Location via proxy:   [ UP ]  
[Report a bug]   [Manage cookies]                

タグ

openidに関するstealthinuのブックマーク (28)

  • HTTPS でも Full URL が漏れる?OAuth の code も漏れるんじゃね?? - OAuth.jp

    なんですかこれは! New attack bypasses HTTPS protection on Macs, Windows, and Linux DHCP につなぐと PAC ファイルがダウンロードされて HTTPS であろうとアクセス先の Full URL は漏れるですって? Web Proxy Autodiscovery ですって? チョットニホンゴデオネガイシマス ってことで、まぁこれが実際どれくらい簡単に実現できる攻撃パターンなのかは他のセキュリティ業界の方々に後で聞くとして、この記事でも触れられてる OpenID Connect とか OAuth2 への影響について、ちょっとまとめておきましょうか。 Authorization Request & Response が漏れる response_mode=form_post なんていうのも一部ありますが、基 OAuth2 /

    stealthinu
    stealthinu 2016/07/28
    id:rryuさんのブ米が大変参考になった。釣り用のWiFiに繋いでしまうとそのDHCP設定でProxy設定が掛けられてSSL通信でもGETのURLが漏れるからOpenID/OAuthの認証コードが漏れてなりすまし可能になる場合ありとのこと。
  • スターバックス、無料Wi-FiをSNSアカウントのみで利用可能に 9月26日から

    スターバックスとワイヤ・アンド・ワイヤレスは9月25日、全国のスタバ店舗で提供している無料Wi-Fiサービス「at_STARBUCS_Wi2」をSNSアカウント認証のみで利用する方式を開始すると発表しました。開始時期は、2014年9月26日。従来は事前登録が必須でした。 この認証方式による利用時間は1時間。対応するSNSアカウントは、Facebook、TwitterGoogleYahoo! JAPANの4種類です。 2020年東京オリンピック開催に向けて訪日外国人の増加が予想される中、スターバックスは事前登録を不要とし利便性を向上させることで、競争力を高める狙いがあるものとみられます。

    スターバックス、無料Wi-FiをSNSアカウントのみで利用可能に 9月26日から
    stealthinu
    stealthinu 2014/09/25
    おおっ、SNSのアカウントでWiFiのOpenID認証というアイデア、やはりもう出てたんだな…
  • Covert Redirect Vulnerability with OAuth 2

    tl;dr Covert Redirect Vulnerability is a real, if not new, threat when combined with Implicit Grant Flow (not Code flow) This Covert Redirect Vulnerability in OAuth 2 is an interesting one. There’s a couple of defending arguments that this isn’t a flaw in OAuth itself. While I agree that it isn’t a flaw in the protocol, I think the threat is a real one, combined with a) a loose validation on redir

    stealthinu
    stealthinu 2014/05/08
    OAuth2/OpenIDのセキュリティリスクの件、Firefox/Chromeだとリダイレクト時にフラグメントを引き継ぐからそれで攻撃サイトにトークン漏れちゃうのよ、という解説。なるほどやっとわかった。
  • 事務局ブログ:「Covert Redirect」についての John Bradley 氏の解説(追記あり)

    追記 (5/7 20:30): 文中に「まともなブラウザーであれば、そのフラグメントを URI の一部にするようなことはないから、オープン・リダイレクターには送られない。」とありますが、少なくとも Chrome と Firefox はリダイレクト時に URI フラグメントをそのまま保つ (i.e. 不十分な redirect_uri チェック & オープン・リダイレクター & インプリシット・フローの場合、アクセス・トークン入りの URI フラグメントを、ブラウザーがそのままリダイレクト先へのリクエストに用いる) とのことです。続報があり次第追記します。 追記2 (5/7 23:50): John Bradley 氏自身によるフォローアップを訳しました。 Covert Redirect and its real impact on OAuth and OpenID Connect を、と

    stealthinu
    stealthinu 2014/05/07
    CNETの記事についてこれは既知の問題でFBの実装が悪いんだよって解説の日本語記事。例の記事ブクマした人みんなこれを読め!!!てか@mnb0327さんマジ感謝。
  • Covert Redirect and its real impact on OAuth and OpenID Connect

