「単なる OAuth 2.0 を認証に使うと、車が通れるほどのどでかいセキュリティー・ホールができる」のか検証してみた

車はカーシェア派てららプロフィール画像のトリミング⽅法

The problem with OAuth for Authentication. | Thread Safe (2012-01-29
John Bradley著) 単なる OAuth 2.0 を認証に使うと、⾞が通れるほどのどでかいセキュリティー‧ホールができる (Nat著) 今⽇話すこと

本当に⾞が通れるの？

親の顔よりも⾒たシーケンス（implicit ﬂow） UA Client AZ RS 連携開始認可リクエストURL リダイレクト本⼈確認
＆ Clientへのアクセス権限許可おけぺこー access_token access_token access_token

家と⾞に置き換えてみる UA Client AZ RS 家主家中古⾞販売店不動産会社
access_token ⾞庫の鍵

家と⾞に置き換えてみる家主中古⾞販売店 A 不動産会社家家の駐⾞場に⾞置きたいうちの店舗の証明書や⾞庫の鍵くれ
⾞屋の証明書持ってきたんで⾞庫の鍵くれ中古⾞販売店Aさんに⾞庫の鍵渡していいの？おけぺこーほな⾞庫の鍵や⾞庫の鍵⾞庫開けて⾞⼊れるでー

おや…？中古車販売店Aさんの様子が…？家主中古⾞販売店A 不動産会社家家の駐⾞場に⾞置きたいうちの店舗の証明書や⾞庫の鍵くれ⾞屋の証明書持ってきたんで⾞庫の鍵くれ
中古⾞販売店Aさんに⾞庫の鍵渡していいの？おけぺこーほな⾞庫の鍵や⾞庫の鍵⾞庫開けて⾞⼊れるでー中古⾞販売店Bはんに鍵渡したろ！

中古車販売店Bはんに鍵を渡してみるテスト中古⾞販売店A 中古⾞販売店B 不動産会社家主の家家の駐⾞場に⾞置きたいうちの店舗の証明書や⾞庫の鍵くれ⾞屋の証明書持ってきたんで⾞庫の鍵くれ
中古⾞販売店Bさんに⾞庫の鍵渡していいの？おけぺこーほな中古⾞販売店Aさんの⾞庫の鍵や家主の⾞庫の鍵⾞庫開けて⾞⼊れるでー中古⾞販売店B「中古⾞販売店Aさんの⾞庫だと思っていたのに、知らない家主さんの⾞庫だった件」

結果家主中古⾞販売店A 不動産会社家家の駐⾞場に⾞置きたいうちの店舗の証明書や⾞庫の鍵くれ⾞屋の証明書持ってきたんで⾞庫の鍵くれ
中古⾞販売店Aさんに⾞庫の鍵渡していいの？おけぺこーほな⾞庫の鍵や⾞庫の鍵⾞庫開けて⾞⼊れるでー

Q.E.D.

親の顔よりも見たシーケンス（Authz code ﬂow）家主中古⾞販売店A 不動産会社家家の駐⾞場に⾞置きたいうちの店舗の証明書や
⾞庫の鍵くれ⾞屋の証明書持ってきたんで⾞庫の鍵くれ中古⾞販売店Aさんに⾞庫の鍵渡していいの？おけぺこー鍵の受け渡し書を渡しといて鍵の受け渡し書鍵の受け渡し書⾞庫の鍵中古⾞販売店Aさんに直接鍵渡すからね

親の顔よりも見たシーケンス（Authz code ﬂow + state）家主中古⾞販売店A 不動産会社家家の駐⾞場に⾞置
きたいうちの店舗の証明書や⾞庫の鍵くれ⾞屋の証明書持ってきたんで⾞庫の鍵くれ中古⾞販売店Aさんに⾞庫の鍵渡していいの？おけぺこー pass付き鍵の受け渡し書を渡しといて pass付き鍵の受け渡し書鍵の受け渡し書⾞庫の鍵証明書に秘密の⾔葉付けとくから後で返してね秘密の⾔葉検証するぞ

