OAuthとOpenIDに脆弱性？

あるAnonymous Coward 曰く、　OAuthとOpenIDに脆弱性が発見されたとCNET Japanが伝えている。これによると、「影響を受けるサイトのドメイン上でログイン用ポップアップ画面を偽装できる」という。このポップアップ画面でユーザーがログインやユーザー情報の提供や外部アプリからの操作を許可する操作を行ってしまうと、悪意のあるサイトにその情報などが送られるとともに、操作に関わらず悪意のあるサイトへの誘導も行われてしまうという。

　OAuthやOpenIDを認証に使っているサイトは多くあるが、記事によるとその1つであるFacebookはこの問題の修正は難しいとしているという。また、Microsoftは自社サイトでの影響はないとしているという。

　CNETの記事にはあまり詳細な情報がないのだが、発見者による解説によると、Webブラウザを使った認証時/認証後に任意のURLにリダイレクトできるという脆弱性（オープンリダイレクト）を使ったもののようだ。

　この件について、「第二のHeartbleed問題だ」などと煽る話もあるが、Symantecはそれについて明確に否定している。Symantecによると、この問題はサービスプロバイダ側のOAuth処理の実装にあり、また攻撃を行うためには問題のあるアプリケーションを探したうえでさらにユーザーの「同意」が必要であることから、Heatbleedのように無制限に外部から情報やアクセス権を奪取できるものではないとしている。技術的背景については宮川達彦氏のブログやTogetterまとめも参考になる。

　スラッシュドットのコメントを読む | セキュリティセクション | セキュリティ

　関連ストーリー：
認可プロトコル OAuth にセキュリティホール見つかる 2009年04月27日
OpenIDは受け入れられるだろうか? 2007年05月11日