Covert Redirect Vulnerability with OAuth 2
tl;dr Covert Redirect Vulnerability is a real, if not new, threat when combined with Implicit Grant Flow (not Code flow) This Covert Redirect Vulnerability in OAuth 2 is an interesting one. There’s a couple of defending arguments that this isn’t a flaw in OAuth itself. While I agree that it isn’t a flaw in the protocol, I think the threat is a real one, combined with a) a loose validation on redir
å˜ãªã‚‹ OAuth 2.0 ã‚’èªè¨¼ã«ä½¿ã†ã¨ã€è»ŠãŒé€šã‚Œã‚‹ã»ã©ã®ã©ã§ã‹ã„ã‚»ã‚ュリティー・ホールãŒã§ãã‚‹
In some of the feedback I have gotten on the openID Connect spec, the statement is made that Connect is too complicated. That OAuth 2.0 is all you need to do authentication. Many point to Identity Pro… 英語èªã¿ãŸããªã„ã¨ã„ã†äººã®ãŸã‚ã«ç°¡å˜ã«è§£èª¬ã™ã‚‹ã¨â€¦ OAuth 2.0 ã® implicit flow を使ã£ã¦ã€Œèªè¨¼ã€ã‚’ã—よã†ã¨ã™ã‚‹ã¨ã€ã¨ã£ã¦ã‚‚大ããªç©´ãŒé–‹ãã¾ã™ã€‚ カット&ペーストアタックãŒå¯èƒ½ã ã‹ã‚‰ã§ã™ã€‚ OAuth èªè¨¼ï¼Ÿã¯ã€å›³ï¼‘ã®ã‚ˆã†ãªæµã‚Œã«ãªã‚Šã¾ã™ã€‚ 図1 OAuth èªè¨¼ï¼Ÿã®æµã‚Œ 一見ã€å•é¡Œãªã•ãã†ã«è¦‹ãˆã¾ã™ã€‚ã—ã‹ã—ã€ãã‚Œã¯ã™ã¹ã¦ã®ã‚µã‚¤ãƒˆãŒã€Œè‰¯ã„サイトã€ãªã‚‰ã°ã§ã™ã€‚ Site_A
Facebook Graph API — getting access tokens
As described in the documentation it’s a fairly easy process — and it does not require any signatures. For example, I have an application with an id 116122545078207, and I am using the URL of this blog (https://benbiddington.wordpress.com) to collect request tokens. [update, 2010-04-29] If ever there was a lesson to read specification and documentation carefully, this is it. Thanks to comments fro
