Baldanders.info

OAuth の脆弱性

詳細はまだ明らかにされていないが, OAuth に関する脆弱性がある模様。 これを最初に報じたのは CNET News のようだ。

日本語の記事から引用してしまうが,

「CNET Newsでは、 インターネットの安全性を守る見地から、 このセキュリティホールの詳細は明かさないことにしたが、 簡単に言えば、 このセキュリティホールは、 ハッカーがソーシャルエンジニアリングの手法を使ってユーザーをだまし、 そのユーザーのデータを公開させるというものだ。 この脆弱性をなくすには OAuthプロトコル自体を修正する必要があるが、 OAuthの開発者チームに近い筋の話によると、 この脆弱性を利用した攻撃が行われた形跡はないとのことだ。 また、 この脆弱性を開発チームが察知したのは数日前で、 現在複数のベンダーと対応策について調整しているという。 解決策はまもなく発表されるものとみられる。」

ということらしい。 SANS ISC の記事を読むと, 対応策について調整しているという「複数のベンダー」とは Twitter のほかには Yahoo! や Google などを指しているのかな?

OAuth のブログにもこの問題についての言及がある。

詳しいことが分かったら, この記事に追記してみる。 ちなみに OAuth とは

“An open protocol to allow secure API authorization in a simple and standard method from desktop and web applications.”

とあるとおり, アプリケーションを制御するための「許可(authorization)」を与える仕組み(プロトコル)である。 以前, 認証は「識別(identification)」「認証(authentication)」「許可(authorization)」の3つの要素の組み合わせで考えると書いたが, OAuth はそのうちの「許可(authorization)」の要素を引き受けているわけだ。 詳しくは, 以下を参考のこと。