「[[マイクロソフト系技術情報 Wiki>http://techinfoofmicrosofttech.osscons.jp/]]」は、「[[Open棟梁Project>https://github.com/OpenTouryoProject/]]」,「[[OSSコンソーシアム .NET開発基盤部会>https://www.osscons.jp/dotNetDevelopmentInfrastructure/]]」によって運営されています。 -[[戻る>OAuth 2.0 Threat Model and Security Considerations]] * 目次 [#db7f0327] #contents *概要 [#yb50747c] OAuth 2.0 Threat Model and Security Considerationsの~ 一般的なすべてのOAuthコンポーネントに適用されるセキュリティ考慮事項。 *要求の機密性を確保 [#y533fd4f] **対象 [#p4a1eecd] 要求 -Client(UserAgent)からAuthorization Server -Client(UserAgent)からResources Server **脅威 [#o5c4480e] 各種トークンの傍受攻撃または再生攻撃が可能になる。 **対策 [#dd3c9c49] SSL/TLSを利用する。 *サーバ認証 [#rf5914dc] **対象 [#u74c2000] 各種サーバ -Authorization Server -Client(Web application) -Resources Server **脅威 [#n12327fc] 偽造サーバへの誘導 **対策 [#t2aa0101] SSL/TLS(サーバ証明)の利用 *常にResources Ownerに通知 [#l3bff01f] **対象 [#x1fd1840] を認識する可能性 -非対話的フローでの認可 -リフレッシュ -, etc. **脅威 [#c99e7969] 特定の種類の攻撃 **対策 [#qa143eb2] -認可画面の表示 -Notification messages (email, SMS)~ 通知はフィッシング媒介になる可能性があることに注意 -アクティビティ/イベントログ -ユーザ・セルフケア・ポータル ---- Tags: [[:認証基盤]], [[:クレームベース認証]], [[:OAuth]]