【動画】Google OpenID Covert Redirect Vulnerability
つい先日に報告された OAuth の新たな「脆弱性」は、どうやら「脆弱性とは違うもの」であるようだ。
この不親切な評価は、セキュリティ専門家たちによって下されたものである。それは、Heartbleed の脆弱性(管理者たちが先を争ってウェブサイトを修復したのも当然であるほど、甚大な非常事態を引き起こした脆弱性だった)と、この「Covert Redirect」と呼ばれる欠陥とが、一絡げとなって見出しを賑わせたことを受けての評価だった。
この欠陥は土曜日(編集部註:2014 年 5 月 3 日)、Nanyang Technological University の PhD の学生、Wang Jing によって報告された。彼は、攻撃者がこの欠陥を利用してユーザーにフィッシングを行い、トークンを取得する手法を説明した。
つい先日に報告された OAuth の新たな「脆弱性」は、どうやら「脆弱性とは違うもの」であるようだ。
この不親切な評価は、セキュリティ専門家たちによって下されたものである。それは、Heartbleed の脆弱性(管理者たちが先を争ってウェブサイトを修復したのも当然であるほど、甚大な非常事態を引き起こした脆弱性だった)と、この「Covert Redirect」と呼ばれる欠陥とが、一絡げとなって見出しを賑わせたことを受けての評価だった。
この欠陥は土曜日(編集部註:2014 年 5 月 3 日)、Nanyang Technological University の PhD の学生、Wang Jing によって報告された。彼は、攻撃者がこの欠陥を利用してユーザーにフィッシングを行い、トークンを取得する手法を説明した。
![[CEDEC 2014 レポート]リバースエンジニアリングを防止、正当な利益を得られるタイトルに(ARXAN)](/imgs/p/VBQCg88_AM0-DSZSF4-0dQsJwAfOBQQDAgEA/11876.jpg)