bit.ly ã® OAuth 2.0 ã¨ã‹è‰²ã€…試ã—ã¦ã¿ãŸã‚‰è‰²ã€…アレã ã£ãŸ : ã«ã½ãŸã‚“ç ”ç©¶æ‰€
ã‚ã‚‹æ—¥ã€ã†ã¡ã®ã‚µãƒ¼ãƒ“ス㧠bit.ly 使ã£ã¦ URL ã‚’çŸç¸®ã—ãŸã„ãーãªã‚“ã¦è©±ãŒã‚ãŒã£ã¦ã€ã¾ãã€å˜ç´”ã«çŸç¸®åŒ–ã™ã‚‹ãªã‚‰ã€@shiba_yu36 ã•ã‚“作㮠WebService::Bitly ãªã‚“ã‹ä½¿ãˆã°ç°¡å˜ã«è‰²ã€…出æ¥ã¦ä¾¿åˆ©ã ãªãƒ¼ã£ã¦æ€ã„ã¾ã—ãŸã€‚ ã§ã€ãã£ã¨ã€ã“ã®ãƒ¢ã‚¸ãƒ¥ãƒ¼ãƒ«ã‚’使ã£ã¦ã„ã‚‹ã§ã‚ã‚ã†ã¯ã¦ãªãƒ€ã‚¤ã‚¢ãƒªãƒ¼ã¨ã‹è¦‹ã¦ã¿ãŸã‚‰ã€bit.ly ã®è¨å®šç”»é¢ãŒã‚ã‚‹ã‚“ã§ã™ã。 自分自身㮠bit.ly アカウントを使ãˆã° bit.ly ã§ãƒˆãƒ©ãƒƒã‚ングã¨ã‹å‡ºæ¥ã‚‹ã—便利ã ãªãƒ¼ã¨æ€ã„ã¾ã—ãŸã€‚ …ã§ã‚‚ãã€ã†ã¡ã®ã‚µãƒ¼ãƒ“スã®åˆ©ç”¨è€…ã®æ–¹ã€…ã¯ã€ã¯ã¦ãªæ°‘ã®ã‚ˆã†ãªãƒªãƒ†ãƒ©ã‚·ãƒ¼ã®é«˜ã„ユーザã°ã‹ã‚Šã§ã¯ãªã„ã®ã§ã™ã‚ˆã€‚ 「bit.ly ã® API ã‚ーã€ã¨ã‹è¨€ã£ã¦ã‚‚「ã¯ï¼Ÿï¼Ÿï¼Ÿï¼Ÿï¼Ÿã€ã£ã¦æ„Ÿã˜ã®æ–¹ãŒå¤§å¤šæ•°ã€‚ æ„味ã‚ã‹ã‚‰ãªã„ã‚‚ã®ã‚’è¨å®šç”»é¢ã«ã¤ã‘ã‚‹ã¨ãªã£ã¡ã‚ƒã‚“å®›ã«ã‚¯ãƒ¬ãƒ¼ãƒ ãŒã„ã£ã±ã„æ¥ã¦ã—ã¾ã„ã¾ã™ã€‚ ã¨ã‚Šã‚ãˆãšã€bitly API Docum
PHPã‚’èªã‚“ã ã“ã¨ã‚る人ã®ãŸã‚ã®OAuthã®Signature解説 - r-weblife
今回ã¯OAuthã®ãŠè©±ã§ã™ã€‚ ãªã‚“ã¨ãªãã€ä¸–ã®ä¸ã«å‡ºå›žã£ã¦ã„るライブラリを使ã‚ãšã€OAuthã®æ©Ÿèƒ½ã‚’独自ã§ï¼‘ã‹ã‚‰ä½œã‚Šã“む人もã‘ã£ã“ã†ã„るよã†ãªæ°—ãŒã—ã¾ã™ã€‚ 今回ã¯PHPã®OAuthライブラリを用ã„ã¦ã€HMAC-SHA1ã®Signatureを作æˆã™ã‚‹ã¨ãã®ãƒã‚¸ãƒƒã‚¯ã‚’見ã¦ã¿ã¾ã™ã€‚ 仕様 : OAuth Core 1.0 Revision A â– å‰ææ¡ä»¶ 今回ã¯2legged OAuth Request(3leggedã§ã‚‚一緒) GETã§http://r-weblife.sakura.ne.jp/SignedRequest/example.phpã«ã‚¢ã‚¯ã‚»ã‚¹ 下記ã®ã‚ˆã†ãªãƒ‘ãƒ©ãƒ¡ãƒ¼ã‚¿ã‚’ä»˜åŠ ã™ã‚‹ $params = array( "opensocial_app_url" => 'http://r-weblife.sakura.ne.jp/SignedRequest/SignedRequest.xml
