水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > WASForum Conference 2010: OAuthとWEBサイト運営のエコシステムに潜む罠

WASForum Conference 2010: OAuthとWEBサイト運営のエコシステムに潜む罠

2010年5月22日(土曜日)

WASForum Conference 2010: OAuthとWEBサイト運営のエコシステムに潜む罠

公開: 2010年6月1日0時30分頃

WASForum Conference 2010、高木さんのセッションが延びてしまって開始予定時間を大きく過ぎたところで、トライコーダ上野宣さんによる「OAuthとWEBサイト運営のエコシステムに潜む罠」。

自己紹介
エコシステムの中核は認証と認可
エコシステム
  • エコシステム = 生態系の意味、特定の業界の収益構造を指したりもする
  • 他のWebサイトとの連携で生態系が成り立つ、Googleなど
エコシステムが成り立つために
  • コンテンツ、サービスの提供
  • マッシュアップ、APIの提供
  • ユーザーの特定をしたい
  • ユーザー固有のコンテンツと連携したい
  • twitter連携など、多くは認証後に認可まで行う
認証と認可
  • 認証 = authN(authentication) / 本人確認
  • 認可 = AuthZ(authorization) / リソースへのアクセス権の付与
どうやって他サイトのリソースのアクセス権を得るか

認証情報を預ける? UserID/Passを預ける → 認証、とするのは簡単だが……。

  • 連携サイトに平文でIDとパスワードを送付する必要があるため、預けたサイトでは平文で (少なくとも復号可能な形で) 保存される
  • 他のサイト、他の管理者によって管理される。不正アクセスに使われる可能性も
Basic認証によるAPI連携
  • ID、バスワードが平文で送られる (Base64エンコードされているが簡単に読める。たとえば JavaScript の window.atobメソッド)
  • ログアウトがない (一度でもブラウザからAPIを叩いてBasic認証のパスワードを入れてしまうと、容易に攻撃される)
OAuth
モバイルOAuth
  • アクセストークンの有効期限はデフォルト無し
  • ガラケーだと「拒否」「許可」が「送信」「送信」に化ける
OAuthを使っていないサイト
  • USTREAM
  • twiike (Nike + twitter)
  • つぶやきタカ
OAuth1.0の脆弱性
  • リクエストトークンを使ったセッション固定攻撃……攻撃者がリクエストを出し、承認確認URLを利用者に踏ませる
  • アクセス権の委譲を許可したユーザとアクセストークンを取得させるユーザーが同一かどうか確認していない
  • 委譲同意確認後に乗っ取り

修正:OAuth1.0a……コールバックのURLをユーザーのブラウザを介さない経路に変更

OAuthなんて誰も知らない?
  • 異なるドメイン・サービスにIDやパスワードを入れてはならない (入れさせてはならない)
  • しかし、OAuthの画面が出ても、何を言っているのか分からない (UIやメッセージが分かりにくい)

とまあこんな感じでOAuthの話でしたが、全体的には入門的な内容で分かりやすかったと思います。もっと先にこのセッションを持ってきても良かったのではないかと思いました。

部分的に少し説明不足かな、と感じるところもありましたが (たとえばBasic認証の危険性のあたり)、これはセッションハイジャックの影響も大きいでしょう。

続きます……"Web2.0" におけるセキュリティ ~ セキュアなWeb2.0環境の構築とは

関連する話題: セキュリティ / WASForum Conference / WASForum Conference 2010

最近の日記

関わった本など

インクルーシブHTML+CSS & JavaScript 多様なユーザーニーズに応えるフロントエンドデザインパターンデザイニングWebアクセシビリティ - アクセシブルな設計やコンテンツ制作のアプローチコーディングWebアクセシビリティ - WAI-ARIAで実現するマルチデバイス環境のWebアプリケーション体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践ウェブの仕事力が上がる標準ガイドブック 5 Webプログラミング

その他サイト