パスワードを忘れた? アカウント作成
12663256 story
Twitter

RSA Conference、参加登録者のTwitter認証情報を収集していたのではないかと疑われる 8

ストーリー by headless
疑惑 部門より
2月29日から米国・サンフランシスコで開催されるRSA Conference USA 2016(RSAC 2016 )の参加登録ページで、登録者のTwitterアカウント情報を収集しているのではないかという疑惑が持ち上がり、OAuthで使用するためのものだとRSA Conferenceが反論している(CSO Online — Salted Hashの記事The Registerの記事RSA Conferenceのブログ記事)。

該当のページは参加登録完了後に表示され、RSAC 2016に誘う内容のツイートをするよう促す内容となっている。しかし、参加登録者からTwitterの認証情報を収集しているのではないかとの疑問が上がり、フォームに入力したユーザー名とパスワードがRSA Conferenceのサーバーに送信されることがその後確認された。

これについてメディアではRSA ConferenceがOAuthを使用せず、登録者のTwitter認証情報を収集していると報じたことから、RSA Conferenceが反論。Twitterに承認されたAPIで認証を行っており、実際にOAuthを使用していると説明する一方で、これ以上の懸念を避けるためAPIの使用を中止するとの声明を出している。

セキュリティ専門家のJim Manico氏がSalted Hashに伝えたところによれば、TwitterのOAuth APIは多数の認証オプションがあり、RSA Conferenceが使用した認証情報を一時収集する方法もオプションの一つであるという。しかし、この方法は安全性が低く、疑惑も持たれやすい。そのため、実装はより難しくなるものの、認証情報を収集することなくRSA Conferenceがユーザーに代わってツイートできるオプションを選ぶべきだったとの見解をManico氏は示している。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • いかにもセキュリティ・プライバシー意識が高く、調査する能力もある方々が集まりそうなカンファレンスなのに何やっているんだろう、と。

    あまりにアレなので、陰謀論を弄んでみたけれど、「実はこの事実に気づいたものだけが参加できる裏RSA Conferenceがあり、その参加資格試験だった」くらいしか思いつかない。
    (私にはこれが限界だったので、もっと面白いネタを思いついたら教えてください。)

    • by Anonymous Coward

      あまりにアレなので、陰謀論を弄んでみたけれど、「実はこの事実に気づいたものだけが参加できる裏RSA Conferenceがあり、その参加資格試験だった」くらいしか思いつかない。
      (私にはこれが限界だったので、もっと面白いネタを思いついたら教えてください。)

      実はRSA Conferenceの権威失墜を狙う国際的ハッカーグループの陰謀とか……

      #ないない

  • by Anonymous Coward on 2016年01月24日 18時10分 (#2954098)

    何故いちいちパスワードを入力しないと認証ができないのか
    もっとセキュアな方法があるんじゃない?

    • それがOAuthですよ。
      ・RSAのサーバーは、Twitterのサーバに利用許可申請を出す
      ・ユーザーは、Twitter のサーバにユーザー/パスワードを送って認証する(すでに認証済のブラウザからのアクセスの場合、ユーザー/パスワード送出は不要)
      ・Twitterは、ユーザーに「RSAに対して利用許可を出してもいいかどうか」確認する
      ・OKの場合、Twitterのサーバはトークンを発行しRSAのサーバに接続許可を出す
      ・このトークンを使うことで、RSAサーバは許可が出されたユーザーの名義でTweetを投稿できたりするようになる。
      という流れ。
      ユーザー/パスワードの認証はTwitterのサーバに直接送られますので、
      RSAのサーバーにユーザー/パスワードを知らせることはありません。

      だから、「フォームに入力したユーザー名とパスワードがRSA Conferenceのサーバーに送信される」というのであれば、明らかに「OAuthは正しく使われていない」ということです。OAuthが悪いのではなく、RSAの登録ページの実装があきらかにおかしい。

      親コメント
    • by Anonymous Coward

      Twitterにログイン済みならパスワードは聞かれないよ(許可するかどうかの選択だけ)。

    • by Anonymous Coward

      ブラウザアプリを呼び出して認証画面を表示したりする方式が使えない環境で実行されるアプリとかで必要になるから残されてるんじゃないの
      APIキーみたいな奴を取得して入力してもらう方式もあるけど、素人に使わせるには面倒臭すぎる

    • by Anonymous Coward

      具体的には?

typodupeerror

クラックを法規制強化で止められると思ってる奴は頭がおかしい -- あるアレゲ人

読み込み中...