こんばんは、ritouです. 世の中, OAuthの仕様に沿って提供されているAPIだらけです. モバイル端末で動作するアプリでも, そんなAPIを利用するものだらけです. OAuthなユーザーフロー アプリのOAuth実装となるとそれはそれはこまけぇことでいろいろあります. とりあえず, OAuthなプラットフォームを提供する側は以下のようなユーザーの動きを望んでいます. mixiと連携するボタンを押す 外部のブラウザが立ち上がる 未ログインの場合はログイン画面が表示されるが, 頑張ってHTTPS+ドメイン名とかを確認してログイン アプリによるリソースアクセスに対して同意 アプリに戻って連携完了 やや複雑なものに思えるかもしれませんが, OAuthなプラットフォームを提供している中の人たちからすると, アプリがID(Email)/PWなどを直接扱わないことで意図的な悪用, 意図しない漏え
2009-08-01 はじめに 今回のDMスパムについての基本的な情報です。 「MobsterWorld」と書かれたDMが届いても無視しましょう 間違ってURLを踏んで、さらにTwitterの「ALLOW」ボタンを押してしまった人は、後述の「ALLOWをクリック 感染 してしまったら」の対処をしましょう(URLを踏んでも、ALLOWボタンを押していなければ大丈夫です) ここから本題 これは初めてOAuthが悪用された事例になるかも。 TwitterでスパムDMが広がっている。これを踏むと、意図せずにフォロワーへスパムDMを送信してしまうというもの。 スパムDMについては ITmedia に記事がでている。 TwitterでスパムDM出回る フォロワーに自動でDM送りつけ - ITmedia News Twitterで8月1日ごろから、スパムDM(ダイレクトメッセージ)が出回っている。DMに
Explaining the OAuth Session Fixation Attackという文章が興味深いものだったので翻訳してみた。何か解決策を思いついた人はOAuthのメーリングリストに送ってあげると良いと思う。って僕は参加してもいないのだけど。あと誤訳とかはコメントしてもらえれば対応します。ワタクシ実のところOAuthなんて使ったこともなかったりして。 (原文はリンク先にもある通り、Eran Hammer-Lahav氏からcc-by 3.0 usで提供されている。) 追記: 日本でもニュースになっていた: http://www.atmarkit.co.jp/news/200904/23/oauth.html 追記2: 元記事の画像がアップデートされていたので、追従して更新 以下翻訳: 先週、われわれが発見して対応したOAuthのプロトコルセキュリティ問題には語るべきことが多くある。
クロスドメインのセキュリティ問題を OAuth で解決する ちゃんと検証してない思いつきレベルの話。 JSONP や Flash の crossdomain.xml を使ったクロスドメインアクセスで機密情報を取得する場合は、(何も対策をしないと)機密情報が外部に漏洩するという問題があるけど、この対策… OAuth のアイデアに kazuho さんからツッコミをいただいた \[あとで]タグがついた id:kazuhooku さんのブクマにスターを付けたら、エントリでツッコミをいただいた。 なんとなく書いてくれると嬉しいなという軽い気持ちだったのですが、催促したみたいで申し訳ないです。 OAuth が使えるとい…
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
