はてななどの各社担当者が自作サーバーのノウハウを紹介 -BB Watch変更する
http://bb.watch.impress.co.jp/docs/news/20091126_331459.html
↓
http://bb.watch.impress.co.jp/docs/news/331459.html

上記の記事は471usersを集めているが、

リダイレクト先は勿論0user、つまりブクマ無しとなってしまう。

せっかく記事を見つけてブコメも閲覧しようにも見られないのだ。

ではImpress Watchの全過去記事が新URLになっているかと言うとそうではなく、

調べるとPC Wacthでは2009/04/08の記事から変更されているようだ。

■リダイレクトされない
富士通フロンテック「FLEPia」試用レポート
http://pc.watch.impress.co.jp/docs/2009/0407/fujitsuf.htm

■リダイレクトされる
Acer、初のNVIDIA ION ベースの超小型デスクトップ「AspireRevo」
http://pc.watch.impress.co.jp/docs/2009/0408/acer.htm
↓
http://pc.watch.impress.co.jp/docs/news/110556.html

つまり、2009/04/08〜2016/06/01の7年2ヶ月のブコメは簡単に参照できなくなった。

これは膨大なブコメ資産が失われたと考えている。

同様の問題はWikipediaのhttps化の時も発生している。

Impressと言えば新聞社等のニュース配信と異なり、過去の記事も削除されることなく

長期保存(最古は96年4月:http://pc.watch.impress.co.jp/docs/article/960417/index.htm)されているので

その事実にはただただ感謝するしかなく、今回のURL変更に文句を言うつもりもない。

ただWikipediaのhttps化の時と同様の話ではあるが、

比較的規模の大きなサイトがURL 構造を変更してリダイレクト対応を行った際には、

はてなブックマーク運営側においては別URLの提示を示す等の対応を行って頂きたい。

(詳しく知らないが、これは過去のはてブデータベースに対して何らかの書き換えや追記等の作業が発生するかもしれない)

はてな運営に要望しても無駄なのは知ってるけど。

Permalink | 記事への反応(4) | 08:46

2016-04-26

■anond:20160426145507 の続き

anond:20160426124418 と anond:20160426145507 の続きだゾ。てか長えよ

(略: トークンが定期的に期限切れになるので可用性が下がる。たとえばビデオカメラから複数の動画をアップロードしている途中で切れたらムキーってなる。再認証して途中からできるのもそれはそれで CSRF の温床。AFCP のような場合は期限切れがあってはならないので、パスワード等を預かる認証プロキシの SaaS アプリを筆者は作った。好評だったが、これはもちろん本来あるべきでない欠陥のexploitのはず。)

(略: 個人ユーザ向けのAPI 設計ばかりで、雇用者や上司がアカウントを管理するという観点がない。SAMLでは普通にできるのに、OAuthとなるとセキュリティ的に云々と言って拒むサービスばかり。別のUIで既にできてることをAPIにしても意味がない。これまでできなかったことをAPIで可能にするのではなく、単なるシングルサインオンでよければ他にある。実際Googleは個人向けにはOAuthを活用しているが、Google Apps for BusinessはOAuth以外のシステムを使っている。)

(略: 主要な設計ミスは、外部サービスすべてを同等に疑うところ。管理者が各サービスの信用性を判断して権限を調節できるようにしないところ。これまでどれほど多くの製品がOAuthの面倒さのために失敗してきたことか。)

「普通の実装における」OAuth の代替品

適切な OAuth ベースの設計とはどのようなものか

ここまでで「普通の実装における」OAuth がまったくおかしいということはわかりましたが、OAuth が実際うまくいくのはどういうときでしょうか。

初期の OAuth 規格および概念におおよそ付き従っているシステムは一般的に言って、新しい規格ベースのよりもセキュアで、マシです。OAuth 1.0 の実装がすべてセキュアだというのではありませんが、たいてい問題は少ないです。こうしたシステムは通常、次のふたつのアプローチのどちらかに従っています:

ユーザが自分のアカウントに直接アクセストークンを生成できるようになっており、そのトークンを自分の統合したいソフトウェアに自分で施すことができるので、ばかげた要求や危険な転送やリダイレクトを回避できる。
client_secret が、一般的なパスワードのように平文のまま渡されるデータとして機能するのではなく、それ自体では暗号学的な共通鍵であり、そこから認証コードを生成するようになっているシステムなので、ばかげた要求や危険な転送やリダイレクトを回避できる。この種のシステムでは一般的に、ユーザが自分の認証情報さえ持っておらず、SSO (シングル・サインオン) の仕組みを使うだけである。

とはいえ、このように設計されている OAuth ベースのシステムはごくごく希少で、しかも一般的にこうしたシステムは、他のところで使われている OAuth とは似ても似つかぬものです。OAuth 1.0 規格の方に寄って頑張っていますが、公式には 1.0 は非推奨ですから、こうしたアプローチを使っているシステムはそのうち「アップデート」されて OAuth 2.0 の概念や追加機能すべてを加えて再構築され、セキュリティやユーザビリティをだめにしてしまうことになります。これこそ筆者があらゆる OAuth ベースのものを見逃したくない理由です。もっと古く、もっと機能的な形式の OAuth を使っていても、システムに「改善」が必要だという素敵な考えを管理者のだれかが閃いて台無しにしてしまうからです。ご迷惑をおかけしてすみませんと言うぐらいなら、まったく別のものを使うほうが良いですよね。

他の選択肢

他に手はないかと探すとき、人々はよく他の「フレームワーク」にはどんなものがあるかを知ろうとします。しかし、考え抜かれたセキュアな設計を実現するためには必ずしもフレームワークが必要というわけではありません。現状、OAuth とはどのようなものかについての意見はサービスごとに異なっていますので、承認の具体的な動作の仕組みもまったく一定ではありません。そんな中でフレームワークを探しまわるのは、簡単にできることをいたずらに複雑化しているだけのことが多いです。唯一ほんとうに難しい要素、しっかりした規格の必要な要素は、使用する鍵パラメータの改竄を防ぐため変数に署名する方法だけであり、この点に関して、ほとんどの OAuth ベースの実装は一切何もしてくれません。

ウェブサービスの最大手である Amazon は、世界中の企業にサービスを提供する一流プロバイダで、合計 30% 以上という途方もない市場シェアは他者を圧倒しています。Amazon のアプローチは、自分でアプリの認証情報を生成できるコントロールパネルへのアクセスを、すべてのアカウントおよびアカウント管理者に提供することです。この認証情報で、どの Amazon サービスで作業できるか、そのサービスでどの操作を実行できるか、どの権限で作業しなければいけないかを指定できます。この認証情報は必要に応じて「アカウントホルダ」の人が破棄することもできます。

Amazon の API における認証や承認技術には、本質的に制限が多く潜在的に危険性のあるリダイレクトを一切必要としません。Amazon のプロトコルで認証情報は、直接送ることは一切なく、データの署名に使うのであって、これでブラウザを通してパラメータを送る必要のあるときにも改竄不可能にすることができるのです。

Amazon の設計はアカウントの利用状況を API の利用まで適切に把握できますし、API の認証も承認もすべて Amazon 側からスタートし、その際のアプリ認証情報も「Amazon の」コントロールパネルから生成されます。この認証情報はその後、いかなるトークン交換システムも使わず直接 API プロセスで使われます。この設計なら「普通の実装における」OAuth が達成している真のセキュリティ目標をすべて達成し、かつ前述したセキュリティ上およびユーザビリティ上の問題をすべて回避しています。

