Location via proxy:   [ UP ]  
[Report a bug]   [Manage cookies]                

タグ

ブックマーク / oauth.jp (1)

  • HTTPS でも Full URL が漏れる?OAuth の code も漏れるんじゃね?? - OAuth.jp

    なんですかこれは! New attack bypasses HTTPS protection on Macs, Windows, and Linux DHCP につなぐと PAC ファイルがダウンロードされて HTTPS であろうとアクセス先の Full URL は漏れるですって? Web Proxy Autodiscovery ですって? チョットニホンゴデオネガイシマス ってことで、まぁこれが実際どれくらい簡単に実現できる攻撃パターンなのかは他のセキュリティ業界の方々に後で聞くとして、この記事でも触れられてる OpenID Connect とか OAuth2 への影響について、ちょっとまとめておきましょうか。 Authorization Request & Response が漏れる response_mode=form_post なんていうのも一部ありますが、基 OAuth2 /

    stealthinu
    stealthinu 2016/07/28
    id:rryuさんのブ米が大変参考になった。釣り用のWiFiに繋いでしまうとそのDHCP設定でProxy設定が掛けられてSSL通信でもGETのURLが漏れるからOpenID/OAuthの認証コードが漏れてなりすまし可能になる場合ありとのこと。
  • 1