「マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。 目次 †概要 †OAuth 2.0 Threat Model and Security Considerationsの ※ OAuth 2.0ではIdPの仕様について言及されていないので。 サインイン・プロセスの問題 †レガシー/マイグレーションの理由でよく使用される。 攻撃 †
対策 †限定的に利用する。
共通項 †
共通的な影響 †悪意のあるClientにscopeの広いトークンが悪用され得る。
ユーザID/パスワードの漏洩 †ユーザID/パスワードの盗難 †影響 †攻撃 †悪意のあるClientによるユーザID/パスワード盗難 対策 †
ユーザID/パスワードの盗聴 †影響 †攻撃 †エンドポイントに対するユーザID/パスワード盗聴 対策 †
ユーザID/パスワードのオンライン推測 †影響 †単一のユーザID/パスワードの組み合わせの啓示 攻撃 †有効なユーザID/パスワードの組み合わせを推測 対策 †
Client側でのユーザID/パスワードの露見アクシデント †影響 †攻撃 †Clientが十分な保護を提供していない場合、偶発的に起きる。 対策 †
DBからユーザID/パスワードを盗難 †影響 †すべてのユーザID/パスワードの開示 攻撃 †
対策 †
非対話的問題を突いた攻撃。 †ユーザID/パスワードのオンライン推測 †意図しない不要に大きなscope †影響 †悪意のあるClientが、不要に大きなscopeを持ったトークンを取得できる。 攻撃 †悪意のあるClientが、不要に大きなscopeを持ったトークンを要求する。 対策 †
refresh_tokenによる長期的認可の維持 †影響 †長期的認可の維持 攻撃 †自動再認可でrefresh_tokenを入手。 対策 †
Tags: :IT国際標準, :認証基盤, :クレームベース認証, :OAuth |