ひとつ言及せざるをえない短所は、Amazon の権限システムが幾分わかりにくく、あまりユーザに優しくないということです。ただし、このことは何故かほとんどのコントロールパネルにも言えることで、いずれにせよ UI 設計の問題であって、承認プロセス自体の失点ではありません。さらに、Amazon のコントロールパネルはかなりキビキビ使えて、それ自体の API でも使えます。この点たとえば Google の場合のように、筆者の知る限りメタ API もなく、何をするにも何十もの手順が必要なのとは大違いです。

Amazon の認証および承認メソッドは他のサービスプロバイダにも幾つかコピーされています。Google 自身も企業向け製品の一部でこれを利用できるようにしています。Google 自身、純粋な OAuth 設計は企業サービスに向いていないことを認めており、企業サービスには JSON Web Tokens (JWT) の利用を推奨しています。

JWT はサービス間の SSO や API 利用を可能にする規格です。多くの点で JWT は SAML に似ていますが、SAML はややこしくて、XML Security (名前と違って、まったくセキュアではない) の上に構築され、API 利用に向いていないのに比べ、JWT は SAML の主要な目標を、単純かつ使いやすい方法で一切の面倒なく達成しています。HMAC 実装をひとつ用意し、JSON の構築と解析の方法を知っておけば JWT は使えます。既製品をお求めでしたら、膨大な JWT ライブラリが既に存在していますよ。

ただ Google の場合、典型的な JWT 利用法よりも高度で、HMAC のかわりに、もっと高度ですがこの分野では人気の低い RSA デジタル署名を利用するよう要求しています。Google のコントロールパネルではアカウント管理者が自分の企業サービス用に新しい鍵ペアを生成でき、API ログインを署名するために使う秘密鍵をダウンロードできます。こちらのほうが HMAC よりセキュリティは高いですが、Google はプロセス全体を本当に無駄に複雑化しています。コントロールパネルをしょっちゅう完全に再設計して、前と同じことをしたいのに使い方が違っていて混乱する点は言うまでもありません。JWT 利用の実例が必要なら他をあたるようお勧めします。

他に使われている技術は、サードパーティがどんな権限を必要としているかをある種の XML や JSON ファイルで定義してウェブサイトに送信できるようにするサービスのものです。ユーザがあるページを自分のアカウントで訪問し、ファイルの URL (あるいは中身) をそこに貼り付けると、その外部サービスあるいはアプリが求めている権限の一覧やそこに含まれる説明などが表示されるようになっています。それを見て認可したいと思うユーザは、認証情報を生成してそのサードパーティのアプリあるいはサービスに貼り付けます。ユーザは後で無効にしたくなったら認証情報を破棄することができます。これも、開発者におかしな負担を強いることなく、すべてのアカウントに API サービスがあり、権限管理を備え、サービス自体からフローが始まる、実にセキュアな設計です。

承認管理のためにサービス側から提供してもらう必要が本当にあるのは、適切な役職 (管理者やアカウント所有者など) を持つユーザが自分に割り当てられた権限や (望むなら) 期限を持つ認証情報を API 利用のために生成できる何らかのパネルだけです。こうした認証情報はその後、お好みのセキュアな認証システムを通して利用することができます。たとえば HTTP Basic Authentication over HTTPS のような単純なもの、これは事実上どの HTTP ライブラリにも入っていますし、HTTP Digest Authentication、これはもっとセキュアでありながらほとんどの良質なライブラリでサポートされていますし、その他 HMAC, RSA, 楕円関数など認証情報をネットに通す必要のない暗号学的テクノロジーを活用した認証プログラムに基づくものなら何でも使えます。特に HMAC は、承認や認証を実装するほとんどすべての人 (Amazon や、一部の OAuth 実装も含む) によって既に使われています。

こういった種々の実績あるテクニックは、セキュアなプラットフォームを作るために CSRF 対策など複数のフレームワーク同士の相性を勉強する必要があるという重荷を軽くしてくれますし、一般的に、既存アーキテクチャにワンタッチで装着できるようなモジュール化の実装が可能です。ユーザやアプリの認証情報が盗まれる可能性をなくしてくれます。ややこしい CSPRNG を常に使用する必要もありません。このようなシステムは OAuth の生まれるずっと前から存在しており、現在でも一般的です。OAuth は、ユーザの認証情報を要求したり他に弱点があったりするような一部の劣悪な設計のシステムよりはセキュリティが良いかもしれませんが、既にある真の設計を置き換えるものではありません。OAuth が解決すると主張する問題点は実のところ、既存の良く設計されたシステムには存在していませんし、「普通の実装における」OAuth は実のところ、解決すると主張する問題の多くを招き入れるばかりか、最初は存在していなかった問題まで生じさせています。宣伝文句と違って、OAuth にすれば自然と驚くほどセキュアになるというわけではなく、むしろ数々の短所や実装の困難さを考えれば、他の考え抜かれた選択肢のほうがはるかに優れています。

これからサービス設計をして API アクセスを提供することになっている方はどうか、ご自分が実現しようとなさっているのが何なのかを本当に考えてください。他の人がやっていることをコピーするだけで済ませたり宣伝を丸呑みしたりしないでください。どうしてもコピーしなければいけないなら、Amazon (これが最善です) や Rackspace, IBM SoftLayer, Linode, VULTR, Zoho, Zoom ほか、API の素直で健全な認証システムを構築する方法について現時点で多少なりとも理解のあるところをコピーするようにしてください。

2016 年 4月 Insane Coder

http://no-oauth.insanecoding.org/

Permalink | 記事への反応(2) | 15:03

■anond:20160426124418 続き

プレビューまでは全文見えるんだけどな。すまんやで。しかもまだ続く anond:20160426150324

anond:20160426124418 の続き

おそらく、上記のサービスを使っているシステムのうち、この問題のせいで悪用可能なものは多数あることと思います。特にデスクトップアプリでは、コンパイルされたアプリのバイナリから秘密情報がそのまま取り出せることは、サービス側で何も危険なことを要求していなくてもよくあります。Google が OAuth の使い方を多数提供しているうちで、client_secret と redirect_uri を両方受け取るエンドポイントのことが書いてあるのはたったひとつだけだというのは重要な点です。少なくとも Google の場合、redirect_uri があっても、このエンドポイントをウェブブラウザベースのアプリには推奨していません。しかし、だからといって実際に独自ブラウザでそれを使う人や、このフローを標準的なブラウザ用のエンドポイントにコピーする人が一切いなくなるはずがありません。それに加え、Google は例外なのであって、世の中にはセキュアな OAuth フローを受け入れず client_secret (や同等品) を常に渡すよう要求する愚かなサービスが今も満ちあふれており、そのフローがウェブブラウザを通るときでさえも要求しているのです。さらに悪いことに、こうしたサービスの多くはユーザのウェブブラウザを通して「しか」利用できないのですが、これは後ほど詳述します。

前掲のセキュリティ文書は、アプリの認証情報 (client_id と client_secret) を盗んだ人ができる悪行にいくつか言及しています。以下に、この攻撃と組み合わせることで (これまで筆者の知る限り公表されていない) 危険行為を実行可能にする問題をいくつか取り上げます。さらに皆様の独創性にかかれば、「秘密」のはずのものを盗んだ人が悪用できる方法は他にも発見できるはずです。