Openpearã§HTTP_OAuthProviderを公開ã—ã¦ã¿ãŸ - よã—ã ’s diary
公開ã—ãŸã€‚ Openpearã§ãƒ‘ッケージを公開ã™ã‚‹ã¨ãƒ¡ãƒ¼ãƒ«ã‚¢ãƒ‰ãƒ¬ã‚¹ã‚‚公開ã•ã‚Œã‚‹ã¨ã„ã†äº‹ã‚’ã•ã£ã知ã£ãŸã€‚ ã‚‚ã†ã„ã„ã‚„ã¨æ€ã£ã¦ã€æ–‡ä¸ã®Pearæº–æ‹ ã®ã‚³ãƒ¡ãƒ³ãƒˆéƒ¨åˆ†ã§æœ¬åã‚‚æ™’ã—ãŸã€‚ プãƒã‚°ãƒ©ãƒ ã¯åŽ»å¹´æ›¸ã„ãŸã‚‚ã®ã‚’ベースã«ã—ãŸã‚“ã ã‘ã©ã€çµæ§‹æ›¸ã方も変ã‚ã£ãŸã€‚ ãªã‹ãªã‹ã„ã„æ„Ÿã˜ã®æ›¸ãæ–¹ãŒå‡ºæ¥ãŸã‚“ã˜ã‚ƒãªã„ã‹ã¨æ€ã£ã¦ã‚‹ã€‚ HTTP_OAuthProvider - Openpear http://openpear.org/package/HTTP_OAuthProvider /HTTP_OAuthProvider/trunk - リãƒã‚¸ãƒˆãƒªãƒ–ラウザ - Openpear http://openpear.org/repository/HTTP_OAuthProvider/trunk 機能 OAuthリクエストã®èªè¨¼ã‚’è¡Œã†ã‚µãƒ¼ãƒ“スプãƒãƒã‚¤ãƒ€å´ã®ãƒ©ã‚¤ãƒ–ラリ。 2Legged OAuthã¨3Legged OAuthã®
Writing an OAuth Provider Service | Toys
Last year I showed how to use pecl/oauth to write a Twitter OAuth Consumer. But what about writing the other end of that? What if you need to provide OAuth access to an API for your site? How do you do it? Luckily John Jawed and Tjerk have put quite a bit of work into pecl/oauth lately and we now have full provider support in the extension. It's not documented yet at php.net/oauth, but there are s
Tender Surrender » OpenSocialã®OAuthã¾ã¨ã‚
OpenSocialã§ã¯ã€ã‚³ãƒ³ãƒ†ãƒŠãŒå¤–部サーãƒãƒ¼ã¨ã®é€šä¿¡ã‚’è¡Œã†éš›ã€ã¾ãŸã¯å¤–部サーãƒãƒ¼ãŒã‚³ãƒ³ãƒ†ãƒŠã¨é€šä¿¡ã‚’è¡Œã†éš›ã€OAuthを使用ã—ã¦èªå¯ã‚’è¡Œã„ã¾ã™ã€‚今回ã¯OpenSocialã«ãŠã‘ã‚‹OAuthã«ã¤ã„ã¦ã€ç¾æ®µéšŽã§ã®ã¾ã¨ã‚を書ã„ã¦ã¿ã¾ã™ã€‚ ※追記(2008/10/20):2008/10/4ã«æ›¸ã„ãŸã‚³ãƒãƒ©ã®è¨˜äº‹ã‚‚å¿…èªã§ã™ã€‚ OAuthã£ã¦ä½•ã