ClickJacking関連:後半は流し読みレベル。
- IPAから「クリックジャッキング」に関するレポート出ました | 徳丸浩の日記
- 情報処理推進機構:IPA テクニカルウォッチ:知らぬ間にプライバシー情報の非公開設定を公開設定に変更されてしまうなどの『クリックジャッキング』に関するレポート
- Clickjacking - OWASP
- SecTheory - Internet Security
- CSRF, Clickjacking, and the Role of X-Frame-Options » Neal Poole
- Attack and Defense Labs: Bypassing CSRF protections with ClickJacking and HTTP Parameter Pollution
- My InfoSec Ramblings: XSS vs CSRF vs ClickJacking
- hackademix.net » Clickjacking and NoScript
OAuthのConsumerKey/ConsumerSecretの扱いについて:
- Authentication & Authorization | Twitter Developers
OAuth 1.0aベース:
- Obtaining access tokens | Twitter Developers
Application-only authentication : OAuth 2.0, Client Credentials Grant を実装
- Application-only authentication | Twitter Developers
xAuthに関連して、OAuthでは3-leggedと2-leggedと呼ばれる二種類がある。
- 3-legged : EndUser - Consumer - ServiceProvider の3者が関連する、OAuth Coreで定められているフロー。
- 2-legged : Consumerが特にEndUserと紐付かない状態でServiceProviderを利用するために OAuth Consumer Request という名前で拡張されたフロー。
- Implementers' Draft: OAuth Consumer Request 1.0 Draft 1
- OAuthの仕様について 〜署名?それっておいしいの?〜 - Yahoo! JAPAN Tech Blog
- OAuth Consumer Request の処理フローと実装 | Weboo! Returns.
- OpenSocialのOAuthまとめ – Tender Surrender
- 2-legged OAuthによるAPIアクセス << mixi Developer Center (ミクシィ デベロッパーセンター)
今現在ホットなConsumerKey/ConsumerSecretのモバイルやデスクトップアプリケーションでの取り扱い周り
- create desktop application | Twitter Developers
- How do I store the OAuth v1 consumer key and secret for an open source desktop Twitter client without revealing it to the user? - Programmers
TwitterのConsumerKeyガー、ConsumerSecretガー、と騒動になった件の、顛末らしきまとめ。
単純にConsumerKey/Secretが漏洩しただけでは危険とは断定できなくて、ServiceProvider側のcallbackの取り扱いであるとか、認可画面のClickJacking対策とかが絡みあって結果として脆弱な状態になってたみたいです。下手に状況を説明するとどこかで間違ってる可能性があるので詳しくは上のmalaさんとかritouさんのGist読む。
Twitterの件が関連してたのかどうか分かりませんが、ClickJackingの話もタイムリーにIPAから出て来ましたので、これを機会に色々と復習します。
プレーンテキスト形式でダウンロード