セキュアでないトークン

トークンベースの認証は多くの開発者にとって新しい概念です。そのため誤解も多く、EVS のようなものを設計する開発者の中にも、ただ何かの設計ガイドライン (たとえば OAuth) に従って API の動作を決めれば、あるいは他のプラットフォームのしていることをコピーすれば、自分のプラットフォームも自動的にセキュアになるはずだと考える人が少なくありません。しかし何かをセキュアにするには、その要素ひとつひとつを余さずセキュアにする必要があり、それらの組み合わせすべてをセキュアにする必要があり、全体の枠組みもセキュアにする必要があります。思い出してください、全体のセキュリティ強度はその弱点の強度に等しいのですから、何らかの大まかなフレームワークを固守することだけに頼りきって、その通りに使う限り何をやってもセキュアだ、などと安心するわけにはいきません。OAuth ベースのフレームワークそれ自体は、その内部要素のセキュリティを確保することに関しては殆ど何もしてくれません (ある種の要素で、あからさまにセキュリティを害するものだけは別)。

トークンベースのシステムで少しでもセキュリティらしさを出すには、最低でもトークン生成に暗号学的にセキュアな擬似乱数生成器 (CSPRNG) を使う必要がありますが、この話題はあまりよく理解されていません。さらに悪いことに、一般的なスクリプト言語の適切な CSPRNG 用 API は非常に少なく、しかしそうしたスクリプト言語が、人気ある最新サービスの多くを設計する際の基礎となっていることが多いのです。

もし生成されるトークンが予測可能であれば、攻撃者はトークンを推測するだけで別のユーザになりきって悪意ある行為をすることができてしまいます。筆者は、fortune 500 クラスの大企業による OAuth ベースなサービスが一種の単調増加 ID (おそらくデータベースのフィールド？) をそのままトークンに使っているのを見たことがあります。他にも、生成されるトークンがすべて単調関数の出力のようなサービスもありました。よく調べてみると、それは現在時刻に基づく非常に単純なアルゴリズムでした。こうしたシステムでは、まず自分としてログインし、現在のトークン ID を見て、その後の ID を予測すれば、続く任意のユーザになりかわってトークン交換その他の操作にそれを使うことができるでしょう。他のテクニックと組み合わせれば、もっと標的を絞った攻撃も可能です。

このクラスの攻撃は前述のセキュリティ文書で「4.5.3. オンライン推測による新規トークン取得の脅威」や「4.6.3. アクセストークン推測の脅威」に分類されています。この問題には解決策があるとはいえ、現時点でこの間違いを犯しているサービスの膨大さと、この間違いの犯しやすさを考えると、任意の OAuth ベースなサービスが外部レビューでセキュリティを証明してもらえる可能性はあまり高くありません。

本欄の主眼ではありませんが、乱数に対する攻撃の中には、セキュリティを固めた CSPRNG を使っていないと OAuth ベースのサーバを完全に破壊してしまえるものもあります。こうした問題は他のシステムでも非常に困ったものではありますが、動作のすべてが乱数のやりとりの上に成り立っている普通の OAuth 実装では、より一層この問題が際立ちます。こうしたトークンは EVS のサーバ側で生成され、「普通の実装における」OAuth がよくやる使い方ではサーバの信頼性を奪い、関連するトークンすべての予測可能性を高めていきます。最新の攻撃手法を防げるセキュリティ強化 CSPRNG が用意できないのであれば、もっとハードルの低い別のプロトコルに乗り換えたほうが良いでしょう。

一方、一部の OAuth ベースの実装は乱数の必要性をクライアント側に移すような構造になっていることも注目しましょう。色んな意味で、これは問題を別の場所に移しただけではありますが、サーバ側のアタックサーフィスを減らすのは事実です。これによって、少なくとも情報強者な利用者は、信頼できるサービスをセキュアに使うことが可能になります。ただし情報弱者は脆弱なまま放置ですが。今回の例に当てはめてみると、この種のセットアップでは AFCP の開発者が頑張って EVS をセキュアに使えるようにすることと、EVS 自体が陥落する危険を回避することは可能ですが、ABC や XYZ が EVS をセキュアに利用するかどうかは別問題です。

クロス サイト・リクエスト・フォージェリ (CSRF)

本論に入る前に指摘しておきたいのですが、CSRF 攻撃はその名前に反して、外部サイトからスタートする必要はありません。CSRF 攻撃というのは、自サイトへのリンクをユーザが貼れる、掲示板やメッセージングソフトのようなサイト自体からでもスタート可能なのです。

色々な手法で CSRF に立ち向かうべく設計された数々のテクニックやフレームワークがあります。これらのシステムの多くは、OAuth ベースのものと統合すると使いものにならなくなったり、サイトを攻撃にさらしかねない行為を促すことがあります。

CSRF を防止するひとつの仕組みとして、ブラウザから送られる referer (原文ママ) が外部サイトを指していないことを確認するというものがあります。多くの OAuth 実装はユーザを特定の外部サイトから連れてくるよう要求しますから、この防御策は執行できません。OAuth サーバがリダイレクトする膨大なサードパーティのドメイン、また関係する URL やドメインの完全なリストは明文化されていないうえに折々で変更があるため、EVS のドメインとページ全体をホワイトリストにするのは不可能です。

また、EVS の提供者が寝返って AFCP を攻撃しようとする可能性がないかどうかも検討する必要があります。OAuth の背後にある原則のひとつは OAuth ベースのサービス側が利用者を信用しないことです、しかし同時に、利用者側には CSRF 回避策を見なかったことにしてサービス側を完全に信用することを要求しています。理想の認証システムというものがあるとすれば、一方通行ではなく相互レベルの不信を確立するでしょうに。

転送元と転送先のどちらかだけの、部分的なホワイトリストというのも難しいことがあります。使っている CSRF 対策フレームワークによりますが、機能のオンオフに中間がなく、特定のページや転送元だけを無効にすることができないかもしれないので、その場合 EVS 利用者は CSRF 対策フレームワークを一切使用できなくなります。

OAuth は CSRF 攻撃を防ぐ CSRF トークンを指定するようにと、オプショナルな state パラメータを定義しています。しかしながら、OAuth ベースのサービスは一般的に state の長さや文字種を制限し、要求どおりそのままで返さないことがあるようです。そこで、おかしな互換性問題が起こるため、多くの OAuth ベースサービス利用者はリダイレクトのエンドポイントにおける CSRF 防御をすべてオフにせざるをえない状況に追いこまれています。これは「10.14. コード・インジェクションと入力バリデーション」に分類されています。state パラメータの別の懸念は、EVS 側で state にアクセスのある人はだれでも、リクエストを改竄して、それ以外はまったく有効なままのパラメータを付けて AFCP にブラウザを送り返すことができるという点です。

OAuth ベース API の利用者は、自分のアプリやサービスを登録する際にひとつか複数の URI をカッチリ決めておくよう求められるという制限も課せられています。これは redirect_uri に使えるホワイトリスト URI です。この仕組みにひそむ重大なユーザビリティ問題は後述するのでひとまず措くとして、この制限のせいで開発者は、state パラメータや他の潜在的に危険の伴うアイディアで姑息な工夫をこらし、泥沼に沈んでいくはめになっています。多くの OAuth ベースなサーバは、ホワイトリスト URI をひとつしか許可していなかったり redirect_uri との完全一致のみ有効でパラメータの追加を認めなかったりしています。このせいで開発者たちは CSRF 対策フレームワークの利用をやめたり、あらゆる危険なものを state パラメータに詰めこもうとし始めたり、浅薄なシステムを自前で作り出したりしています。その結果、redirect_uri と state の組み合わせによってはユーザを不適切なページに誘導する危険性が出てきます。これは「10.15. オープン・リダイレクト」に分類されます。

