水無月ばけらのえび日記

エコシステム

• エコシステム = 生態系の意味、特定の業界の収益構造を指したりもする
• 他のWebサイトとの連携で生態系が成り立つ、Googleなど

エコシステムが成り立つために

• コンテンツ、サービスの提供
• マッシュアップ、APIの提供

• ユーザーの特定をしたい
• ユーザー固有のコンテンツと連携したい
• twitter連携など、多くは認証後に認可まで行う

認証と認可

• 認証 = authN(authentication) / 本人確認
• 認可 = AuthZ(authorization) / リソースへのアクセス権の付与

どうやって他サイトのリソースのアクセス権を得るか

認証情報を預ける? UserID/Passを預ける → 認証、とするのは簡単だが……。

• 連携サイトに平文でIDとパスワードを送付する必要があるため、預けたサイトでは平文で (少なくとも復号可能な形で) 保存される
• 他のサイト、他の管理者によって管理される。不正アクセスに使われる可能性も

Basic認証によるAPI連携

• ID、バスワードが平文で送られる (Base64エンコードされているが簡単に読める。たとえば JavaScript の window.atobメソッド)
• ログアウトがない (一度でもブラウザからAPIを叩いてBasic認証のパスワードを入れてしまうと、容易に攻撃される)

モバイルOAuth

• アクセストークンの有効期限はデフォルト無し
• ガラケーだと「拒否」「許可」が「送信」「送信」に化ける

OAuthを使っていないサイト

• USTREAM
• twiike (Nike + twitter)
• つぶやきタカ

OAuth1.0の脆弱性

• リクエストトークンを使ったセッション固定攻撃……攻撃者がリクエストを出し、承認確認URLを利用者に踏ませる
• アクセス権の委譲を許可したユーザとアクセストークンを取得させるユーザーが同一かどうか確認していない
• 委譲同意確認後に乗っ取り

修正:OAuth1.0a……コールバックのURLをユーザーのブラウザを介さない経路に変更

OAuthなんて誰も知らない?

• 異なるドメイン・サービスにIDやパスワードを入れてはならない (入れさせてはならない)
• しかし、OAuthの画面が出ても、何を言っているのか分からない (UIやメッセージが分かりにくい)