Prev / Next / /home/pochi/ChangeLog

単なる OAuth 2.0 を認証に使うと、車が通れるほどのどでかいセキュリティー・ホールができる[セキュリティ]

2012-05-30

http://www.sakimura.org/2012/02/1487/

Site_A が実は悪いサイトだったとしましょう。
すると、Site_A は、このユーザになり変わる access_token を
まんまと入手してしまったことになります。

Site_A は、以後、このユーザになりすまして、
任意の「OAuth 認証?」をやっているサイトにログインすることができます。


単なる OAuth 2.0 を認証に使っちゃ駄目。

OAuth は Authorization Delegation Protocol = 認可を
デリゲーションするためのプロトコルであって、
ユーザ認証のためのプロトコルではない。

Facebook でログインするなら signed_request というAPIを使う。
これは、OpenID Connect とほぼ同じもの。
OpenID Connect 対応にするように、と。

permlink