こうしたリダイレクトの問題は、パラメータをしっかり認証していないせいで、それ自体が悪用可能なのですが、これを前述の「OAuth サービスへの偽装」問題と組み合わせるとユーザに大惨事をもたらしかねません。盗んだ client_id と client_secret を使えば、悪いやつらは AFCP とまったく同じ情報で認証できるので、本物の AFCP にも見ぬけないようなリダイレクトを作ることができます。また、悪意あるユーザも、本来自分の持っていない AFCP 内の権限を取得するような state パラメータの利用方法や改竄方法を見つけることができるかもしれません。その際には、おそらく盗んだ認証情報も使うことでしょう。概して、「普通の実装における」OAuth の低品質な設計のせいで、また特定の分野に関する教育レベルが低い外部開発者の直面する問題のせいで、OAuth ベースの利用者に対する攻撃はしばしば、本来あるべき状態よりもずっと容易になっています。

ここで読む意義のあるものとして、さらに「3.5. リダイレクト URI」「3.6. state パラメータ」「4.4.1.8. redirect-uri に対する CSRF 攻撃の脅威」があります。

章のまとめ

セキュリティに関して言えば、「普通の実装における」OAuth の仕事ぶりはとてもひどいです。OAuth が目指していると思われるセキュリティ目標の多くは、達成されていません。さらに、OAuth ベースなサービスの中には、種々の攻撃に対して無防備でいることを利用者に公然と要求するものがあります。サービスをセキュアに使える場合も、そのことが知られているとは限らず (サービス側の、トークン生成手法といった重要なセキュリティ詳細が明文化されていないうえにクローズドソースなため)、OAuth は今なお多くの低品質なプログラミング習慣を招いています。OAuth は外部の開発者を守る点でほとんど何もしませんが、そうした開発者が使っている各種フレームワークの方はといえば、こちらも真のセキュリティを提供していなかったり、厳しい自制と注意がなければセキュアに使えなかったりする代物です。

この記事についていえば、個人的に蔓延していると思った問題の一部を取り上げたものに過ぎません。この中には、極度に低質な、一切 OAuth の規格で義務付けられていない慣習を、他所で OAuth に使っているのを見たまま開発者がコピーした結果というものもあります。

OAuth ベースのサービス開発者もその利用者側の開発者も、OAuth ベースのプラットフォームを実装したり利用したりするためには、ここでリンクした文書をすべて読んで理解する必要があります。挙げられている 50 クラスの攻撃も、各クラスの深刻度も完全に把握する必要がありますし、そのうえで「実装の仕様書やセキュリティ・ガイドラインには漏れがないとは限らない」ことにも留意すべきです。この記事は公式文書にない問題をいくつか取り上げているとはいえ、OAuth セキュリティ問題の表面をなでているに過ぎないことも覚えておくべきです。ここに混ざって、公式 OAuth 提案に加えられる変更点はどれもまったく新たなセキュリティ問題を引き起こすものですが、残念ながら変更はよくあることなのです。そこで各々が、乱数生成やセキュリティ調査技術といった OAuth 以外のセキュリティ関連分野も理解していなければ、OAuth でそれなりのレベルのセキュリティを実現することはできません。

真のセキュリティをお探しの方には、よそを探すようお勧めします。最後の章で OAuth の代わりになる選択肢をいくつか取り上げます。

ユーザビリティ関連

(略: ふつうの実装では、サービス側がプラグを引き抜くようにして自由に利用者を出禁にできる。ビジネス的にもまずいし、悪意あるユーザが API 利用者を騙って出禁になるとアプリへの DoS になる。)

(略: サービス側からは API 利用者という大きすぎる単位でしか見えないので、たとえばビデオカメラのアプリ単位で利用帯域などを制限せざるを得ないが、そうするとそのビデオカメラは、一部ヘビーユーザのせいで他のユーザが締め出される事態になる。OAuth 以外のサービスならふつうユーザ単位。対策としてユーザに開発者アカウントを取得してもらうのも面倒すぎる。ていうか手動プロセスを挟んでたり。)

(略: ふつうの実装は SaaS モデルしか見ていないので、URI を持たない AFCP のような社内ソフトや、ビデオカメラのようなデスクトップアプリには使えない。アプリが cURL 的なもので API を叩こうとしても、JavaScript が必要だと言い張るサービスもある。グローバル企業が地域別にドメインを分けていたら URI が足りない。客ひとりひとりにサブドメインを与える製品だと URI が足りない。足りるとしても追加・更新がメタ API で簡単にできない。ひとつの URI ですべてのリクエストをこなすのはセキュリティ問題もあり、ロードバランス等の必要性も出るし、社内ソフトやデスクトップアプリに余計なウェブサイトへの依存性を加えることになる。http サーバをlocalhostで立てるとかアホか。)

(略: オープンソースにしづらい)

(略: トークンが定期的に期限切れになるので可用性が下がる。たとえばビデオカメラから複数の動画をアップロードしている途中で切れたらムキーってなる。再認証して途中からできるのもそれはそれで CSRF の温床。AFCP のような場合は期限切れがあってはならないので、パスワード等を預かる認

Permalink | 記事への反応(2) | 14:55

■OAuthのことを1ミリも知らない俺が

OAuth ディスの記事を酒の勢いで訳してみたゾ。前半はつまらないから、「章のまとめ」か、それ以降だけ読むといいゾ。なぜか後半が切れてた。こっちだけでいいゾ anond:20160426145507 anond:20160426150324

http://insanecoding.blogspot.com/2016/04/oauth-why-it-doesnt-work-and-how-to-zero-day-attack.html

OAuth がうまくいかない理由と、既存サービスのゼロデイ攻撃 方法

OAuth とは

認証 (authentication: 本人確認) と承認 (authorization: 権限付与) のシステムを設計し、API を規定し、複数の異なるシステムを統合するために用いられる提案をまとめたものです。

OAuth には色々な種類があり、version 1.1a や 2、その各部の上に他の規格を乗せたものなどが存在します。世の中に出回っている数々の実装によって、具体的な利用状況は大きく異なります。

おことわり

前にも OAuth について書いたことがあり、たくさんの反響をいただきました。前回の記事に対する批判の一部を避けるため、今回の記事について先に断っておきたいのですが、この記事は OAuth の使われる典型的な場面に焦点を当てており、論じられる点のほとんどは、何らかの方法で OAuth を利用する大手サービスのほとんどすべてに当てはまるということです。

言いかえると、OAuth を用いているあらゆるプラットフォームが壊れているとは限りません。OAuth にはバリエーションが多いうえに、2.0 だけに限っても 76 ページに渡るパターンがありますので、OAuth に基づいた何かに適合していながらもセキュアであり、使っても問題ないものは存在しうると言えます。ですから、あなたのお気に入りの OAuth 実装や設計が、ここで論じられる問題の一部または全部を免れていることもありえます。確率は低いですが。

