パスワードを忘れた? アカウント作成
10950936 story
セキュリティ

OAuthとOpenIDに脆弱性? 27

ストーリー by hylom
騒ぎは広まるか 部門より
あるAnonymous Coward 曰く、

OAuthとOpenIDに脆弱性が発見されたとCNET Japanが伝えている。これによると、「影響を受けるサイトのドメイン上でログイン用ポップアップ画面を偽装できる」という。このポップアップ画面でユーザーがログインやユーザー情報の提供や外部アプリからの操作を許可する操作を行ってしまうと、悪意のあるサイトにその情報などが送られるとともに、操作に関わらず悪意のあるサイトへの誘導も行われてしまうという。

OAuthやOpenIDを認証に使っているサイトは多くあるが、記事によるとその1つであるFacebookはこの問題の修正は難しいとしているという。また、Microsoftは自社サイトでの影響はないとしているという。

CNETの記事にはあまり詳細な情報がないのだが、発見者による解説によると、Webブラウザを使った認証時/認証後に任意のURLにリダイレクトできるという脆弱性(オープンリダイレクト)を使ったもののようだ。

この件について、「第二のHeartbleed問題だ」などと煽る話もあるが、Symantecはそれについて明確に否定している。Symantecによると、この問題はサービスプロバイダ側のOAuth処理の実装にあり、また攻撃を行うためには問題のあるアプリケーションを探したうえでさらにユーザーの「同意」が必要であることから、Heatbleedのように無制限に外部から情報やアクセス権を奪取できるものではないとしている。技術的背景については宮川達彦氏のブログTogetterまとめも参考になる。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2014年05月08日 16時31分 (#2596453)

    OpenOpenIDまだー?

    • by Anonymous Coward

      一個飛ばしてLibreIDにしよう

      #LAuthだと人名になるのかー

      • by Anonymous Coward

        昆布しか思い浮かばなかった

  • by Patilise (45974) on 2014年05月08日 23時01分 (#2596767)

    LinkedIn [linkedin.com]は「OAuth 2のリダイレクトを(ホワイトリストに)登録しなければ4月11日以降使えなくなる」という対応。
    MicrosoftとPayPal [paypal-community.com]は影響なしとの返答。
    GoogleとWeiboは対応中。
    Yahoo!とTaobaoは返事なし。
    また、発見者が2月にAmazonに報告したあと、Amazonはこの脆弱性の一部を修正したという。

    情報が錯綜しているため、まとめられるのはこれだけですね。

    • 元記事で

      > Microsoftは、調査を行ったところ、脆弱性はサードパーティーのドメインに存在しており、自社サイトには存在しないと述べた。

      となっているところを

      > Microsoftは自社サイトでの影響はないとしているという。

      としてしまうのは誤りじゃないのかな。

  • by Anonymous Coward on 2014年05月08日 16時02分 (#2596427)

    t/o
    t/o

  • by Anonymous Coward on 2014年05月08日 16時13分 (#2596439)

    なぜ、Googleの回答は省略した?

    • by Anonymous Coward

      >Google(OpenIDを利用している)はWang氏に、現在この問題に取り組んでいると伝えた。

      はっきりしない回答だからじゃね?

  • by Anonymous Coward on 2014年05月08日 17時15分 (#2596477)

    オープンリレー
    オープンリゾルバ
    オープンリダイレクト

  • by Anonymous Coward on 2014年05月08日 17時20分 (#2596480)

    OAuthつかってるけどOpenIDはないからおっけーってことかな?

    • by Anonymous Coward on 2014年05月08日 18時50分 (#2596559)

      早速情報が錯綜していますけれど、これは、「*Facebookの*OAuthの実装」に問題があるわけで、OAuth自体に問題があるわけじゃない。Twitterがリダイレクト先を検証してるんなら、問題ないんじゃないかな。まあ、Facebookが実装ミスるのはOAuthの構造的な欠陥と言えないこともないんだし、私もその点には同意するけれど、まあ、Facebookだってプロなんだから、もっとちゃんとしろ、って結論になるんじゃないかな。

      親コメント
    • by ymasa (31598) on 2014年05月08日 22時20分 (#2596741) 日記

      サイト作って、「Twitter連携でログイン」ってボタンを書いてTwitterログイン画面に似せたサイトに飛ばしてID,パスワード入れさせればTwitterのIDとパスワードは盗めそうな気がする。

      自分で連携しておいて勝手にリツイートされた言っている人がいるので、簡単に騙されそうな気がしてる。
      http://matome.naver.jp/odai/2139294093694341001 [naver.jp]

      親コメント
      • by nim (10479) on 2014年05月09日 6時46分 (#2596875)

        >サイト作って、「Twitter連携でログイン」ってボタンを書いてTwitterログイン画面に似せたサイトに飛ばしてID,パスワード入れさせればTwitterのIDとパスワードは盗めそうな気がする。

        それはフィッシングといって、個々のアプリケーションの脆弱性とは別の話です。

        親コメント
        • by Anonymous Coward

          > それはフィッシングといって、個々のアプリケーションの脆弱性とは別の話です。

          フィッシングされるような仕組みはダメだって話でしょ。

          フィッシングは脆弱性じゃないとでも?w

          • by Anonymous Coward

            フィッシングは脆弱性ではなく攻撃手法です。
            強いて言えば人間の脆弱性をついた攻撃です。
            アプリケーションで緩和策を講じることはありますが、基本的に修正には教育が必要だと思います。

    • by Anonymous Coward

      槍玉に上がっているFacebookだってOAuth使ってるけどOpenIDは無いよ?

      そうではなくて、OAuthにしろOpenIDにしろ、任意のURLにリダイレクト出来る事が問題で
      Twitterは任意のURLにはリダイレクトできないようになっている、という事。

typodupeerror

物事のやり方は一つではない -- Perlな人

読み込み中...