OpenIDã¨ãƒ•ã‚£ãƒƒã‚·ãƒ³ã‚°
wiki.openid.netã®OpenID Wiki / OpenID_Phishing_Brainstormã‹ã‚‰ã€‚
フィッシングã®æµã‚Œ
- ユーザーã¯æ‚ªæ„ã®ã‚ã‚‹RP(Consumer)サイトã«è¡Œãã¨OpenIDã£ã½ãƒãƒã‚°ã‚¤ãƒ³ãƒ•ã‚©ãƒ¼ãƒ ãŒã‚ã‚‹
- ユーザーã¯ãã®ãƒã‚°ã‚¤ãƒ³ãƒ•ã‚©ãƒ¼ãƒ ã«è‡ªåˆ†ã®Identifier URLを入力
- 悪æ„ã®ã‚ã‚‹RPã¯ãƒ¦ãƒ¼ã‚¶ãƒ¼ã®OP(IdP)ã«è‰¯ãä¼¼ãŸFake OPã«ãƒªãƒ€ã‚¤ãƒ¬ã‚¯ãƒˆã•ã›ã‚‹
- Fake OPã¯ãƒ¦ãƒ¼ã‚¶ãƒ¼ã«ãƒ¦ãƒ¼ã‚¶ãƒ¼åã¨ãƒ‘スワードを求ã‚ã‚‹
- ユーザーã¯ã„ã¤ã‚‚ã®OPã¨ã®é•ã„ã«æ°—ã¥ã‹ãšãƒ‘スワード入れã¡ã‚ƒã†
- Fake OPã¯ãƒ¦ãƒ¼ã‚¶ãƒ¼ã®ã‚¢ã‚«ã‚¦ãƒ³ãƒˆæƒ…å ±ã‚’å…¥æ‰‹å‡ºæ¥ã‚‹
ã“ã‚ŒãŒåŸºæœ¬çš„ãªãƒ•ã‚£ãƒƒã‚·ãƒ³ã‚°ã®æµã‚Œã¨èª¬æ˜Žã•ã‚Œã¦ã‚‹ã€‚
OpenID Realm Spoofing
OpenIDã§è¨€ã†ã¨ã“ã‚ã®realmã¯trust_rootã®äº‹ã€‚(ソースから読むOpenID (1) - Yet Another Hackadelicã§è§£èª¬ã—ã¦ã¾ã™ã€‚)
ã“ã®spoofingã¯ã©ã†ã„ã†äº‹ã‹ã¨è¨€ãˆã°ã€
- æ¯”è¼ƒçš„ä¿¡é ¼ã•ã‚Œã¦ã„るサイト
- オープンãªãƒªãƒ€ã‚¤ãƒ¬ã‚¯ã‚¿ã‚’æŒã£ã¦ã‚‹ã‚µã‚¤ãƒˆ
ãŒOpenIDã®RP(Consumer)ã ã£ãŸå ´åˆã«æˆã‚Šç«‹ã¤ä»•çµ„ã¿ã ã¨æ€ã†ã€‚
ã“ã†ã„ã†æ¡ä»¶ã‚’æŒã¤ã‚µã‚¤ãƒˆã®ãƒ‰ãƒ¡ã‚¤ãƒ³ãŒtrusted.comã ã¨ã—ã¦ã€ãƒªãƒ€ã‚¤ãƒ¬ã‚¯ã‚¿ã¯http://trusted.com/redirect?url=http://foo.com/ã¿ãŸã„ãªæ„Ÿã˜ã ã¨ã™ã‚‹ã¨ã€æ‚ªæ„ã‚ã‚‹RPã®ãƒ‰ãƒ¡ã‚¤ãƒ³ãŒmalicious.netã ã¨ã—ã¦ã€
- trust_root
- http://trusted.com/
- return_to
- http://trusted.com/redirect?url=http://maricios.net/
ã®ã‚ˆã†ã«ã—ã¦èªè¨¼ãƒªã‚¯ã‚¨ã‚¹ãƒˆã‚’é€ã£ã¦ã‚ã’ã‚‹ã¨ã€‚
ã„ã–ユーザーãŒOPã§ãƒã‚°ã‚¤ãƒ³ã™ã‚‹éš›ã«ã€è¨±å¯ã‚’与ãˆã‚‹ãƒ‰ãƒ¡ã‚¤ãƒ³ã¨ã—ã¦è¡¨ç¤ºã•ã‚Œã¦ã„ã‚‹ã®ã¯trusted.comã«å¯¾ã—ã¦ã¨è¨€ã†é¢¨ã«è¡¨ç¾ã•ã‚Œã¦ã„ã‚‹ã ã‚ã†ã‹ã‚‰ã€ã¤ã„ã¤ã„許å¯ã—ã¦ã—ã¾ã†ã¨è¨€ã†å…·åˆã€‚
リダイレクタã«ã¯èªè¨¼çµæžœã‚’ä¼´ã£ãŸãƒ‡ãƒ¼ã‚¿ãŒé€ã‚‰ã‚Œã‚‹ã®ã§ã€å†…容ã«ã‚ˆã£ã¦ã¯éžå¸¸ã«ã¾ãšã„データãŒæ‚ªæ„ã‚ã‚‹RPã«ç›—ã¾ã‚Œã‹ããªã„çµæžœã«ãªã‚‹ã€‚
Attribute Exchangeãªã‚“ã‹ã‚’使ã£ã¦ãŸå ´åˆã ã¨ã€ã©ã‚“ãªå±žæ€§æƒ…å ±ã‚’ãƒªã‚¯ã‚¨ã‚¹ãƒˆã—ã¦ã‚‹ã‹åˆ†ã‹ã‚‰ãªã„ã—ã€ä»®ã«trusted.comã«ç›¸å½“センシティブãªå±žæ€§æƒ…å ±ã®èªã¿å–りを許å¯ã—ã¦ãŸã‚‰ã€ç›¸å½“ã¾ãšã„ã§ã™ã。
対抗ç–ã£ã¦ä½•ãŒã‚ã‚‹ã‚“ã ã‚ã†ã€‚