また、OAuth を使っているものの中には規格を誤用しているものがあるとか、OAuth はその使い方を強制しているわけではないとか言う人もいるかもしれません。どちらにせよ、ここでは特定の OAuth ベースの規格について述べるのではなく、現状で大手が OAuth をどう利用しているかについてを、それが規格に適っているかどうかに関わりなく論じるつもりです。こうすることで、多くの読者に影響を与えることになるでしょう。危険な方法で OAuth を使っているサービスの利用者であっても、また自ら OAuth ベースのサービスを管理していて、他のみんなが作っているのを真似てプラットフォームを作ろうと思っている人だとしても関係があるのです。

記事の構成

この記事は長くなりますし、言ってみればほとんどの章はそれ自体でひとつの記事として十分なほどの話題を扱いますので、大まかな流れをご説明しておきましょう。

この記事は、現在 OAuth 業界でおこなわれていることを調査した結果のまとめです。OAuth を使う製品のすべてにこの記事のあらゆる点が当てはまるというのではなく、危険だったり無価値だったりするサービスの背後に見つかった慣例や根本原因を紹介する記事です。

この前書きのあとは、まず OAuth のセキュリティ欠陥を分析することから始めるつもりです。こうした欠陥の中には、セキュリティのコミュニティでよく知られていて、書籍などですでに分析されている一般原則が当てはまるものもあります。しかしこの記事では書籍化されていないケースも扱いますし、有名な欠陥についても、平均的な開発者および責任者に理解しやすく、対策の必要性がはっきりするように工夫するつもりです。

その後は、OAuth の主要素が一般的に言ってどのように実装されており、そうした普通の実装がどのようにサービスを使いものにならなくするのか、すなわちそのサービスで達成できることを極度に、不適切に、かつ意図に反して低下させてしまうのかを分析します。ごく一部のケースでは回避策の足がかりになるかもしれないテクニックについて論じますが、そういうのを実装する馬鹿らしさにも注目します。こうした記述の中では繰り返し何度も、OAuth を使う人たちがどれほど自分と自分のビジネスにとって損なことをしているのかが説明されます。

最後に、OAuth が適切に使われうる数少ない場面と、すでに利用されている OAuth の代替品を簡単に取り上げます。代替技術に関する調査の結果を提供するつもりですが、その中には Amazon のような大企業がセキュアで使いやすく信頼性の高い API を実現するために何をしているかの報告も含まれるでしょう。

責任ある情報公開

いま普通に使われているかたちにおける OAuth の欠陥の幾つかを悪用すれば、大手サービスに対して強力な攻撃を仕掛けることができます。OAuth に対する攻撃は何も新しいものではありません。IBM や Oracle を含め、懸念した IETF メンバーが OAuth ベースのサービスに対する攻撃を 50 クラスも記述した 71 ページもの文書を 3 年以上前に出したように、また筆者も前回の記事でこうした点のいくつかを議論したようにです。それにも関わらず、OAuth ベースのシステムの主要なセキュリティ欠陥は非常に蔓延しています。

筆者は、いくつかの大手企業の役員や開発者に、そこの OAuth ベースシステムが抱えるセキュリティ欠陥を指摘したことがあります (そのうちのひとつは 4 年前のことです) が、全員、自社システムを修正するために一切何もしませんでした。まるで、OAuth の人気度からして、他の現実的な解決策をひとつも聞いたことがなく、それゆえに OAuth が最もセキュアな選択肢に違いないと決めてかかっているようです。どうも、OAuth のコア原則に対する攻撃のデモを文書化した情報も、聞いたことがないか、肩をすくめて無視するかしているようです。そこで、この情報をもっと広く拡散することによって、影響のある人たちの尻を蹴りとばしてあげたい、そしてサービスを設計あるいは管理している人たちにモーニングコールの役割を果たしてあげたいと願っています。

というわけで、OAuth ベースの何かを提供あるいは利用するご自分のサービスを調べて、こうした欠陥の一部あるいは全部が存在することに気づいたなら、どうぞ責任をもってこの情報を取り扱ってください。ご自分のサービスを適切にアップデートしたり、関係する問題に対応するようビジネスパートナーに適切な圧力をかけたりしてください。

ここで言及されている情報やリンクされている情報は今のところ既存のサービスに悪用できるかもしれませんが、どうぞ責任ある行動をとり、他人のものを破壊するのではなく改善することを目指してください。この記事は、自社サービスを不適切に実装している人たちへのモーニングコールのつもりで、その改善を促すために書いているのであり、悪用したがっているハッカーたちのハウツーもののつもりではないのです。

想定する利用形態

この記事では、ふたつのシナリオに注目して、その場面でどのように OAuth が組み合わされているのか、そしてなぜうまくいかないのかを検討します。記事を通して何度もこれらのシナリオに戻ってきますので、頭に入れておくことは大事です。

まず、Exciting Video Service (略して EVS) というサービスを思い描いてみましょう。ユーザが動画をアップロードしたり友人と共有したりできて、完全公開にしたりアクセス制限を設定したりできるようになっています。また EVS は動画のアップロードや削除、およびだれが視聴できるかの権限管理に OAuth ベースの API を提供しています。

ただ、例としてこの想像上のサービスに焦点をあてますが、論じられる問題はあらゆるサービスにも当てはまります。ファイルであろうと文書ストレージであろうと、カレンダー管理やオンライン会議、ディスカッション・グループ、はたまたリソース管理であろうと OAuth ベース API を提供する他のいかなるものであろうとです。また、筆者は本当にどの特定の動画サービスのことも言っていないということを覚えておいてください。問題点の一部あるいは全部は、OAuth を使っている既存の動画サービスに当てはまるかもしれませんが、EVS がそのサービスのことを指すわけではありません。どれが当てはまるかは読者への練習問題ということにしてもいいですね。

ひとつめのシナリオとして、ビデオカメラの製造会社を想定しましょう。そのビデオカメラには、録画した内容を EVS にアップロードする機能のあるソフトウェアを付属させたいと思っています。つまり、ユーザがビデオカメラを自分のコンピュータに接続して、その独自ソフトウェアを開き、ビデオカメラからアップロードしたい動画を選んでしばらくすると、それが EVS にアップロードされているというものです。

ふたつめのシナリオとしては、ある中小企業が職員用に EVS で 50 アカウントを購入し、全職員が動画をアップロードして同じ部門の職員と共有できるようにする、ということにしましょう。この会社は A Friendly Custom Platform (AFCP) というソフトウェアで職員と所属部門の管理をしており、この AFCP サービスを EVS に統合したいと考えています。望んでいるのは、管理者が AFCP を使ってだれかを営業部門に配置したら、その職員が自動的に営業部門のメンバー所有の動画すべてに対するアクセス権を取得するということです。営業部門からいなくなった人には逆のことが起こるようにもしてほしいと思うはずです。

問題点

セキュリティ関連

認証情報の盗難 / アクセス権の詐称

トークンベースの認証システム (OAuth のコア) が現在よく利用されている最大の理由のひとつには、「適切に実装されれば」サードパーティのアプリやサービスに各ユーザの認証情報 (パスワード等) を提供しなくて済むという点があります。サードパーティに個人ユーザの認証情報を渡すのは、以下の理由から望ましくありません:

必要以上のアクセス権をサードパーティに与えることになる。
認証情報を格納する場所が増えるということは、盗まれる危険が増える。
パスワード等を変更したときに API 利用者側でも更新が必要になる。
ひとつのアプリだけでアクセス権を破棄することが難しく、全アプリで破棄することになりやすい。
特別な認証要素を使っていると、制限が多すぎる。

