[過去ログ] WWWC part5 (1002レス)
上下前次1-新
抽出解除 レス栞
このスレッドは過去ログ倉庫に格納されています。
次スレ検索 歴削→次スレ 栞削→次スレ 過去ログメニュー
315(1): 2011/09/17(土)08:58 ID:OPz+3HSY(4/5) AAS
アプリケーションを登録すると、client credentials (client identifier
と client secret) が発行されるわけだけど、この内 client secret は
文字通り秘密にすることが求められている。
これらの情報が第三者の手に渡った場合、そのアプリケーションになりすます
ことが可能になる。
この場合、利用者は不正なアプリケーションを信頼ある著名なアプリケーション
だと誤認し、意図に反する認可を与えてしまう危険性が生じる。
とはいえ、実際に利用者の保護されたデータにアクセスするためには、
改めてアプリケーションに対する認可が必要になるわけで、
単にアプリケーションがなりすまされただけでは、ただちに利用者に
省8
423: 2013/02/28(木)12:31 ID:bqB8s0PO(1/3) AAS
>>315
フィッシング? - Togetter
外部リンク:togetter.com
client credentials の公開は危険なのかなあ。
でも、任意のアプリを自動的に認可させるこの攻撃が成立するとするなら、
他のアプリの client credentials を窃用する必要はなく、
自前で登録した client credentials で構わないはずで、
攻撃に対して致命的というわけではない気がする。
ただ、既存アプリの振りをすることで露見しにくくなり、また被害ユーザが
発見した際、常用アプリでは認可取り消しができないという効果はあって、
省6
上下前次1-新書関写板覧索設栞歴
スレ情報 赤レス抽出 画像レス抽出 歴の未読スレ AAサムネイル
ぬこの手 ぬこTOP 0.029s