ã£ãŸã£ã‘? OAuthã¯ãƒ¦ãƒ¼ã‚¶ãƒ¼ã€ã‚³ãƒ³ã‚·ãƒ¥ãƒ¼ãƒžã€ã‚µãƒ¼ãƒ“スプãƒãƒã‚¤ãƒ€ã®3者間ã§ãƒ‡ãƒ¼ã‚¿ã®ã‚„ã‚Šå–ã‚Šã‚’è¡Œã†ã¨ã—ãŸå ´åˆã€ãƒ¦ãƒ¼ã‚¶ãƒ¼ãŒã‚³ãƒ³ã‚·ãƒ¥ãƒ¼ãƒžã«ã‚¯ãƒ¬ãƒ‡ãƒ³ã‚·ãƒ£ãƒ«(IDやパスワード)を渡ã™ã“ã¨ãªãã€ãƒ¦ãƒ¼ã‚¶ãƒ¼ãŒæ‰€æœ‰ã™ã‚‹ã‚µãƒ¼ãƒ“スプãƒãƒã‚¤ãƒ€ä¸Šã®ãƒªã‚½ãƒ¼ã‚¹ã«ã‚³ãƒ³ã‚·ãƒ¥ãƒ¼ãƒžã‚’アクセスã•ã›ã‚‹ãŸã‚ã®ã‚‚ã®ã§ã™ã€‚ 例ãˆã°ãƒ¦ãƒ¼ã‚¶ãƒ¼ãŒGoogle(サービスプãƒãƒã‚¤ãƒ€)ã®ã‚¢ãƒ‰ãƒ¬ã‚¹å¸³(リソース)ã‚’MySpace(コンシューマ)上ã§åˆ©ç”¨ã™ã‚‹ã‚·ãƒ¼ãƒ³ã‚’æ€ã„æµ®ã‹ã¹ã¦ãã ã•ã„。OAuthãŒãªã‘ã‚Œã°ã€MySpace
GT Nitro: カーレーシング・ドラッグレーシングゲーム- Google Play ã®ã‚¢ãƒ—リ
GT Nitro: Car Game Drag Raceã¯ã€å…¸åž‹çš„ãªã‚«ãƒ¼ã‚²ãƒ¼ãƒ ã§ã¯ã‚ã‚Šã¾ã›ã‚“。ã“ã‚Œã¯ã‚¹ãƒ”ードã€ãƒ‘ワーã€ã‚¹ã‚ル全開ã®ã‚«ãƒ¼ãƒ¬ãƒ¼ã‚¹ã‚²ãƒ¼ãƒ ã§ã™ã€‚ブレーã‚ã¯å¿˜ã‚Œã¦ã€ã“ã‚Œã¯ãƒ‰ãƒ©ãƒƒã‚°ãƒ¬ãƒ¼ã‚¹ã€ãƒ™ã‚¤ãƒ“ーï¼å¤å…¸çš„ãªã‚¯ãƒ©ã‚·ãƒƒã‚¯ã‹ã‚‰æœªæ¥çš„ãªãƒ“ーストã¾ã§ã€æœ€ã‚‚クールã§é€Ÿã„車ã¨ã‚«ãƒ¼ãƒ¬ãƒ¼ã‚¹ã§ãã¾ã™ã€‚スティックシフトをマスターã—ã€ãƒ‹ãƒˆãƒã‚’è³¢ã使ã£ã¦ç«¶äº‰ã‚’打ã¡ç ´ã‚‹å¿…è¦ãŒã‚ã‚Šã¾ã™ã€‚ã“ã®ã‚«ãƒ¼ãƒ¬ãƒ¼ã‚¹ã‚²ãƒ¼ãƒ ã¯ãã®ãƒªã‚¢ãƒ«ãªç‰©ç†å¦ã¨ç´ 晴らã—ã„グラフィックスã§ã‚ãªãŸã®å¿ƒã‚’爆発ã•ã›ã¾ã™ã€‚ã“ã‚Œã¾ã§ãƒ—レイã—ãŸã“ã¨ã®ãªã„よã†ãªã‚‚ã®ã§ã™ã€‚ GT Nitroã¯ã€ãƒªãƒ•ãƒ¬ãƒƒã‚¯ã‚¹ã¨ã‚¿ã‚¤ãƒŸãƒ³ã‚°ã‚’試ã™ã‚«ãƒ¼ãƒ¬ãƒ¼ã‚¹ã‚²ãƒ¼ãƒ ã§ã™ã€‚æ£ã—ã„瞬間ã«ã‚®ã‚¢ã‚’シフトã—ã€ã‚¬ã‚¹ã‚’æ€ã„切りè¸ã‚€å¿…è¦ãŒã‚ã‚Šã¾ã™ã€‚ã¾ãŸã€å¤§ç‰©ãŸã¡ã¨ç«¶ã„ã¤ã¤ã€è»Šã®ãƒãƒ¥ãƒ¼ãƒ‹ãƒ³ã‚°ã¨ã‚¢ãƒƒãƒ—グレードも行ã‚ãªã‘ã‚Œã°ãªã‚Šã¾ã›ã‚“。世界ä¸ã§æœ€é«˜ã®ãƒ‰ãƒ©ã‚¤ãƒãƒ¼ã¨è»Šã¨ã‚«ãƒ¼ãƒ¬ãƒ¼ã‚¹ã«æŒ‘ã‚€ã“ã¨ã«ãªã‚Šã€ãƒ‰ãƒ©ãƒƒã‚°ãƒ¬ãƒ¼ã‚¹ã®çŽ‹å†
OAuthã®PHP実装 - ãŠãŽã‚ãã¯ã¦ãƒ–ãƒ
