OAuthとOpenIDに脆弱性? 27
ストーリー by hylom
騒ぎは広まるか 部門より
騒ぎは広まるか 部門より
あるAnonymous Coward 曰く、
OAuthとOpenIDに脆弱性が発見されたとCNET Japanが伝えている。これによると、「影響を受けるサイトのドメイン上でログイン用ポップアップ画面を偽装できる」という。このポップアップ画面でユーザーがログインやユーザー情報の提供や外部アプリからの操作を許可する操作を行ってしまうと、悪意のあるサイトにその情報などが送られるとともに、操作に関わらず悪意のあるサイトへの誘導も行われてしまうという。
OAuthやOpenIDを認証に使っているサイトは多くあるが、記事によるとその1つであるFacebookはこの問題の修正は難しいとしているという。また、Microsoftは自社サイトでの影響はないとしているという。
CNETの記事にはあまり詳細な情報がないのだが、発見者による解説によると、Webブラウザを使った認証時/認証後に任意のURLにリダイレクトできるという脆弱性(オープンリダイレクト)を使ったもののようだ。
この件について、「第二のHeartbleed問題だ」などと煽る話もあるが、Symantecはそれについて明確に否定している。Symantecによると、この問題はサービスプロバイダ側のOAuth処理の実装にあり、また攻撃を行うためには問題のあるアプリケーションを探したうえでさらにユーザーの「同意」が必要であることから、Heatbleedのように無制限に外部から情報やアクセス権を奪取できるものではないとしている。技術的背景については宮川達彦氏のブログやTogetterまとめも参考になる。
Open (スコア:1)
OpenOpenIDまだー?
Re: (スコア:0)
一個飛ばしてLibreIDにしよう
#LAuthだと人名になるのかー
Re: (スコア:0)
昆布しか思い浮かばなかった
各社の対応 (スコア:1)
LinkedIn [linkedin.com]は「OAuth 2のリダイレクトを(ホワイトリストに)登録しなければ4月11日以降使えなくなる」という対応。
MicrosoftとPayPal [paypal-community.com]は影響なしとの返答。
GoogleとWeiboは対応中。
Yahoo!とTaobaoは返事なし。
また、発見者が2月にAmazonに報告したあと、Amazonはこの脆弱性の一部を修正したという。
情報が錯綜しているため、まとめられるのはこれだけですね。
Microsoftへの影響について (スコア:0)
元記事で
> Microsoftは、調査を行ったところ、脆弱性はサードパーティーのドメインに存在しており、自社サイトには存在しないと述べた。
となっているところを
> Microsoftは自社サイトでの影響はないとしているという。
としてしまうのは誤りじゃないのかな。
Re:Microsoftへの影響について (スコア:1)
そうですね。タレコミを踏襲しただけなんですが、よく考えたら誤りでした。
もう少し補足すると、Microsoftは「脆弱性はlogin.live.comではなく、idp.plane.edu.auというドメインにある」と言っています。
攻撃者を行うためには (スコア:0)
t/o
t/o
Re: (スコア:0)
そんなことより「や」にリンクが張ってあるのは一体どういうことなんだ…
# ちょっと笑った
Re:攻撃者を行うためには (スコア:1)
修正しました。なんで抜けてしまったのだろう……
ご指摘ありがとうございます。
はて? (スコア:0)
なぜ、Googleの回答は省略した?
Re: (スコア:0)
>Google(OpenIDを利用している)はWang氏に、現在この問題に取り組んでいると伝えた。
はっきりしない回答だからじゃね?
オープンがつくとダメな奴が多いな。 (スコア:0)
オープンリレー
オープンリゾルバ
オープンリダイレクト
Re: (スコア:0)
オ、オープンソース(震え声)。
Re:オープンがつくとダメな奴が多いな。 (スコア:1)
OSFとかOPEN LOOKとか。
Re: (スコア:0)
OSDN
Re:オープンがつくとダメな奴が多いな。 (スコア:1)
あっー!
熊の木本線でいうところの禁則事項を!
Re: (スコア:0)
新台入替リニューアルオープン
とかあるとつい…
Re: (スコア:0)
Twitterは平気なのか (スコア:0)
OAuthつかってるけどOpenIDはないからおっけーってことかな?
Re:Twitterは平気なのか (スコア:2, 参考になる)
早速情報が錯綜していますけれど、これは、「*Facebookの*OAuthの実装」に問題があるわけで、OAuth自体に問題があるわけじゃない。Twitterがリダイレクト先を検証してるんなら、問題ないんじゃないかな。まあ、Facebookが実装ミスるのはOAuthの構造的な欠陥と言えないこともないんだし、私もその点には同意するけれど、まあ、Facebookだってプロなんだから、もっとちゃんとしろ、って結論になるんじゃないかな。
Re:Twitterは平気なのか (スコア:2)
サイト作って、「Twitter連携でログイン」ってボタンを書いてTwitterログイン画面に似せたサイトに飛ばしてID,パスワード入れさせればTwitterのIDとパスワードは盗めそうな気がする。
自分で連携しておいて勝手にリツイートされた言っている人がいるので、簡単に騙されそうな気がしてる。
http://matome.naver.jp/odai/2139294093694341001 [naver.jp]
Re:Twitterは平気なのか (スコア:1)
>サイト作って、「Twitter連携でログイン」ってボタンを書いてTwitterログイン画面に似せたサイトに飛ばしてID,パスワード入れさせればTwitterのIDとパスワードは盗めそうな気がする。
それはフィッシングといって、個々のアプリケーションの脆弱性とは別の話です。
Re: (スコア:0)
> それはフィッシングといって、個々のアプリケーションの脆弱性とは別の話です。
フィッシングされるような仕組みはダメだって話でしょ。
フィッシングは脆弱性じゃないとでも?w
Re: (スコア:0)
フィッシングは脆弱性ではなく攻撃手法です。
強いて言えば人間の脆弱性をついた攻撃です。
アプリケーションで緩和策を講じることはありますが、基本的に修正には教育が必要だと思います。
Re: (スコア:0)
槍玉に上がっているFacebookだってOAuth使ってるけどOpenIDは無いよ?
そうではなくて、OAuthにしろOpenIDにしろ、任意のURLにリダイレクト出来る事が問題で
Twitterは任意のURLにはリダイレクトできないようになっている、という事。