新・元地方の中規模印刷会社で苦悩するWebデザイナー改めWebディレクターの日記

自由な20代、窮屈な30代を経て、遂に40代になっちまったWebディレクター&パソコン講師の覚書と思う言(こと)。略称【ちほちゅう】

*

OAuthとOpenIDにセキュリティホール(脆弱性)、Facebookなどにも影響が

      2014/11/09

  • このエントリーをはてなブックマークに追加

1年以上前の記事です。内容が古い可能性があります。

世の中セキュリティホールありすぎなのでスルーしていたのですが、
やっぱり伝えておいたほうがいいと思ったので遅ればせながら記事立てました。
OpenSSLDNSときて、今度はOAuthとOpenIDにセキュリティホール(脆弱性)です。

3つ揃ってフィーバーですね。

□ OAuthとOpenIDに深刻な脆弱性か–Facebookなど大手サイトに影響も – CNET Japan

1c09f995a6e25a00fc0ca8f3f7d1567d_m
 

スポンサーリンク
 

OAuthとかOpenIDというのは、様々なSNSで共通したIDが使える仕組みです。
よく、Facebookアカウントでログインする、や、ツイッターアカウントでログインするなんてボタンのあるSNS見かけますが、それらはこの仕組みを使っているわけです。

で、具体的にはログイン用ポップアップ画面を偽装できるとのこと。
つまり、以下の画面。
CtrlTwit03
こんな奴ですね。
こいつを偽装することで、様々な個人情報を手に入れてやろうとそういう輩が出てくる可能性があるとのことです。

といったところで取れる対策を考えてみました。
まず、上記写真をしっかり見て下さい。そして、覚えて下さい。
で、もし、ツイッター以外のSNSをツイッターのアカウントでログインしようとした時に、
上記の表示とちょっと違うなあと感じたらログインしないで下さい。
それだけです。

より確実なのはURLをチェックすることですね。
URLが「https://api.twitter.com/oauth/…」だったら問題無いということになります。

なお、Facebookも基本同様のことに注意すればOKです。
Facebookの場合は以下の様な感じの表示ですね。
Flickr→facebook03

つまり、アプリの認証は慎重にしましょう。という話。
まあ、これはこれで終わる(本当?)のですが実は他にも色々ありまして。。

たとえばこんな話や
□ クラウドサービスのセキュリティが実にアレでとてもリスキーな件(山本 一郎) – 個人 – Yahoo!ニュース
こんな話も。
□ DNSソフト「BIND 9.10.0」に脆弱性、すでに障害事例も、修正バージョン公開 -INTERNET Watch

もう、ネット上に安全なんてありませんよ。自己責任、自己責任。 

 - Facebook(フェイスブック), セキュリティ, レビュー・レポート ,

アドセンス広告メイン

Message

メールアドレスが公開されることはありません。

  関連記事

春の熊谷散策(サイクリング編)

1年以上前の記事です。内容が古い可能性があります。去年も桜の季節に散歩してきまし …

ヤマダ電機の「ヤマダイーブックサイト」7月31日で閉鎖。購入した電子書籍は全て無駄に(当初)

1年以上前の記事です。内容が古い可能性があります。これはちょっと。。 □&nbs …

バズドラ(パズル&ドラゴンズ)のニンテンドーDS(ニンテンドー3DS)版登場!

1年以上前の記事です。内容が古い可能性があります。あ、今日はもう2日になっちゃっ …

no image
印刷業の街、小石川で起きた惨劇について

1年以上前の記事です。内容が古い可能性があります。□一家3人死亡、3人重傷=包丁 …

バーチャルキーボードで未来のインターフェース実現へ

1年以上前の記事です。内容が古い可能性があります。レーザーでキーボードを再現する …

ソフトバンク「iPhone 5」で余計なサービスを解約する方法(UULA[ウーラ]編)

1年以上前の記事です。内容が古い可能性があります。ソフトバンク「iPhone 5 …

ツイッター(Twitter)に国境。国ごとに不適切発言をブロック

1年以上前の記事です。内容が古い可能性があります。リアルの世界に国境があるように …

iPhone(アイフォーン)が無くなって困ったこと

1年以上前の記事です。内容が古い可能性があります。去年の暮れに無くしていたiPh …

YouTube大赤字でGoogle成長にブレーキ

1年以上前の記事です。内容が古い可能性があります。いまや知らない人はいない動画投 …

Facebook「いいね!」に加えて「読んだ」「聴いた」「見た」ボタン導入か?

1年以上前の記事です。内容が古い可能性があります。Facebook(フェイスブッ …

血液型オヤジ