    A Ph.D. Student in Mathematics by the name of Wang Jing discovered and publicized Open Redirectors at Relying party websites this morning ....

    stealthinu
    stealthinu 2014/05/07
    CNETの記事についてこれは既知の問題でFBの実装が悪いんだよって解説。てか@mnb0327さんマジ感謝。
  • http://leandrob.com/2014/05/covert-redirect-facebook-and-espn-security-oh-my-god/

    stealthinu
    stealthinu 2014/05/07
    OAuth2.0/OpenIDのリダイレクトのセキュリティ問題についてもっと詳しい解説。これは既知の?redirect url偽装の攻撃方法でホワイトリストチェックしてるなら無問題、ということっぽい。
  • OAuthとOpenIDに深刻な脆弱性か--Facebookなど大手サイトに影響も

    OpenSSLの脆弱性「Heartbleed」に続き、人気のオープンソースセキュリティソフトウェアでまた1つ大きな脆弱性が見つかった。今回、脆弱性が見つかったのはログインツールの「OAuth」と「OpenID」で、これらのツールは多数のウェブサイトと、Google、Facebook、Microsoft、LinkedInといったテクノロジ大手に使われている。 シンガポールにあるNanyang Technological University(南洋理工大学)で学ぶ博士課程の学生Wang Jing氏は、「Covert Redirect」という深刻な脆弱性によって、影響を受けるサイトのドメイン上でログイン用ポップアップ画面を偽装できることを発見した。Covert Redirectは、既知のエクスプロイトパラメータに基づいている。 たとえば、悪意あるフィッシングリンクをクリックすると、Faceboo

    OAuthとOpenIDに深刻な脆弱性か--Facebookなど大手サイトに影響も
    stealthinu
    stealthinu 2014/05/07
    もろOpenID使ってる案件関わってるんで、うげぇっ!死んだ… と思ったら大丈夫そうだった。/深刻な問題じゃないという日本語の解説!! http://www.openid.or.jp/blog/2014/05/covert-redirect-and-its-real-impact-on-oauth-and-openid-connect.html
  • OpenID ConnectとSCIMの標準化動向

    2. Copyright 2013 OpenID Foundation Japan - All Rights Reserved. ID管理システム プロビ ジョニング システム SSO / アクセス 管理 システム OpenID ConnectとSCIM ユーザー・ プロビジョニングAPI (SCIM Server) エンドユーザー向けWeb アプリケーション (OpenID Connect RP) 社内の ユーザー追加・ 変更・削除 サービスAの 利用 管理者 エンドユーザー 利用企業A社 SaaS A社 ユーザー・ プロビジョニングAPI (SCIM Server) エンドユーザー向けWeb アプリケーション (OpenID Connect RP) SaaS B社 サービスBの 利用 SCIM APIに従い、 サービスBの ユーザー追加・ 変更・削除 SCIM APIに従い、 サービス

    OpenID ConnectとSCIMの標準化動向
    stealthinu
    stealthinu 2013/10/11
    OpenID Connect OAuth2.0ベースで策定が進んでる次期OpenID、らしい。
  • curlで HEAD レスポンスを見るメモ - すがブロ

