OAuth 2.0のstateについて
広告
おーすさん
(No.1)
OAuth 2.0ではCSRF対策でstateパラメーターを設定するようですが
stateパラメーターを攻撃者に取得されればCSRF対策にならないのではないでしょうか?
stateパラメーターを攻撃者に取得されればCSRF対策にならないのではないでしょうか?
2023.09.30 09:25
初受験さん
(No.2)
サービス側がstateパラメタを送る際にセッションとstateパラメタを紐づけてサービス側で保存するみたいです。攻撃者がstateパラメタを取得してそれを含んだ認可コードを攻撃対象者が送ってもサービス側で保存されていないセッションであり紐づくstateパラメタが無いので異常となるのではないでしょうか?
初心者がちょっと調べただけの回答なので正しい回答はベテランの方が降臨するのを祈ってください・・・
初心者がちょっと調べただけの回答なので正しい回答はベテランの方が降臨するのを祈ってください・・・
2023.09.30 23:46
aoyama414さん
(No.3)
試験なので、あくまで限られた問題で行われています
試験問題はstateだけで大丈夫ですよ
それ以上に突っ込むと実務上セキュリティ対策などになってしまい学習が複雑化します
ちなみに
stateパラメータでも簡単には攻撃者が取得できないようになっていますので、CSRF対応ができます
さらにstate以外ものを組み合わせて利用することによってCSRF対策がより強くなります
「stateパラメーターを攻撃者に取得する場合」とは何でしょう
何かを想定したのならば、それに対策を考えてみるのも良い勉強になります
試験問題はstateだけで大丈夫ですよ
それ以上に突っ込むと実務上セキュリティ対策などになってしまい学習が複雑化します
ちなみに
stateパラメータでも簡単には攻撃者が取得できないようになっていますので、CSRF対応ができます
さらにstate以外ものを組み合わせて利用することによってCSRF対策がより強くなります
「stateパラメーターを攻撃者に取得する場合」とは何でしょう
何かを想定したのならば、それに対策を考えてみるのも良い勉強になります
2023.10.01 18:24
ぴくしぃさん
(No.4)
横から失礼いたします。
ここ最近OAuth2.0を題材とした出題が続き、前回はPKCEにおける具体的な検証方法を問う出題まであったので、今回はCSRF対策を絡めた出題はかなりあり得るような気がしてきました…
試験直前ですが、改めて勉強してみます。
ここ最近OAuth2.0を題材とした出題が続き、前回はPKCEにおける具体的な検証方法を問う出題まであったので、今回はCSRF対策を絡めた出題はかなりあり得るような気がしてきました…
試験直前ですが、改めて勉強してみます。
2023.10.02 12:47
広告
返信投稿用フォーム
スパム防止のためにスレッド作成日から30日経過したスレッドへの投稿はできません。
広告