OAuthとOpenIDにセキュリティホール(脆弱性)、Facebookなどにも影響が
2014/11/09
1年以上前の記事です。内容が古い可能性があります。
世の中セキュリティホールありすぎなのでスルーしていたのですが、
やっぱり伝えておいたほうがいいと思ったので遅ればせながら記事立てました。
OpenSSL、DNSときて、今度はOAuthとOpenIDにセキュリティホール(脆弱性)です。
3つ揃ってフィーバーですね。
□ OAuthとOpenIDに深刻な脆弱性か–Facebookなど大手サイトに影響も – CNET Japan
OAuthとかOpenIDというのは、様々なSNSで共通したIDが使える仕組みです。
よく、Facebookアカウントでログインする、や、ツイッターアカウントでログインするなんてボタンのあるSNS見かけますが、それらはこの仕組みを使っているわけです。
で、具体的にはログイン用ポップアップ画面を偽装できる
とのこと。
つまり、以下の画面。
こんな奴ですね。
こいつを偽装することで、様々な個人情報を手に入れてやろうとそういう輩が出てくる可能性があるとのことです。
といったところで取れる対策を考えてみました。
まず、上記写真をしっかり見て下さい。そして、覚えて下さい。
で、もし、ツイッター以外のSNSをツイッターのアカウントでログインしようとした時に、
上記の表示とちょっと違うなあと感じたらログインしないで下さい。
それだけです。
より確実なのはURLをチェックすることですね。
URLが「https://api.twitter.com/oauth/…」だったら問題無いということになります。
なお、Facebookも基本同様のことに注意すればOKです。
Facebookの場合は以下の様な感じの表示ですね。
つまり、アプリの認証は慎重にしましょう。という話。
まあ、これはこれで終わる(本当?)のですが実は他にも色々ありまして。。
たとえばこんな話や
□ クラウドサービスのセキュリティが実にアレでとてもリスキーな件(山本 一郎) – 個人 – Yahoo!ニュース
こんな話も。
□ DNSソフト「BIND 9.10.0」に脆弱性、すでに障害事例も、修正バージョン公開 -INTERNET Watch
もう、ネット上に安全なんてありませんよ。自己責任、自己責任。
アドセンス広告メイン
関連記事
-
こんな漫画初めて読んだ「となりの関くん」が革新的に面白い
1年以上前の記事です。内容が古い可能性があります。書評ってのを何度かやらせていた …
-
はてブのFirefoxアドオンが連続してバージョンアップした訳
1年以上前の記事です。内容が古い可能性があります。Firefoxユーザーとしては …
-
エントリーって何?
1年以上前の記事です。内容が古い可能性があります。3月26日のエントリー「ブログ …
-
「iPhone 3GS」と「P905i」の写真の違い
1年以上前の記事です。内容が古い可能性があります。iPhoneを解約してからガラ …
-
最近フィルタを通過するスパムが多い
1年以上前の記事です。内容が古い可能性があります。イーセットスマートセキュリティ …
-
IGAS 2007にいってきました。
1年以上前の記事です。内容が古い可能性があります。最近殆ど印刷物をやっていないに …
-
デザインリニューアルの落とし穴
1年以上前の記事です。内容が古い可能性があります。9月17日にデザインリニューア …
-
Androidアプリ「Machin Chat」と「Real-チャット掲示板-」は電話番号を勝手に盗む
1年以上前の記事です。内容が古い可能性があります。「これは怖い」なアプリを二つほ …
-
ここは上野でも「神田っ子」。海鮮と煮物が旨い
1年以上前の記事です。内容が古い可能性があります。ちょっと身辺あわただしく、東京 …
-
ブログ→ツイッター→Facebookの自動連携やめました
1年以上前の記事です。内容が古い可能性があります。今までは、ブログ→ツイッター連 …