    いつも忘れるので -I で見れる。そんで-Lも付けておくと、リダイレクトを追跡してくれるので、どんな風に動いているかわかりやすいですね。 % curl -LI http://yahoo.co.jp/ HTTP/1.1 301 Moved Permanently Date: Mon, 26 Mar 2012 09:37:04 GMT Location: http://www.yahoo.co.jp/ Vary: Accept-Encoding Connection: close Content-Type: text/html; charset=utf-8 Cache-Control: private HTTP/1.1 200 OK Date: Mon, 26 Mar 2012 09:37:04 GMT P3P: policyref="http://privacy.yahoo.co.jp/w3

    curlで HEAD レスポンスを見るメモ - すがブロ
    stealthinu
    stealthinu 2013/09/08
    curlでHEADを見るときのオプション。-IだとHEADのみ表示。そして-Lついてるとリダイレクトを追跡してくれる。
  • YappoLogs: 誰でも簡単にOpenID 2.0なOPを作る方法 and CodeReposでOpenID(2.0対応)プロバイダの提供始めましたのお知らせ

    誰でも簡単にOpenID 2.0なOPを作る方法 and CodeReposでOpenID(2.0対応)プロバイダの提供始めましたのお知らせ 先週のbuilder techtalkから俄然としてOpenIDが熱くなって来た今日この頃いかがお過ごしでしょうか。 先日参加して来たOpenID Hackathonの成果として、CodeReposがOpenIDのOpenID 2.0 Providerになりましたことをお知らせします。 CodeReposのアカウントをお持ちの方は、fastladderとかLIMLICとかのOpenIDでサインオンできるサービでOpenID URLをcoderepos.orgとだけ打ち込んでログインしてみて下さい。 2.0に対応していない所だったらhttp://coderepos.org/share/wiki/Committers/usernameとでも入れればいいと

    stealthinu
    stealthinu 2013/09/08
    スクリプトでX-XRDS-LocationやXRDSを吐かせるのじゃなくて、apacheの設定と素のXMLファイル使う場合の設定方法。header addと.xrdsについてAddTypeする。
  • はっぴぃ・りなっくす - OpenID Janrain - yahoo - Tools > PHP - SmartSection

    stealthinu
    stealthinu 2013/09/04
    JanrainのOpenIDライブラリでexampleのconsumerのコードを無駄なところ省いてシンプルにした場合のコーディング例
  • Final: OpenID Authentication 2.0 - 最終版

    Abstract OpenID 認証は、エンドユーザが識別子 (Identifier) を管理していることを証明する方法を提供するものである。OpenID 認証を利用すれば、リライングパーティー (Relying Party、以下 RP) はエンドユーザのパスワードやメールアドレスなどにアクセスする必要がなくなる。 OpenID は、分散方式であり、RP や OpenID プロバイダ (OpenID Provider 、以下 OP) の承認・登録を行なう中央集権的な機関は存在しない。エンドユーザは利用する OP を自由に選択することができ、OP を変更しても自身の識別子をそのまま継続して利用することができる。 プロトコル自体は JavaScript や最新ブラウザを必要としないが、AJAX を利用しても認証 (authentication) の仕組みは上手く機能する。つまり、エンドユーザは

    stealthinu
    stealthinu 2013/09/04
    OpenID 2.0の仕様書なのだが、これみてもどう書いていいのかはわからん。ライブラリ使ったOpenIDの使い方を調べるときに参考にして読むと理解しやすい。
  • 第4回 Railsで作るOpenID対応アプリケーション実践(前編) | gihyo.jp

    はじめに 今回はいよいよ、アプリケーションを作りながら、OpenIDの実践的な使い方を解説します。サンプルとして作成するアプリケーションは、ミニブログと呼ばれるつぶやきブログです。いわゆるTwitterクローンです。利用者はミニブログにログインして、一言つぶやきます。ブログの一種ですので、当然ユーザ認証が必要になります。普通はパスワードを用いた認証が一般的ですが、今回はOpenIDを用いてユーザを認証するようにアプリケーションを作成していきます。 さて、認証と簡単に言いましたが、認証に必要となる機能をもう少し具体的に列挙してみましょう。 ユーザ登録 サービスを利用するために必要な情報(IDやメールアドレスなど)を利用者に入力してもらい、データベースへ登録する。 ログイン(認証) 利用者が入力した認証情報(パスワードなど)を元に利用者を認証し、ログインの可否を判定する。ログインに成功した利用

