追記:こっち読むべき
本文
OpenSSLのHeartbleedの話ほどは深刻ではないですよとのこと
- CNET:OAuthとOpenIDに深刻な脆弱性か--Facebookなど大手サイトに影響も
- Leandro Boffi: Covert Redirect: Facebook and ESPN Security, oh my god…
Now, I have to say that it is not new, in fact really surprise me that this kind of attacks are still possible, and it is not an OAuth 2.0 / OpenId vulnerability, but it could be a problem of any poor implementation of OAuth 2.0, WSFederation, SAML-P or any other redirect and token based authentication method.
これは新しく分かったものとはいえません。実際のところこのような攻撃がまだ可能であることに驚いています。これは、OAuth 2.0やOpenIDの脆弱性ではありません。これは、OAuth2.0やWSFederation、SAML-P、あるいは他のリダイレクトとトークンに基づく認証手法のうまくない実装の問題です。
- Is this the next Heartbleed?
- No, it is not. This is a security flaw in the implementation of OAuth by service providers.
- これは、OpenSSLのHeartbleed級の話ですか?
- いいえ、違います。これはサービス提供者によるOAuthの実装に存在するセキュリティ的欠陥です
- (next49注:OAuthの仕様に存在する欠陥ではなく個々のサービス提供者の「実装(implementation)」にある欠陥という話)
エンドユーザとしてはどうすればよいのかというと、信頼できないアプリケーションやサービスにおいてFacebookやTwitterなどへのアクセス許可を許さないようにすればよいとのこと。(追記:私の理解が間違っている気がする)
What is the risk to users?
For this flaw to be exploited, it requires interaction from users. A user would have to grant permissions to a susceptible application in order for the access token to be compromised. An attacker may then obtain user account data which could be used for further malicious purposes.
(Symantic: Covert Redirect Flaw in OAuth is Not the Next Heartbleedより)
関連