上記の問題点は、OAuth だけでなくあらゆるトークンベースの認証システムでも回避できます。よく OAuth の強みとして挙げられていますが、独自というわけでは全然なくて、他にも同じ強みを実現しつつ OAuth の弱点のない選択肢はあるのです。

さて、確固とした土台に基づいてはいるものの、「普通の実装における」OAuth は、上記の問題を回避しようとして以下のような手順に沿ってシステムに情報を提供します:

ユーザがサードパーティのアプリ/サービス (たとえば AFCP) を訪ねて、特定のサービスと統合したいことを知らせる。
AFCP は、EVS でホスティングされた特別なログインページを出してユーザに EVS の認証情報を入力させる。
EVS は、その指定したアクセスレベルをユーザが本当にサードパーティ (AFCP) へ与えたいのか確認する。
EVS は AFCP に一種のトークン (複数の場合もある) を提供し、各種 API コールに使えるようにする。

このトークンはユーザの認証情報ではありませんから、そしてひとりのユーザとひとつのアプリの組み合わせだけに有効で、指定された権限しか持たず、あとから破棄されるようになっていますから、きちんと前述の問題点を回避しているように思えます。しかし実際には、ちゃんとした土台を核として持っているにも関わらず、OAuth の普通の実装で使われているこのフローは、上に挙げた問題すべてに対処しているとは言えません。

この設計はそもそも危険なスタート地点から始まっています。セキュアなプラットフォーム設計の第一原則は、危険な地点から始まったものは既にダメ、逆転不可能、ということです。手順 1 のせいで、EVS 自体ではなく EVS を利用するサービスから始まっているので、ユーザは最初の一歩からして中間者攻撃を受けたような状態にあります。これは、かかってきた電話に個人情報や口座番号などを教えるようなもので、自分の使っているサービスの者だと名乗っていますが、番号が本物かどうか分からなかったり非通知だったり、という場面のコンピュータ版だと言えます。最近はこういう詐欺がたくさんありますから具体例を挙げる必要はありませんね。要点は、接続を開始する相手が信用できなければ、その接続は一切信用できないということです。EVS 自体の側から手順を始めるのでない限り、上に挙げた目標をすべて実現する API 利用のためのセキュアな認証システムは設計不可能です。

(略: 手順 2 で、それっぽいページに誘導すれば認証情報を盗める)

(略: そうした詐欺を企業自体が後押ししているような風潮もある)

(略: スタンドアロンのアプリなら、ログインを詐称する必要すらない)

この種の攻撃は前述のセキュリティ文書で「4.1.4. 脆弱性を突かれたブラウザや組み込みブラウザを使ったエンドユーザ認証情報のフィッシング脅威」として分類されています。提案されている解決策は？

クライアントアプリがユーザに直接認証情報を求めることは避けるべきだ。加えて、エンドユーザはフィッシングや良い習慣について教育を受けることもできる。良い習慣は、たとえば信用できるクライアントにしかアクセスしないことだ。OAuth は悪意あるアプリに対していかなる防御策も提供していないので、エンドユーザはインストールするネイティブアプリすべての信頼性に自分で責任を負う。

さらに

クライアント開発者は、ユーザから直接に認証情報を集めるようなクライアントアプリを書くべきではなく、システムブラウザのような信用できるシステムコンポーネントにこの役目を移譲すべきだ。

基本的に言って、OAuth のセキュリティガイドラインは、OAuth を利用する開発者がユーザを攻撃しようとすべきではないとか、悪いことをしてはならないと言っています。外部の開発者が悪いことをしないことに頼るというのは、正気のサービス設計者が依拠するセキュリティモデルではありません。

私の知る主要な OAuth ベースのサービスはほぼすべて、ここに概説した手法で攻撃可能です。

OAuth こそセキュリティの新たな金字塔だとお考えの皆さん、目を覚ましてください！「普通の実装における」OAuth は、始まる前から負けていますよ。OAuth が存在するよりずっと前に実装された数多くのシステムはセキュアで、この問題を効率的に回避しています。残念なことに、あまりに多くのサービスが、せっかくセキュアだったのにインセキュアな OAuth モデルに移行してきました。だれかが開発者や管理者に「OAuth はもっとセキュア」「先取り思考」「将来への投資」とか何とか素敵な (しかし具体性の皆無な) バズワードを並べたてたからでしょう。ほとんどの場合、こうした変更は本当に既存の問題に対応しているのか、あるいは以前のシステムより幾らかでも良くしてくれるのかどうかをレビューすることさえなく実装されています。

OAuth サービスに偽装

OAuth ベースのサービス設計でよく見かける間違いは、ブラウザ用に、パラメータのひとつとして client_secret (あるいは同様のもの) を受け取るエンドポイントを提供することです。OAuth の client_id と client_secret パラメータは、基本的に言ってサードパーティのプラットフォーム固有の API ユーザ名とパスワードと等価ですから、EVS の API を利用する開発者だけにしか知られるべきではありません。パスワード同然のものなのですから、client_secret パラメータは「絶対に」ユーザのブラウザを通して送信すべきではありません (ヒント: パラメータ名の中に secret という言葉が入っているよ)。アプリやサービスのユーザがその client_id と client_secret を見つけることができる場合、そのユーザはそのサービスのふりをすることができ、潜在的には何かイケナイことができてしまうということになります。さらに注意すべき点として、client_secret パラメータを別の名前にするサービスもありますから、ご自分の関係するサービスをよくチェックして、他のパラメータも秘密にする必要があるのかどうかを調べてください。残念ながら、重要な変数が自分の素性をいつも表に出しているとは限らないため、この問題は意外と多く存在しています。加えて、client_id だけ使う認証フローを OAuth の上に乗せるサービスも出てくるでしょう。これには用心してください。特定の状況では、そういう client_id はまさしく client_secret 同然の働きをするのですから。

「普通の実装における」OAuth は、ウェブブラウザを使ってユーザを複数のウェブサイトに移動させるわけで、ひとつのサイトから別のサイトに client_id と client_secret (あるいは同様のもの) を送ってもらう必要があります。そうやって、たとえば AFCP と EVS の間でこれらをやりとりするわけですから、ユーザがブラウザの HTTP ログをモニタリングすれば、本当に見えてしまいます。これはアプリに組み込まれた独自ブラウザ各種でも、単に右クリックすれば何らかのネットワーク・ログ機能を持つ何らかの inspector にアクセスできてしまう場合などには可能です。

EVS と連携した AFCP にこの欠陥があると、AFCP に少しでもアクセス権限のある職員に本来の権限より多い権限を取得させてしまい、本来アクセスできないはずのところに許可が下りてしまう危険があります。別の例では、仮に Facebook が GMail 用の OAuth エンドポイントを利用しているとして、client_id と client_secret の両方がブラウザを通して送信される場合、Facebook のユーザは全員 GMail に対して Facebook そのもののふりをすることができてしまうということです。

この問題は、OAuth エンドポイントがユーザのウェブブラウザから平文で client_secret を送ってくることを期待するときにはいつも存在します。あるいはそうする必要があると誤解した API 利用者が、埋め込むべきでないところに secret を埋め込むときもです。この脆弱性が存在している可能性が高いのは、エンドポイントが client_secret (または同等品) と redirect_uri の両方を期待する (あるいはオプションとしてでも受け付ける) 場合です。redirect_uri パラメータは、今回のケースで言うと EVS がユーザをログインさせたあとでそのブラウザをどこに送るべきか指示するために使うよう設計されています。そうやって redirect_uri がエンドポイントへの転送に使われている場合、その処理はユーザのブラウザで実行されることが期待されているわけです。主要な OAuth 文書はどちらも、client_secret と redirect_uri の両方をこうした用途に使うようなケースを指示したり求めたりはしていません。