    第4回 Railsで作るOpenID対応アプリケーション実践(前編) | gihyo.jp
    stealthinu
    stealthinu 2013/09/04
    RailsからOpenID使ったアプリケーションの実例
  • OpenIDとOAuthの違い - 僕のススメ。

    以下を読んでの雑感。もうちょっと簡単に書けると思う。 非技術者のためのOAuth認証(?)とOpenIDの違い入門 | @_Nat Zone OpenID どういうサービス? 各ウェブサービスで共通して使えるアカウントを提供するサービス。 利点 AというサイトでもBというサイトでもCというサイトでも新たにアカウントを作成することなくサービスを使うことが出来る。アカウントを一つに出来ることでパスワードの管理が煩雑にならずにならないし、アカウントを作る手間が省けて便利。 仕組み アカウントを管理している認証を行うサイトが一つだけあって、それに対してA・B・Cっていうサイトが認証をしにいくって感じ。 OAuth どういうサービス Aっていうサイトが提供しているサービス内容をBっていうサイトでも使えるようにするサービス。説明するのに便利だからここからはTwitterを例に書いてみる。 利点 Twi

    OpenIDとOAuthの違い - 僕のススメ。
    stealthinu
    stealthinu 2013/09/03
    OpenIDとOAuthの違いまとめ。これは端的でわかりやすい。自分もこないだ聞かれてちょっと認識があいまいだったのでこれですっきりした。
  • PHP OpenID Library で RP Discovery要求対応の例 | てっく★ゆきろぐ Rev2

    stealthinu
    stealthinu 2013/08/30
    ここのページがXRDSの例含めてjanrain openidライブラリ使う場合の例一番参考になる。ドコモの場合はaccept: application/xrds+xmlで要求かけてるからそれで分けてるのか…
  • はてなグループの終了日を2020年1月31日(金)に決定しました - はてなの告知

    はてなグループの終了日を2020年1月31日(金)に決定しました 以下のエントリの通り、今年末を目処にはてなグループを終了予定である旨をお知らせしておりました。 2019年末を目処に、はてなグループの提供を終了する予定です - はてなグループ日記 このたび、正式に終了日を決定いたしましたので、以下の通りご確認ください。 終了日: 2020年1月31日(金) エクスポート希望申請期限:2020年1月31日(金) 終了日以降は、はてなグループの閲覧および投稿は行えません。日記のエクスポートが必要な方は以下の記事にしたがって手続きをしてください。 はてなグループに投稿された日記データのエクスポートについて - はてなグループ日記 ご利用のみなさまにはご迷惑をおかけいたしますが、どうぞよろしくお願いいたします。 2020-06-25 追記 はてなグループ日記のエクスポートデータは2020年2月28

    はてなグループの終了日を2020年1月31日(金)に決定しました - はてなの告知
    stealthinu
    stealthinu 2013/08/30
    ドコモもRP Discovery必須のため多くのサイトで使えないと。そのドコモに入れるXRDSファイルの具体例があって超助かる!しかしX-XRDS-LOCATIONヘッダは誰が吐いたらいいんだ…?
  • OpenID Provider のセキュリティ対策 (2) - return_to と realm のチェックを怠るな! - 日向夏特殊応援部隊

    OpenID Provider のセキュリティ対策 (1) - まずは SSL を導入!話はそれからだ - Yet Another Hackadelicの続編です。 はじめに RP が認証アサーションリクエストである checkid_setup/checkid_immediate を行う際には通常は return_to と realm を指定します。 return_to とは OP から認証アサーションレスポンスを間接通信で受け取る際に戻って来るURLの事。RP が指定しておく。 realm とは return_to のパターンをワイルドカードを使って表現する。 return_to と realm の検証 基的に return_to の先は http://openid.art-code.org/handler であるという前提で。便宜上番号振りました。 (1) 期待通りの組合せ real

