OAuth 2.0 Threat Model and Security Considerations のバックアップ差分(No.15)

[ トップ ]   [ 新規 | 一覧 | 単語検索 | 最終更新 | ヘルプ ]

• バックアップ一覧
• 現在との差分 を表示
• ソース を表示
• バックアップ を表示
• OAuth 2.0 Threat Model and Security Considerations へ行く。
  • 1 (2017-11-30 (木) 13:12:56)
  • 2 (2017-11-30 (木) 13:17:31)
  • 3 (2017-12-01 (金) 18:06:53)
  • 4 (2017-12-04 (月) 11:39:10)
  • 5 (2017-12-05 (火) 14:01:50)
  • 6 (2017-12-05 (火) 19:42:35)
  • 7 (2017-12-05 (火) 20:53:41)
  • 8 (2017-12-06 (水) 13:11:52)
  • 9 (2017-12-06 (水) 16:08:01)
  • 10 (2017-12-07 (木) 10:17:44)
  • 11 (2017-12-08 (金) 17:56:44)
  • 12 (2017-12-11 (月) 12:01:03)
  • 13 (2018-08-20 (月) 13:42:51)
  • 14 (2018-10-09 (火) 22:15:00)
  • 15 (2018-10-17 (水) 16:55:33)
  • 16 (2018-10-17 (水) 21:05:17)
  • 17 (2018-10-26 (金) 18:31:43)
  • 18 (2018-10-26 (金) 21:47:17)

---

• 追加された行はこの色です。
• 削除された行はこの色です。

「[[マイクロソフト系技術情報 Wiki>http://techinfoofmicrosofttech.osscons.jp/]]」は、「[[Open棟梁Project>https://github.com/OpenTouryoProject/]]」,「[[OSSコンソーシアム .NET開発基盤部会>https://www.osscons.jp/dotNetDevelopmentInfrastructure/]]」によって運営されています。

-[[戻る>OAuth#t8e931a5]]

* 目次 [#y9d6248c]
#contents

*概要 [#u2d822fd]
-OAuth 2.0 の脅威モデルとセキュリティ考慮事項 (RFC 6819)
-OAuth 2.0 の実装にあたり、脅威モデルとセキュリティ考慮事項を列挙
-セクション４以降からの内容で、[[OAuth]] 2.0 の前提は飛ばしている。

*脅威モデル [#j97033f0]
**[[Role毎>OAuth 2.0 Threat Model (Role)]] [#j86c8ad5]

**[[Flow毎>OAuth 2.0 Threat Model (Flow)]] [#if4ee696]

**[[Access毎>OAuth 2.0 Threat Model (Access)]] [#if4ee696]

*セキュリティ考慮事項 [#j8507837]
**[[General>OAuth 2.0 Security Considerations (General)]] [#c355bcce]
**[[Role毎>OAuth 2.0 Security Considerations (Role)]] [#k88abe91]

*ざっくり [#x01ebfce]
**対策 [#we5285d7]
***漏洩対策 [#ad4d0c5e]
-SSL/TLS（サーバ証明）を利用する。
-正規のClientへ発行されたトークンの漏洩に注意。
--code（state）：code置換攻撃が可能。
--access_token：access_tokenを利用可能。

***エンドポイント防御 [#t5962331]
-stateを付与・検証する。
-redirect_uri 検証を行う。
-クライアント認証を行う。

***トークン堅牢化 [#gaa9854b]
-低いエントロピーの値を使用しない。
-access_tokenを[[JWT]]化する。

***トークン検証 [#u8e4bfa7]
-（[[JWT]]化した場合、）Client、Resource Serverでも、

--署名検証する。

--クレームセット検証する。
---iss（issuer）~
issは署名検証があるので偽装困難
---aud（client_id）~
Resource Serverでもaudによるクライアント検証を行う。
---sub（ユーザID）~
ユーザへの明示に加え、~
Client、Resource Serverで認証済みリクエストでsub検証するなど。

-[[Authorization Serverを用いたaccess_token検証>OAuth 2.0 Token Introspection]] 
--署名検証する。

--クレームセット検証する。
---iss（issuer）
---aud（client_id）
---sub（ユーザID）
---jti（[[無効化>OAuth 2.0 Token Revocation]]状況）

--クレームセットをJSONで返却~
Client、Resource Serverで検証を容易にする。

***ユーザの教育 [#fa58c508]
-偽造サーバの識別
-組み込みブラウザに注意

**注意 [#e5ec5286]
***オープンリダイレクタ [#o43c7aa6]
-完全なredirect_uriの事前登録と検証
-スターターとアクセストークン・リクエストでのredirect_uriの要求

***自動再認証、認可画面非表示 [#c55f9143]
-悪意のあるクライアントと組み合わさる。
-その際のscopeなど注意が必要。

***クライアント登録機能 [#z5a20e1b]
悪意のあるクライアントが容易に登録可能。

***パブリック・クライアント [#l2c8db1d]
ネイティブアプリやJSアプリのようにsecretを秘匿に保てないタイプ。

-サーバより脅威が多い。
--盗難
--リエンジ
--ストレージ
--ウィルス
--脆弱性

-ネイティブの場合は、[[OAuth PKCE]]を利用する。

*参考 [#o592275c]
-RFC 6819 - OAuth 2.0 Threat Model and Security Considerations~
https://tools.ietf.org/html/rfc6819

-OAuth 2.0 Threat Model and Security Considerations~
http://openid-foundation-japan.github.io/rfc6819.ja.html

----
Tags: [[:IT国際標準]], [[:認証基盤]], [[:クレームベース認証]], [[:OAuth]]

     

Site admin: dotNetDevelopmentInfrastructure

PukiWiki 1.4.7 Copyright © 2001-2006 PukiWiki Developers Team. License is GPL.
Based on "PukiWiki" 1.3 by yu-ji. Powered by PHP 5.3.3. HTML convert time: 0.005 sec.