AX
<< Googleマップがメジャー・アップデート―乗換案内、ナビ情報が強化され、Uberを統合 | main | 京セラ、新たなキャリア参入で今期出荷台数1400万突破を目指す >>

スポンサーサイト

2014.12.05 Friday
0

    一定期間更新がないため広告を表示しています


    • Author : スポンサードリンク
    • -
    • -
    • -
    • -

    OAuthとOpenIDに深刻な脆弱性か--Facebookなど大手サイトに影響も

    2014.05.07 Wednesday
    0
      こんにちは〜♪

      いつもいつもご来訪どうもありがとうございます。
      本日は長いこと高校の時の幼なじみと二人で買い物してました。


      意味のない時間だったな・・・。



      OAuthとOpenIDに深刻な脆弱性か--Facebookなど大手サイトに影響も

      CNET Japan 5月7日(水)11時18分配信

       OpenSSLの脆弱性「Heartbleed」に続き、人気のオープンソースセキュリティソフトウェアでまた1つ大きな脆弱性が見つかった。今回、脆弱性が見つかったのはログインツールの「OAuth」と「OpenID」で、これらのツールは多数のウェブサイトと、Google、Facebook、Microsoft、LinkedInといったテクノロジ大手に使われている。

       シンガポールにあるNanyang Technological University(南洋理工大学)で学ぶ博士課程の学生Wang Jing氏は、「Covert Redirect」という深刻な脆弱性によって、影響を受けるサイトのドメイン上でログイン用ポップアップ画面を偽装できることを発見した。Covert Redirectは、既知のエクスプロイトパラメータに基づいている。

       たとえば、悪意あるフィッシングリンクをクリックすると、Facebook内でポップアップウィンドウが開き、アプリを許可するよう求められる。Covert Redirect脆弱性の場合、本物に似た偽ドメイン名を使ってユーザーをだますのではなく、本物のサイトアドレスを使って許可を求める。

       ユーザーがログインの許可を選択すると、正当なウェブサイトではなく攻撃者に個人データが送られてしまう。渡される個人データは、何を要求されるかにもよるが、メールアドレス、誕生日、連絡先リスト、さらにはアカウント管理情報にも及ぶ可能性がある。

       アプリを許可したかどうかにかかわらず、標的になったユーザーはその後、攻撃者が選ぶウェブサイトにリダイレクトされ、そこでさらなる攻撃を受ける可能性がある。

       Wang氏によると、すでにFacebookには連絡し、この脆弱性を報告したが、同社は「OAuth 2.0に関連するリスクは理解していた」と述べた上で、「当プラットフォーム上の各アプリケーションにホワイトリストの利用を強制することが難しい」ため、このバグを修正することは「短期間で達成できるものではない」と返答したという。

       影響を受けるサイトはFacebookだけではない。Wang氏は、Google、LinkedIn、Microsoftにもこの件を報告したが、問題への対処についてさまざまな回答を受け取ったと述べている。

       Google(OpenIDを利用している)はWang氏に、現在この問題に取り組んでいると伝えた。LinkedInは、この件に関するブログを公開したと述べた。一方でMicrosoftは、調査を行ったところ、脆弱性はサードパーティーのドメインに存在しており、自社サイトには存在しないと述べた。

      この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。


      http://headlines.yahoo.co.jp/hl?a=20140507-35047497-cnetj-sci
      ※この記事の著作権は、ヤフー株式会社または配信元に帰属します



      スポンサーサイト

      2014.12.05 Friday
      0

        • Author : スポンサードリンク
        • -
        • 13:55
        • -
        • -
        • -

        コメント
        コメントする









        PR
        calendar
         123456
        78910111213
        14151617181920
        21222324252627
        28293031   
        << May 2017 >>
        selected entries
        archives
        recommend
        links
        profile
        search this site.
        others
        mobile
        qrcode
        powered
        無料ブログ作成サービス JUGEM
        2008JUGEMキャラコングランプリ
        キャラクターデザイン:磯崎洋助/「おしゃれひつじ」