親の顔よりも見たシーケンス（Authz code ﬂow + PKCE）家主中古⾞販売店A 不動産会社家家の駐⾞場に⾞置
きたいうちの店舗の証明書や⾞庫の鍵くれ⾞屋の証明書持ってきたんで⾞庫の鍵くれ中古⾞販売店Aさんに⾞庫の鍵渡していいの？おけぺこー鍵の受け渡し書を渡しといて鍵の受け渡し書鍵の受け渡し書とパスワード⾞庫の鍵証明書に不動産会社さん⽤のパスワード付けなあかんなったこのパスワードは確かに中古⾞販売店Aさんやな

親の顔よりも見たシーケンス（PAR、JAR、RAR）家主中古⾞販売店A 不動産会社家家の駐⾞場に⾞置きたい紹介状渡してくれ⾞屋から紹介状持ってきたっす中古⾞販売店Aさんに⾞庫の鍵１本と予備にも
う１本渡していいの？事前に紹介状書いてもらうのがPAR 依頼内容を検証できるのがJAR 家主さんの⾞庫の鍵くれ依頼内容は署名付きっす家主さん⽤の紹介状やおけぺこー鍵の受け渡し書を渡しといて中古⾞販売店Aが家主へのリクエスト内容を細かく指定できるのがRAR

親の顔よりも見たシーケンス（Authz code ﬂow + DPoP）家主中古⾞販売店A 不動産会社家家の駐⾞場に⾞置
きたいうちの店舗の証明書や⾞庫の鍵くれ⾞屋の証明書持ってきたんで⾞庫の鍵くれ中古⾞販売店Aさんに⾞庫の鍵渡していいの？おけぺこー鍵の受け渡し書書を渡しといて鍵の受け渡し書鍵の受け渡し書 + OTP登録⾞庫の鍵⾞庫の鍵を使う際にワンタイムパスワードを付与せないかんなった（公開鍵の例えむずい）所有者の検証ができるようになった⾞庫の鍵 + OTP

車庫の鍵だけで済めば良いけど… 家主中古⾞販売店A 不動産会社家家の駐⾞場に⾞置きたいうちの店舗の証明書や⾞庫の鍵くれ⾞屋の証明書持ってきたんで⾞庫の鍵くれ
中古⾞販売店Aさんに⾞庫の鍵渡していいの？おけぺこーほな⾞庫の鍵や⾞庫の鍵⾞庫開けて⾞⼊れるでーなんなら家の鍵も渡していい？って聞かれているケースもある（必要以上の権限要求）

そもそもここまで家主を当⼈認証していないよね

最初のシーケンスに立ち返ると家主中古⾞販売店A 不動産会社家家の駐⾞場に⾞置きたいうちの店舗の証明書や⾞庫の鍵くれ⾞屋の証明書持ってきたんで⾞庫の鍵くれ
中古⾞販売店Aさんに⾞庫の鍵渡していいの？おけぺこーほな⾞庫の鍵や⾞庫の鍵⾞庫開けて⾞⼊れるでーここまで、中古⾞販売店Aさんと家主は契約済みの状態だったなので家主のこと⾊々知ってます

親の顔よりも見たシーケンス（OIDC）家主中古⾞販売店A 不動産会社家不動産で家買ったから⾞置きたいのよねうちの店舗の証明書や不動産会社に⾞庫の鍵くれ⾔ってくれ⾞屋の証明書持ってきたんで⾞庫の鍵くれ
中古⾞販売店Aさんに⾞庫の鍵渡していいの？おけぺこー鍵の受け渡し書と家主との契約証明です鍵の受け渡し書と家主との契約証明不動産証明書⾞庫の鍵あんた、不動産会社と契約したてららさんやったんかー。不動産会社から貰った契約証明を持ってうちの契約も済ましとくわ。知らない⼈として来てみる

検証結果：昔は⾞が通れるけど、最近の不動産会社はしっかりしている

「単なる OAuth 2.0 を認証に使うと、車が通れるほどのどでかいセキュリティー・ホールが...

「単なる OAuth 2.0 を認証に使うと、車が通れるほどのどでかいセキュリティー・ホールができる」のか検証してみた

てらら

More Decks by てらら

Other Decks in Technology

Featured

Transcript