ざっと検索してみたところ、残念なことに、潜在的に違反の可能性があるそういった OAuth ベース API がたくさん見つかります。Google は OAuth の色々な利用方法を提案していますが、その中に、両方を一緒に使うことを広めるフローがひとつあります:

client_secret: 開発者コンソールで取得したクライアントパスワード (Android, iOS, Chrome アプリとして登録した場合のオプション)

Citrix もこんな間違いをしています:

(略: 以下、実際に脆弱だと確認したわけではないが、secret と redirect を併記しているサイトが列挙されている。)

Google で 2 分検索しただけでこのリストができました。皆様がもうちょっと労力をかければ、ずっと多く見つかることでしょう。ただし、上記リストは、こうしたサービスのどれかが脆弱だとか、誤用しやすすぎるということを直接に示すものではありません。色々な要素があり、たとえば Zendesk は特にこのケースでは redirect_uri パラメータをリダイレクトに使わないと明言していますし、アプリからエンドポイントを呼ぶときはフル機能版ブラウザではなく curl を使うべきだとさえ書いて、開発者が危険なことをするような誤解を極力避けようとしています。それでも、経験の浅い開発者はこうしたエンドポイントを独自ブラウザで読もうとするかもしれません。さらに、この組み合わせが世に出回っているというだけで開発者の警戒心が下がっていき、経験を積んだ OAuth ベースのサービス開発者でさえも似たような状況で潜在的にヤバイ誤用を気にせず適用するようになってきています。特に client_secret が別の名前になって、「秘密を守る」という概念が失われている場合はそうです。

サービスがこの点に関して壊れている指標となるのは、人気のある複数の OAuth ライブラリがこのサービスでうまく動かないときです。そういうサービスは一般的にいって独自の「SDK」を提供しており、サードパーティの開発者が選んだライブラリではこのフランケンシュタイン的な OAuth が使えないと苦情が来たときにはその SDK を使うよう指示します。こうしたカスタマイズは気付かれないまま進行することも多くあります。開発者の大多数は、SDK が提供されているなら、わざわざ手元のソフトで頑張らずに済ませたいと思うものですから。

この種の攻撃は前述のセキュリティ文書で「4.1.1. クライアントの機密情報を取得する脅威」に分類されています。しかしサーバがウェブブラウザを使用を要求し client_id と client_secret (または似た用途のもの) を同時に渡させるという具体的な攻撃パターンには一言も言及がありません。おそらく、その文書の執筆陣の予想では、こんな馬鹿げたサービスはだれも設計しないだろうし、その API を使う開発者もそれを独自のウェブブラウザや SDK で使ったりはしないだろうと思っていたのでしょう。こうした開発者は OAuth の規格からバラバラに取り出した要素をグチャグチャに混ぜて接着しておいて、自分のプラットフォームが OAuth 本来のセキュリティを保持していると思っています。そのツギハギのせいでどんな新しい問題が入り込むかもしれないのに、そこは一顧だにしません。残念ながら、これが近年の OAuth 業界によくあるやり方で、この既に猛威をふるっている問題は、パレードの参加者がどんどん増えて、人が使っている手法や、使っている「と思う」手法をコピーしていくことで、とどまるところを知らない連鎖になっています。

前掲のセキュリティ文書は、 Permalink | 記事への反応(3) | 12:44

2016-04-10

■イラッとするサイトの挙動

・ポップアップブロックを解除しないと表示できない

・ブラウザバックしても、リダイレクトで再度同じページが表示される。

・ページを表示し終わるまでにどんどんスクロールがズレて、リンクをタップしようとした瞬間に別のリンクにすり替わる（スマホ限定）

ストレス MAX！

Permalink | 記事への反応(2) | 13:07

2016-03-09

■http://anond.hatelabo.jp/20160309044914

お気に入りページって第三者にも見えてるんだから、誰でもリファラを残し得るし、お気に入りに入れてること自体も公開情報だよね。

非公開設定にしてるなら確かに情報が漏れる。通常の意味での個人情報にはあたらないと思うが、非公開の場合はリダイレクトをかます、みたいなシステムの方が安心ではあるかもね。

Permalink | 記事への反応(0) | 05:07

2015-11-25

■http://anond.hatelabo.jp/20151125183456

匿名の誰かが貼ったリダイレクトじゃん。気に食わなきゃ編集したらいいんだよ。

https://ja.wikipedia.org/w/index.php?title=%E7%99%BA%E7%8B%82&type=revision&diff=50777128&oldid=21773000

Permalink | 記事への反応(0) | 18:46

■なぜ発狂でキチガイを意味するのか？

Wikipediaでは発狂を調べると、きちがい　にリダイレクトされる。

そして差別用語として説明されている。

過剰反応というか、異常を感じる。

単に、医学的な所見を調べたかっただけなのだが…

Permalink | 記事への反応(1) | 18:34

■Webサービスを常時SSL化しようとして諦めた話

弊社の新規事業でWebサービスを作っていて、セキュリティトレンドの常時SSLってやつをやってみようと思った。

世のWebサービスを見てみるとやっている所が何故かほとんどなく、mixiやニコニコなどの大手もやってないようだ。ニコニコのURLを試しにhttpsにしてみたら繋がらず、mixiはhttpにリダイレクトされる。

うちは新規だから最初から https化することで特にデメリットはないと判断、安いSSL証明書を買ってhttpをhttpsにリダイレクトするようにした。技術的な難所はまったくないので問題なく実装完了し、これで安心度がちょっと上がったと思っていたのだが…。

つづく。

続き。

弊サービスではユーザーがYouTubeなどの動画を貼り付ける機能が重要なのだが、テストしてみるとニコニコ動画の埋め込みが動作しなくなっていた。調べてみるとニコ動の埋め込みコードがhttpなせいで、さらに最近のブラウザはhttpsページの中にhttp コンテンツがあると、警告も出さずまったく表示しない仕様になっているようだ。

何か解決方法はないかと調べてみると逆に、同じ理由でhttps未対応の広告やアフィリエイトも貼れないことが判明。広告モデルの無料サービスなのでこれは致命的。

というわけで当初の予定とはまったく反対の、httpsをhttpにリダイレクトする羽目になるという笑えるオチになってしまった（httpsで見られると広告なくなっちゃうため）。それでmixiもニコニコも対応してなかったのか…。

事前にろくに調査もせず先端を行こうとしたが時代がついてきていなかったという話。

Permalink | 記事への反応(3) | 12:19

2015-10-03

■URL 中のはてな ID を my に置き換えるとみんなで使える事を伝えたい

検索ワード: topisyu, トピシュ, 斗比主閲子, トピュッシー

http://topisyu.hatenablog.com/entry/ignore_hate

http://b.hatena.ne.jp/topisyu/hotentry
（上のリンクはtopisyuのマイホットエントリーページです。たぶん、他の人は見れない。このtopisyuの部分をご自身のidにして見てください。）

http://b.hatena.ne.jp/my/hotentry で各自のページにリダイレクトされます。

このページに限らずはてなのサービスであれば、URL に含まれているはてな ID 部分を "my" に置き換えることで、結構な確率で誘導用のリダイレクト URL に変身します。

