OAuth の脆弱性
詳細はまだ明らかにされていないが, OAuth に関する脆弱性がある模様。 これを最初に報じたのは CNET News のようだ。
- Security flaw leads Twitter, others to pull OAuth support
- 「OAuth」プロトコルに脆弱性--Twitterがサポートを一時停止 (日本語記事)
日本語の記事から引用してしまうが,
「CNET Newsでは、 インターネットの安全性を守る見地から、 このセキュリティホールの詳細は明かさないことにしたが、 簡単に言えば、 このセキュリティホールは、 ハッカーがソーシャルエンジニアリングの手法を使ってユーザーをだまし、 そのユーザーのデータを公開させるというものだ。 この脆弱性をなくすには OAuthプロトコル自体を修正する必要があるが、 OAuthの開発者チームに近い筋の話によると、 この脆弱性を利用した攻撃が行われた形跡はないとのことだ。 また、 この脆弱性を開発チームが察知したのは数日前で、 現在複数のベンダーと対応策について調整しているという。 解決策はまもなく発表されるものとみられる。」
ということらしい。 SANS ISC の記事を読むと, 対応策について調整しているという「複数のベンダー」とは Twitter のほかには Yahoo! や Google などを指しているのかな?
OAuth のブログにもこの問題についての言及がある。
詳しいことが分かったら, この記事に追記してみる。 ちなみに OAuth とは
“An open protocol to allow secure API authorization in a simple and standard method from desktop and web applications.”
とあるとおり, アプリケーションを制御するための「許可(authorization)」を与える仕組み(プロトコル)である。 以前, 認証は「識別(identification)」「認証(authentication)」「許可(authorization)」の3つの要素の組み合わせで考えると書いたが, OAuth はそのうちの「許可(authorization)」の要素を引き受けているわけだ。 詳しくは, 以下を参考のこと。