• はてなブックマーク
  • テクノロジー
  • HTTPS でも Full URL が漏れる?OAuth の code も漏れるんじゃね?? - OAuth.jp
  • Twitterでシェア
  • Facebookでシェア

HTTPS でも Full URL が漏れる?OAuth の code も漏れるんじゃね?? - OAuth.jp

テクノロジー カテゴリーの変更を依頼 記事元:oauth.jp
適切な情報に変更
309 usersがブックマーク コメント22
    共有

    • 記事へのコメント22

    • 注目コメント
    • 新着コメント
    その他
    rryu
    rryu 見知らぬWi-Fiネットワークなどに繋ぐとWPAD(Web Proxy Auto-Discovery)によってプロキシが設定される場合があり、そうするとURLが漏れるので認証とかやばいんじゃね? という話。

    2016/07/27 リンク

    その他
    stealthinu
    stealthinu id:rryuさんのブ米が大変参考になった。釣り用のWiFiに繋いでしまうとそのDHCP設定でProxy設定が掛けられてSSL通信でもGETのURLが漏れるからOpenID/OAuthの認証コードが漏れてなりすまし可能になる場合ありとのこと。

    2016/07/28 リンク

    その他
    thimura
    thimura WPAD で送られてくる PAC(Proxy を決める JavaScript) には HTTPS の場合でも完全な URL が渡るので攻撃者に抜かれるとリンク先には書いてあった。HTTPS を Proxy するだけなら CONNECT 上で TLS handshake するので関係はない。とはいえ要注意

    2016/07/28 リンク

    その他
    napsucks
    napsucks いまいち危険性がわからん。。そもそもDHCPスプーフィングで偽DNSつかまされてる前提ならなんでもありだろ。それにWPADでproxyをかませて通信を盗んでも端末に偽ルート証明書突っ込まない限りはSSLエラーですぐにばれる。

    2016/07/28 リンク

    その他
    Horiuchi_H
    Horiuchi_H うーん、OAuthサーバを作る際には考慮しないとならないことがまた増えたのか。。。

    2016/07/27 リンク

    その他
    yoshikidz
    yoshikidz 言ってることはわかるけれど、これ系はまあそりゃそうだよねって話で、facebook云々より根本解決はセキュアなネットワークに確実に繋ぐしかないよね。。。

    2016/07/28 リンク

    その他
    mas-higa
    mas-higa ブコメ参照

    2017/08/10 リンク

    その他
    tyru
    tyru 野良 Wi-Fi とか繋ぐ前提かー

    2016/07/30 リンク

    その他
    odz
    odz 後で書く

    2016/07/29 リンク

    その他
    peller
    peller え。そりゃそうだよね。

    2016/07/29 リンク

    その他
    tea2ka
    tea2ka ブコメで理屈が分かった。getだと危ないが、postならまだ大丈夫のような

    2016/07/28 リンク

    その他
    yoshikidz
    yoshikidz 言ってることはわかるけれど、これ系はまあそりゃそうだよねって話で、facebook云々より根本解決はセキュアなネットワークに確実に繋ぐしかないよね。。。

    2016/07/28 リンク

    その他
    taketyan
    taketyan nonce 使うべきという話 / code をワンタイムにするのも効果あると思うけどそれは前提に含まれてるのかな

    2016/07/28 リンク

    その他
    niship_0822
    niship_0822 あとでちゃんと読まねば

    2016/07/28 リンク

    その他
    napsucks
    napsucks いまいち危険性がわからん。。そもそもDHCPスプーフィングで偽DNSつかまされてる前提ならなんでもありだろ。それにWPADでproxyをかませて通信を盗んでも端末に偽ルート証明書突っ込まない限りはSSLエラーですぐにばれる。

    2016/07/28 リンク

    その他
    thimura
    thimura WPAD で送られてくる PAC(Proxy を決める JavaScript) には HTTPS の場合でも完全な URL が渡るので攻撃者に抜かれるとリンク先には書いてあった。HTTPS を Proxy するだけなら CONNECT 上で TLS handshake するので関係はない。とはいえ要注意

    2016/07/28 リンク

    その他
    longroof
    longroof "Facebook のみなさん、聞こえますかぁ~" あー(;´Д`)…

    2016/07/28 リンク

    その他
    deep_one
    deep_one httpsだからといってGETを使うのが悪いという気がしてならない。経路で漏れなくても端末の履歴に残ったりするからやめろというのを見て、使わないようにしている。

    2016/07/28 リンク

    その他
    teppeis
    teppeis 証明書はだませるのかな?

    2016/07/28 リンク

    その他
    stealthinu
    stealthinu id:rryuさんのブ米が大変参考になった。釣り用のWiFiに繋いでしまうとそのDHCP設定でProxy設定が掛けられてSSL通信でもGETのURLが漏れるからOpenID/OAuthの認証コードが漏れてなりすまし可能になる場合ありとのこと。

    2016/07/28 リンク

    その他
    Shinwiki
    Shinwiki よく見てるよね

    2016/07/28 リンク

    その他
    T-miura
    T-miura FreeWifiとかの話。

    2016/07/28 リンク

    その他
    mattn
    mattn 環境の前提があるので全ての OAuth がヤバイという訳ではないって事すかね。

    2016/07/28 リンク

    その他
    kuchitama
    kuchitama URL漏れるのは、知ってたけど、そうか。セキュリティそこんとこに影響あるのか。ガクガク(((n;‘Д‘))ηナンダカコワイワァ

    2016/07/28 リンク

    その他
    morioka
    morioka “ ”

    2016/07/28 リンク

    その他
    rryu
    rryu 見知らぬWi-Fiネットワークなどに繋ぐとWPAD(Web Proxy Auto-Discovery)によってプロキシが設定される場合があり、そうするとURLが漏れるので認証とかやばいんじゃね? という話。

    2016/07/27 リンク

    その他
    tanakh
    tanakh (´・_・`)

    2016/07/27 リンク

    その他
    Horiuchi_H
    Horiuchi_H うーん、OAuthサーバを作る際には考慮しないとならないことがまた増えたのか。。。

    2016/07/27 リンク

    その他

    注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています

    アプリのスクリーンショット
    いまの話題をアプリでチェック!
    • バナー広告なし
    • ミュート機能あり
    • ダークモード搭載
    アプリをダウンロード

    関連記事

    HTTPS でも Full URL が漏れる?OAuth の code も漏れるんじゃね?? - OAuth.jp

    なんですかこれは! New attack bypasses HTTPS protection on Macs, Windows, and Linux DHCP につなぐ...

    ブックマークしたユーザー

    すべてのユーザーの
    詳細を表示します

    同じサイトの新着

    同じサイトの新着をもっと読む

    いま人気の記事

    いま人気の記事をもっと読む

    いま人気の記事 - テクノロジー

    いま人気の記事 - テクノロジーをもっと読む

    新着記事 - テクノロジー

    新着記事 - テクノロジーをもっと読む

    同時期にブックマークされた記事

    はてなブックマーク

    公式Twitter

    はてなのサービス

    • App Storeからダウンロード
    • Google Playで手に入れよう
    Copyright © 2005-2024 Hatena. All Rights Reserved.