のリソースにアクセスできるようです (hueniverse の記事およびその翻訳記事より) 。
現在、Twitter や Yahoo 等の OAuth プロバイダーは対策が見つかるまで OAuth サービスを中止しています。Twitter's API のリーダーである Alex Payne 氏は、事前通告なしにサービスを停止した事に対する Twitter ユーザコミュニティーからの批判に応えて、OAuth プロバイダー各社が脆弱性の非公開に合意したことを謝罪するとともに、「こういっちゃなんだけど OAuth はまだベータなんだし。今抱えている問題はもうすぐ解決されるはずだよ。」とつぶやいています。
Web 2.0(笑)なベンチャー企業って (スコア:0)
なんかトラブルが起こったときの対応に稚拙さを露呈する企業が目立つよなあ。
Twitterに限らず。
Re:Web 2.0(笑)なベンチャー企業って (スコア:1)
この場合の稚拙でない対応ってどんなのですか?
Twitterのそれが、そう悪いものとは思えないです。
Re: (スコア:0)
基本的にユーザーに黙って何かやるというのは批判の対象になるし、そういう事例はたくさんあったわけだが、いまだにそれがわからない人もいるんですね。
Re: (スコア:0)
そうですか?ユーザの顔色をうかがって被害を拡大させるより遙かに素晴らしい対応だったと思いますが。
これはむしろ他に(特に日本企業に)真似して欲しいレベルですけど、
いまだに「ユーザが第一、他がどうなっても知らないから俺の望むとおりに動け」なんて自分本位な人もいるんですね。
Re: (スコア:0)
Re: (スコア:0)
誰かトラブル対応のプロトコルを作って、 RFC にポストしてくれないかな?
Re: (スコア:0)
#無限ループって(ry
Re: (スコア:0)
このスレ全然伸びなかったねw 投稿者&編集者残念w (スコア:-1, 荒し) (スコア:0)