OAuth の欠陥「Covert Redirect」は Heartbleed より胸を打つ?~~バグのロゴを作ることで、その重要性が高まるわけではない(The Register) | ScanNetSecurity
2024.03.29(金)

OAuth の欠陥「Covert Redirect」は Heartbleed より胸を打つ?~~バグのロゴを作ることで、その重要性が高まるわけではない(The Register)

彼は「どのようにして、このトリックが Facebook での OAuthの実装に適用されるか」を実演した。Facebook、Google、Yahoo、そして Microsoft を含めた OAuth 2.0 のウェブサイトが影響を受ける、と Jing は語っている。

国際 TheRegister
【動画】Google OpenID Covert Redirect Vulnerability

つい先日に報告された OAuth の新たな「脆弱性」は、どうやら「脆弱性とは違うもの」であるようだ。

この不親切な評価は、セキュリティ専門家たちによって下されたものである。それは、Heartbleed の脆弱性(管理者たちが先を争ってウェブサイトを修復したのも当然であるほど、甚大な非常事態を引き起こした脆弱性だった)と、この「Covert Redirect」と呼ばれる欠陥とが、一絡げとなって見出しを賑わせたことを受けての評価だった。

この欠陥は土曜日(編集部註:2014 年 5 月 3 日)、Nanyang Technological University の PhD の学生、Wang Jing によって報告された。彼は、攻撃者がこの欠陥を利用してユーザーにフィッシングを行い、トークンを取得する手法を説明した。
《ScanNetSecurity》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×