    OpenID Provider のセキュリティ対策 (2) - return_to と realm のチェックを怠るな! - 日向夏特殊応援部隊
    stealthinu
    stealthinu 2013/08/30
    realmとreturn_toについての関係まとめ。結局realmとはreturn_toについて許可するURLの範囲を指定するもの。
  • OpenIDのxrds文書の正しい書き方

    とあるサービスでOpenIDでのログインを実装したのですがある日突然「データがありません」というエラーが・・・ エラーメッセージ不親切すぎるヨ(;´д⊂) 起きた原因 ~~~ header( “X-XRDS-Location: http://hoge.com/yadis.xrds” ) ; ~~~ これを書いたから(;´д⊂) どうやら1回これを書いてyadis.xrdsの存在を教えちゃうと、この一文を消したとしても見に来ちゃう模様・・・ そうなったらyadis.xrdsを正しく直して満足していただくしかないです 正しい?yadis.xrds ~~~ http://specs.openid.net/auth/2.0/return_to https://hoge.com/auth.php http://hoge.com https://hoge.com ~~~ 参考url:XRDSを設置して

    OpenIDのxrds文書の正しい書き方
    stealthinu
    stealthinu 2013/08/30
    XRDSの例だけどたぶんRPでhoge.comが自ドメインの例で<URI>https://hoge.com</URI>とか書いてあるからやっぱ自分のサービスのURIを書くのか??だが何書いていいのかわからんわ。たくさん書け!と書いてるし…
  • OpenID Authentication 2.0時代の幕開け

    XRDSベースのディスカバリー いままで1.1の仕様では、OPの所在やdelegateしたいIdentifierの指定をHTMLに記述していましたが、これをXRDSというXMLのフォーマットで記述されたものにすることができます。 このXRDS文書の所在をどのようにRPに知らせるかは以下のように2通りの手段があります。 Claimed IdentifierがXRIの場合は、レスポンス文がXRDS文書となります Claimed IdentifierがURLの場合は、HTMLのレスポンスヘッダでx-xrds-locationの値で指定されたURL、またはmeta要素でhttp-equiv属性がx-xrds-locationの時の対応する値で指定されたURLに文書があります。あるいはcontent-typeがapplication/xrds+xmlの場合はレスポンス文にXRDS文書があります

    OpenID Authentication 2.0時代の幕開け
    stealthinu
    stealthinu 2013/08/30
    XRDSの具体例が書かれてるけど、これはOP側のXRDS例だよね?多分… RP側のXRDSはURIをOP側のURIにすりゃいいんだよね??わからん…
  • Xlune::Blog: XRDSを設置して自分のドメインをOpenID(2.0対応)として使う

    XRDSって何? ぶっちゃけ、よく知りません。 OpenID Provider の情報を記述したXML形式のファイルだと思います。 XRDSってどう使うの? @ITに記事があるよ。 ・・・まぁ、説明はこれで済んでしまうんですが。。。 一応、導入ログ書きます。 XRDSファイルを作る とりあえず、Yahoo!はてな、openid.ne.jp の OpenID Provider を記述したXRDSファイルを作る。 <?xml version="1.0" encoding="UTF-8"?> <xrds:XRDS xmlns:xrds="xri://$xrds" xmlns:openid="http://openid.net/xmlns/1.0" xmlns="xri://$xrd*($v*2.0)"> <XRD> <Service priority="0"> <Type>http://spe

    Xlune::Blog: XRDSを設置して自分のドメインをOpenID(2.0対応)として使う
    stealthinu
    stealthinu 2013/08/30
    XRDSの具体例。XRDS→XRD→URIに何を設定すりゃいいのん??と思ってたのだがどうもOP側のOpenID URLを書いときゃいいの?あとはOP側に確認するしかないか。