OAuthã®å®Ÿè£…ã«ã¤ã„ã¦ã¯ã€http://oauth.net/code/ ã«å„言語ã”ã¨ã«æƒ…å ±ãŒè¼‰ã£ã¦ã„ã¾ã™ã€‚ PHPã®ã¨ã“ã‚ã‚’é©å½“ã«è¨³ã™ã¨ã“ã‚“ãªæ„Ÿã˜ã€‚ OAuthをサãƒãƒ¼ãƒˆã™ã‚‹PHP ExtensionãŒã‚る。John Jawedã«ã‚ˆã£ã¦æ›¸ã‹ã‚ŒãŸã€‚例ã¯ã“ã“ã«ã€æ®µéšŽçš„ãªèª¬æ˜Žã‚‚ã‚る。ã“ã®PECLパッケージã¯ã€Rasmus Lerdorfã«ã‚ˆã£ã¦ãƒ‡ãƒ•ã‚¡ã‚¯ãƒˆã‚¹ã‚¿ãƒ³ãƒ€ãƒ¼ãƒ‰ã¨ã¿ãªã•ã‚Œã¦ã„る。 Andy Smith ã¯ã€OAuthã®åŸºç¤Žçš„ãªPHPライブラリを書ã„ãŸã€‚ Cal Henderson ã¯ã€ç½²åを扱ã†ã®ã‚’主ã¨ã—ãŸã‚·ãƒ³ãƒ—ルãªOAuthライブラリをã€æä¾›ã—ãŸã€‚ HTTP_OAuth ã¯ã€Jeff Hodsdon 㨠Bill Shupp (Digg) ã«ã‚ˆã£ã¦é–‹ç™ºã•ã‚ŒãŸPEARパッケージã§ã™ã€‚ã“ã®ãƒ„ールを使ã£ã¦è©¦ã™ã“ã¨ãŒã§ãる。 CakePHP用ã«OAuthコンãƒãƒ¼ãƒãƒ³ãƒˆãŒã‚ã‚Šã¾ã™ã€‚ Justin
PHPã§Yahoo!ã®OAuth対応APIã«ã‚¢ã‚¯ã‚»ã‚¹ã—ã¦ã¿ã‚ˆã†ï¼
ãƒ¤ãƒ•ãƒ¼æ ªå¼ä¼šç¤¾ã¯ã€2023å¹´10月1æ—¥ã«LINEãƒ¤ãƒ•ãƒ¼æ ªå¼ä¼šç¤¾ã«ãªã‚Šã¾ã—ãŸã€‚LINEãƒ¤ãƒ•ãƒ¼æ ªå¼ä¼šç¤¾ã®æ–°ã—ã„ブãƒã‚°ã¯ã“ã¡ã‚‰ã§ã™ã€‚LINEヤフー Tech Blog ã“ã‚“ã«ã¡ã¯ã€IDプラットフォーム技術ã®è¿‘è—¤ã§ã™ã€‚ å‰å›žã®è¨˜äº‹ã§ã¯Yahoo! JAPAN ã®OAuthãŒæŽ¡ç”¨ã—ã¦ã„ã‚‹Session Extensionã«ã¤ã„ã¦ç°¡å˜ã«ç´¹ä»‹ã‚’ã—ã¾ã—ãŸã€‚ ãã“ã§Session Extentionã®ä¸€é€£ã®ãƒ•ãƒãƒ¼ã‚’開発者ãŒæ„è˜ã™ã‚‹ã“ã¨ãªãã€OAuthã«å¯¾å¿œã—ãŸYahoo! JAPANã®APIを使ã£ã¦Webアプリを実装ã§ãるよã†ã«Yahoo! JAPANデベãƒãƒƒãƒ‘ーãƒãƒƒãƒˆãƒ¯ãƒ¼ã‚¯ä¸Šã«PHP SDKを公開ã—ã¾ã—ãŸã€‚ 今回ã¯SDKを利用ã—ã¦ãƒžã‚¤ãƒ»ã‚ªãƒ¼ã‚¯ã‚·ãƒ§ãƒ³è¡¨ç¤ºï¼ˆã‚¦ã‚©ãƒƒãƒãƒªã‚¹ãƒˆãƒ»é–‹å‚¬ä¸ã®ã‚ªãƒ¼ã‚¯ã‚·ãƒ§ãƒ³ï¼‰APIã«ã‚¢ã‚¯ã‚»ã‚¹ã™ã‚‹ç°¡å˜ãªã‚µãƒ³ãƒ—ルコードを作ã£ã¦ã„ããŸã„ã¨æ€ã„ã¾ã™ã€‚ ã¯ã˜ã‚ã«ï¼ŒYahoo!デベãƒãƒƒãƒ‘ーãƒãƒƒãƒˆãƒ¯ãƒ¼ã‚¯
1
ランã‚ング
ランã‚ング
ランã‚ング
リリースã€éšœå®³æƒ…å ±ãªã©ã®ã‚µãƒ¼ãƒ“スã®ãŠçŸ¥ã‚‰ã›
最新ã®äººæ°—エントリーã®é…ä¿¡
j次ã®ãƒ–ックマーク
kå‰ã®ãƒ–ックマーク
lã‚ã¨ã§èªã‚€
eコメント一覧を開ã
oページを開ã
{{#tags}}- {{label}}
{{/tags}}