OpenID Provider のセキュリティ対策 (1) - まずは SSL を導入！話はそれからだ - Yet Another Hackadelicの続編です。 はじめに RP が認証アサーションリクエストである checkid_setup/checkid_immediate を行う際には通常は return_to と realm を指定しま…

やっと下準備終わったので書いてみる。OpenID でのプトロコルメッセージで、認証アサーション要求*1及び応答*2でのメッセージは通常、RP-OP 間で associate 時に交換した MAC キーを持って署名を行う為、期待する相手と通信している限りは改ざんは起こりにく…

結論から言うと、オレオレ証明書を使った場合に LWP::UserAgent + Crypt::SSLeay は明示的なエラーを吐き出すのではなく、レスポンスヘッダ Client-SSL-Warning を付与してアクセス結果を返します。*1 簡単にテストする場合 $ lwp-request -e -d https://bad…

d:id:ZIGOROu:20080805:1217923189 の続き。例えば先のエントリで書いたスクリプトで、https://wassr.jp/ にアクセスすると見事にオレオレ判定されちゃう訳ですが、これは単に中間CA証明書が手元にインストールされていないから起こる。 wassr の証明書を調…

後にも先にもセキュリティがメインテーマの集いでお話する事が無さそうな id:ZIGOROu です。他のスピーカが全員スーツで来る中、一人私服で来ると言う緊張感の無さ*1でしたが、実際は激しく緊張してましたｗ 7/5 Developers DAY – 事件は現場で起こっている……

こんな日が来るとはまったく夢にも思わなかった訳ですが、7/5 Developers DAY – 事件は現場で起こっている……セキュリティライフサイクルとマルプラクティス | Web Application Security Forum - WASForum にて OpenID のセキュリティについて講演します。 最…

Relying Party to Identity Provider redirect 悪意ある RP が discovery を偽って、ユーザーの入力した User-supplied Identifier から判別する OP EndPoint URL にはリダイレクトせずにそっくりなフィッシングサイトに行く可能性があるよねって話。 対策 …

Negotiating crypto keys associate の時に DH 鍵交換を行う際に潜む問題点です。 何が問題なのか In the original description, the Diffie-Hellman exchange by itself does not provide authentication of the communicating parties and is thus vulnera…

BlackHat USA (2007) で Eugene Tsyrklevich さんと Vlad Tsyrklevich さんがプレゼンした資料がオンラインで見れます。 OpenID: Single Sign-On for the Internet (PDF) で既に日本語でも紹介記事があります。 自分でも読んでみたので、逐一解説してみたり…

いわゆる man-in-the-middle attack って奴ですが精巧にデモを作った人がいました。 デモサイト 紹介記事 予め言っておきますが、デモサイトはフィッシングのデモなので素人は正しいパスワードは決していれない事。あるいは使わない事。*1試したけど、idthef…

第3回からだいぶ時間が掛かってしまいましたが、OpenIDの@ITでの連載の第4回目が公開されました。 頑張って書いたですよ、是非見て下さい！OpenIDをとりまくセキュリティ上の脅威とその対策 (1/3)：OpenIDの仕様と技術（4） - ＠ITこの記事ですが、大きくわ…

やっぱりサービス側で堅牢なパスワードをユーザーに強制する仕組みが無いと問題があるサービスと言うのはたくさんあるって事で、Perlで出来る限り簡単にそういう仕組みを作れないかなと。幾つかピックアップしてみました。 Data::Passwordモジュールを使う …

Replay Attackと言うのは、平たく言えばパスワードや暗号鍵、あるいは認証済みのセッションデータ等を再利用してそのユーザーになりすます攻撃の事を言います。パスワードが漏れるってのは論外だとして、OpenIDの場合はid_resモードのリダイレクトURLが盗聴…

wiki.openid.netのOpenID Wiki / OpenID_Phishing_Brainstormから。 フィッシングの流れ ユーザーは悪意のあるRP(Consumer)サイトに行くとOpenIDっぽぃログインフォームがある ユーザーはそのログインフォームに自分のIdentifier URLを入力 悪意のあるRPはユ…

自分用のメモです。 アカウントの自動収集 OpenIDの場合はIdentifierがURLなので、ユーザー名の収集は例えばGoogle検索などで行える。 http://www.google.co.jp/search?q=allintitle%3AIdentity+Page+for 例えばこういう感じですね。他のOpenID Providerのユ…

はじめに 僕自身がセキュリティに対する暗号化の知識が足りなさ過ぎたので、ここで思い切ってまとめてみようと思います。 HMAC-SHA1 Diffie-Hellman鍵共有 について主に述べます。 現代の暗号化技術について (via: wikipedia) 現代の暗号ってのは概ね２パタ…