OAuth 2.0 セキュリティ関連トピック - マイクロソフト系技術情報 Wiki

[ トップ ] [ 編集 | 凍結 | 差分 | バックアップ | 添付 | リロード ] [ 新規 | 一覧 | 単語検索 | 最終更新 | ヘルプ ]

最新の70件

2024-01-24

性能問題のポイント

2023-12-14

ツール類（インデックス）

2023-12-13

2023-11-01

CAL

2023-09-19

2023-08-22

Azure OpenAI Service

2023-07-31

2023-07-27

Docker Desktop for Windows

2023-07-26

Azureの仮想ネットワークピアリング

2023-04-25

メモ

2023-03-27

SAMLの実装を検証する。

2023-03-08

WSL → WSL2

2023-02-16

コンテナのチェーン

2023-02-13

Azure IoT Hub Device Provisioning Service

2023-02-09

Azure Digital Twins

2023-02-08

Azure IoT Hub

2023-02-03

Azure IoT Edge

2023-01-30

2023-01-27

カーネル・ダンプ

2023-01-12

異種環境への移行時のテスト・ポリシー

2022-12-28

2022-12-26

RecentDeleted

2022-12-12

Azure Cloud Shell

2022-12-08

Azure Machine Learningチュートリアル

2022-09-14

2022-09-12

2022-09-05

Azure Machine Learningのアルゴリズム・モデル

2022-08-29

2022-08-25

メモリ・リーク

2022-08-08

2022-08-05

2022-08-04

2022-08-02

インデックスの再構築・デフラグ

2022-06-30

2022-06-29

Azureのデータ・ストア

2022-06-28

2022-06-27

Microsoft Forms

2022-06-24

Azure Machine Learning

2022-06-15

「マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

戻る

目次 †

概要 †

セキュリティに関する考察と、考慮点。

詳細 †

基礎 †

脅威モデルとセキュリティ考慮事項 †

OAuth 2.0 Threat Model and Security Considerations

参考 †

slideshare.net

今更聞けないOAuth2.0 - セキュリティ対策
http://www.slideshare.net/ph1ph2sa25/oauth20-46144252/54

OAuth 2.0の概要とセキュリティ
http://www.slideshare.net/charlier-shoe/oauth-20-29540466

デジタルID最新動向（2） - ＠IT
- 「OAuth 2.0」の基本動作を知る
  http://www.atmarkit.co.jp/ait/articles/1708/31/news124.html
- 図解：OAuth 2.0に潜む「5つの脆弱性」と解決法
  http://www.atmarkit.co.jp/ait/articles/1710/24/news011.html

第3回　Webセキュリティのおさらい
その3 CSRF・オープンリダイレクト・クリックジャッキング：
JavaScriptセキュリティの基礎知識｜gihyo.jp … 技術評論社
- http://gihyo.jp/dev/serial/01/javascript-security/0003?page=1
- http://gihyo.jp/dev/serial/01/javascript-security/0003?page=2

HTTPS でも Full URL が漏れる？OAuth の Code も漏れるんじゃね？？
http://oauth.jp/blog/2016/07/27/https-full-url-leaks/

認証に使用する †

問題点 †

認証ではなく認可のためのプロトコル（権限委譲プロトコル）である。
OAuth 2.0の仕様を熟読してもOAuth2.0を認証に使用しても問題ないように見える。

以下のBlogを参照して、

認可のためのプロトコルのOAuthが認証に使えることの説明 | ありえるえりあ
http://dev.ariel-networks.com/wp/archives/258

「OAuthが権限委譲(認可伝達)プロトコルなのは事実です。
・・・権限委譲プロトコルのひとつの利用方法に過ぎないからです。」

「権限委譲プロトコルOAuthで、事実上、認証伝達ができる。」

の部分を見ると、全権限の認可は≒認証で、
OAuth 2.0による認証も、OAuth 2.0の一利用方法と捉えることができる。

従って、「OAuth 2.0は認証で使用できる。」と考える。
ただし、「OAuth 2.0には以下の問題がある。」と考える。

Openな仕掛けで、インターネット上の野良Client、Resource Ownerから攻撃され得る。
また、Authorization Serverに脆弱性があった場合、攻撃対象になり得る。
さらに、Clientの作り次第で、Access Tokenが露見し得る。

このため、これらの問題がある状態で、OAuth 2.0を認証に使用すると、

「Resource Serverで公開しているリソースへのアクセスを認可する。」

という限られた権限より、（システムにログインできるということは）大きい権限を委譲することになるので、
この発言の背景では、「認可に比べ、認証に使用した場合、リスクが大きい。」という問題が懸念されている。

対応方法１ †

従って、この問題は、特に脆弱なImplicit Flowを対象に、以下のように対策できる。

ImplicitをAuthorization Codeに変更する。
- Implicitを利用している場合、Authorization Codeを利用できないか確認する。
- Authorization Codeであれば、Access Tokenの露見の可能性は低い（ただし、Clientの作り次第）。

基本実装を拡張する。
- Bearer TokenをJWTアサーションに変更する。
- OAuth 2.0 拡張で
  - 追加のクライアント認証をサポートする。
  - 追加された仕様をサポートする。
- OpenID Connectをサポートする。

対応方法２ †

更に、昨今、Implicitフロー非推奨の流れが。

拡張のフロー †

スマホ向け †

デバイス向け †

ベスト・プラクティス †

OAuth 2.0 Security Best Current Practice †

UserAgentでOAuth2のTokenを取得するベスト・プラクティス †

UserAgent?＝SPA、スマホの意

JWTのコンテキストで何故かSessionとかCookieとか †

参考 †

OAuth 1.0 のほうが OAuth 2.0 より安全なの？ †

OAuth 1.0 のほうが OAuth 2.0 より安全なの？ - Qiita
http://qiita.com/TakahikoKawasaki/items/3600b28af7b63671b968
- 「OAuth 2.0 は OAuth 1.0 よりも安全ではない」とは言えない。
- OAuth 1.0 でClientを作る方こそ安全ではない。
- OAuth 1.0 ではなく OAuth 2.0 を採用するのが良い。

OAuth 2.0 and the Road to Hell – hueniverse
http://hueniverse.com/2012/07/26/oauth-2-0-and-the-road-to-hell/

qiita.com/TakahikoKawasaki? †

OAuth 2.0 のフローとクライアントタイプの関係
https://qiita.com/TakahikoKawasaki/items/13a3e935b29cd9a997d6
OAuth 2.0 の認可レスポンスとリダイレクトに関する説明
https://qiita.com/TakahikoKawasaki/items/8567c80528da43c7e844

r-weblife †

https://ritou.hatenablog.com/archive/category/Security

OAuth 2.0 / OpenID Connectにおけるstate, nonce, PKCEの限界を意識する
https://ritou.hatenablog.com/entry/2019/07/08/070000

Tags: :IT国際標準, :認証基盤, :クレームベース認証, :OAuth

Last-modified: 2021-10-03 (日) 16:57:41 (929d)