OAuthの秘密リダイレクトの欠陥はMYDIGIPASS.COMに影響しません

レスポンスID vasco-sr-20140505-oauth

改訂番号 1.0

リリース日 2015年5月5日午前10:57 UTC + 1

最後の更新 2015年5月5日午前10:57 UTC + 1

概要

Covert Redirectは、アプリケーションサービスプロバイダー(ASP)によるOAuthの実装におけるセキュリティ上の欠陥であり、攻撃者は欠陥のあるASPを持つアカウントを持つユーザーの個人データを取得することができます。MYDIGIPASS.COMは秘密リダイレクトの欠陥から安全です。

OAuthとは何ですか?

OAuthは、承認のためのオープンプロトコルです。OAuthは、サードパーティのアプリケーションがユーザーアカウントへのアクセスを取得することを承認するプロセスを指定します。

コバートリダイレクトとは何ですか?

Covert Redirectは、アプリケーションサービスプロバイダー(ASP)によるOAuthの実装におけるセキュリティ上の欠陥であり、2014年5月2日に最初に公開されました。
OAuthプロトコルでは、ASPのWebサイト(example.comなど)が、認証プロバイダーのWebサイト(mydigipass.comなど)に承認リクエストを送信します。このリクエストには、https://ASP.com/redirect/?&original_page = https://ASP.com/myprofileなどのURIが含まれています。認証プロバイダーは、ユーザーに認証プロバイダーのドメインにログインするように求め、次にASPのWebサイト(example.com)に認証コードを発行します。この認証コードは、認証リクエストから提供されたURIにユーザーのブラウザーをリダイレクトすることにより、認証プロバイダーからASPのWebサイトに渡されます。
ASPが攻撃者によって選択されたWebページへのオープンリダイレクトを許可している場合、秘密リダイレクトの欠陥が存在します。この場合、攻撃者は不正なWebサイトにリダイレクトするURIを認証要求に挿入し、ASPはそれにリダイレクトします。たとえば、URI https://example.com/redirect/?&original_page=https://evil.com/myprofileにより、欠陥のあるASPがユーザーのブラウザをhttps://evil.com/myprofileにリダイレクトし、これにより悪質なWebサイトは、その後、ユーザーの個人データにアクセスする可能性があります。

秘密リダイレクトの影響は何ですか?

攻撃者は、秘密リダイレクトのセキュリティ欠陥を悪用して、認証プロバイダーが発行した認証コードを取得する可能性があります。この認証コードは、認証プロバイダーによって保存されたユーザーのアカウントデータにアクセスするために使用される場合があります。このデータは、その後さらに悪意のある目的に使用される可能性があります。

MYDIGIPASS.COMは秘密リダイレクトに対して脆弱ですか?

いいえそうではありません。
MYDIGIPASS.COMは2つのチェックを実行して、この問題の影響を受けないようにします。

まず、MYDIGIPASS.COMは、OAuthに関するIETFのセキュリティ推奨事項に従って、ASPの承認要求のURIがそのASPのMYDIGIPASS.COMの構成設定のURIと正確に一致するかどうかを確認します。これにより、MYDIGIPASS.COMがASPのドメインにリダイレクトされるだけでなく、ASPによってMYDIGIPASS.COMに登録された特定のWebページのみにリダイレクトされるようになります。

次に、MYDIGIPASS.COMは、承認の一部としてアクセストークンを要求するときにASPを認証します。ASPは、自身を認証するために、クライアントシークレットをMYDIGIPASS.COMに提供する必要があります。不正なASPはクライアントシークレットを提供できません。つまり、MYDIGIPASS.COMユーザーの個人データにアクセスできません。

法的放棄声明

本書に記載されているすべての内容と情報は、表現または保証がなく、明示的または黙示的な保証なしに、「現状のまま」かつ「入手可能な」状態で提供されます。完全性または適合性、または商品性または特定の使用または目的への適合性の保証を含む、いかなる保証。このドキュメント、提供された情報、またはこのドキュメントからリンクされている資料の使用は、ユーザー自身の責任で行ってください。VASCOは、このドキュメントの情報をいつでも、その裁量で、新しい情報または追加情報が利用可能になったときに変更または更新する権利を留保します。 

 

Copyright©2014 VASCO Data Security、Inc.、VASCO Data Security International GmbH。全著作権所有。

O OAuthの秘密リダイレクトの欠陥はMYDIGIPASS.COMに影響しません