ご活用ください。

Permalink | 記事への反応(0) | 21:49

2015-09-23

■広告 ブロックで今後どうなるか考えてみる

最近iOS9やらcrystalやらで広告ブロックできるようになって騒がれるようになったけど

ちょっと自分的にどうなるか考えてみる。といっても完全に素人考えだし、できるかどうかは知らん。

ちなみにadblockは使っている。

webで戦争が起きてユーザー巻き込んで荒れる

appleとgoogleとで戦争起きるとかよく言われてるし、safariなどの一部ブラウザしか使えるものがないらしいから

最初に思ったのはgoogleが検索ページごと一部ブラウザブロックすればいいんじゃないか最初に思ったこと。

で、ブロックしたときにchromeとかgoogle検索アプリでも勧めれば広告ブロックされにくくなる。

その後、appleが対策してきそうだけどまたその対策の対策がされてといたちごっこになってユーザーが振り回されそう。

webサービス関連がアプリでしか見られなくなる

例えばwebではてな見ようと思ったらアプリ落としてアプリ通してでしか見れないよとかにすれば

ユーザーの総数は減るだろうど常駐しているユーザーは残ると思うし、広告ブロックされずにサービス使用するようになる(ブラウザ通してないから)。

SNSでステマが流行る

ステマと言っていいのかわからないけどタイトルを広告の役割を果たすものにしてSNSで拡散させれば広告になるよねって話

広告は見ないけどtwitterで知るよとか言ってる人もいたし

ネットで書かれていることを鵜呑みする人は結構いるっぽいから炎上だけ気を付ければ割と有効そうではある。

既存の広告のリンクにワンクッション挟む

ブロックはurl 認証らしいから入口のリンクを自動生成させてそのページでリダイレクトさせて広告ページに飛ばすとかできるかもとは思った

これはできるかどうかは知らないしコストが割り合わないかもしれないけど

これ書いてて思ったこと

世界レベルだし誰か抜け口見つけるだろうなと思う。

Permalink | 記事への反応(0) | 00:32

2015-05-05

■「クレジットカードの読みもの」は企業が運営するアフィブログ

クレジットカードに関して一般の人があまり知らない知識を披露することで人気を得る一方で、クレジットカードの利用が増えるように誘導しようと夏野剛のような雑な主張を開陳してはブコメで叩かれているブログである。

ここのアフィリエイトリンクは

http://www.cardmics.com/amex_gold.php

のようなURLになっている。これは

http://click.actbank.net/〜

に転送される。さらに何度かリダイレクトを繰り返して

http://ad2.trafficgate.net/〜

http://click.linksynergy.com/〜

を経由してやっとアメックスのサイトにたどり着く。

このactbank.netは https://www.actbank.net/login.php に管理画面があるだけで、メディア登録や募集の案内は見つからない。

個人ブログが通常使うようなアフィリエイト ASPではないと思われる。

cardmics.comはムームードメインで隠蔽されているが、actbank.netをwhoisするとjp21.com、株式会社ジェーピーツーワンであることが分かる。

などを運営している会社である。株主にバリューコマースがいる。売上は100億円を超えるらしい。

アフィリエイトメディアの運営が主要事業と見られる。Internet Archiveで事業の変遷を見るとなかなか面白い。

念のため、別に詐欺やステマのような悪いことをしているわけではない。

Permalink | 記事への反応(3) | 01:07

2015-02-21

■Twitter スパムアカウント

・twdb.sakura.ne.jp系

tinyurlで短縮されたURLを記載したTweetを呟く

Jump先：Twitter API 認証系（jbbnow.comからリダイレクト）、bizindou.com等

jbbnow.com Domain WhoisのHistory探るもムームードメインのWhois Protectで情報見えず。

アカウント：@baio39、@ynahanSha、@ciconjfj、@japan_end

Permalink | 記事への反応(0) | 19:52

2014-11-20

■増田見やすくするChrome 拡張のバージョンアップ（返信ボタン追加）した

http://anond.hatelabo.jp/20141112215920

コンパクトな増田 - Chrome Web Store

オプションに返信ボタンを追加できる項目を追加した。

オプションを有効にしても、ログインしてないと表示されない。

記事の詳細ページでもボタンが出るようにした。

本当は本文の下にフォーム埋め込みたかったんだけど、色々があってwindow.open()になった。

利点

ページ遷移なく返信できる。
本文見ながら返信を書けるできる。
返信用URLいちいちコピペする必要なし。

欠点

やっぱりwindow.openがうっとおしい（ウィンドウは小さくしたけど）

それから、

折りたたみ処理が失敗するのを1時間前に発見したのでバグの修正。

拡張適用してない時でも下線が出るところを修正。

あと細かいところは忘れた

いろいろ

本当は本文の下にテキストボックス2つ追加して返信できるようにしたかった。日記を書くのフォームの中を覗いたらユーザー固有（未検証）？のハッシュ値みたいなのがhiddenにフィールドに入ってた。当然、その値を一緒にPOSTしなきゃ動かないだろうから（未検証）その値を拡張から取得しようと思ったんだけど、お手軽に取得する方法を思いつかなかったので、フォームを自作する方法はやめた。

次に、Ajaxで日記のフォーム取得してそれを埋め込んでやろうとしてコードを書いてみた。日記編集ページをAjaxで取得しようとしたら増田トップページにリダイレクトされたので、どうやらAjaxは弾かれるみたいだ。というわけでこの方法も失敗。

あとはiframeを埋め込むか、window.open使うかぐらいしか思いつかなかった。iframe使いたくなかったのでwindow.openになった模様。

Permalink | 記事への反応(5) | 21:10

2014-11-07

■「st-hatena.comは危険だ！」→Google Safe Browsingの見方が間違ってるのでは？

http://anond.hatelabo.jp/20141106161928

はてブにも書いたのだけど、一応増田にもメモしておく。

st-hatena.com の結果は a.st-hatena.com の結果と一致する

http://www.google.com/safebrowsing/diagnostic?site=st-hatena.com

st-hatena.com の現在の状況

    現在のところ、このサイトは疑わしくないと認識されています。

Google がこのサイトを巡回したときの状況

    このサイトで過去 90 日間に Google がテストした 2542 ページのうち 122 ページで、ユーザーの同意なしに不正なソフトウェアがダウンロードされ、インストールされていたことが判明しました。Google が最後にこのサイトを巡回したのは 2014-11-06 で、このサイトで不審なコンテンツが最後に検出されたのは 2014-11-06 です。

    不正なソフトウェアには 110 scripting exploit(s), 19 exploit(s), 6 trojan(s) などがあります。感染先のコンピュータで平均 3 個のプロセスが新たに発生しています。

    不正なソフトウェアは 40 個のドメイン（fn84.fr/, wkdjfgka.ddns.me.uk/, javaterm.com/ など）でホストされています。

    15 個のドメイン（muramoto.net/, meomore.com/, fn84.fr/ など）がこのサイトの訪問ユーザーに不正なソフトウェアを配布する媒体となっていたようです。

    このサイトは 29 個のネットワーク（AS9370 (SAKURA-B), AS701 (UUNET), AS209 (QWEST) など）でホストされていたことが判明しました。

不正なソフトの感染を広げる媒介をしていたかどうか

    st-hatena.com は、過去 90 日間に 59 個のサイト（vip2ch.com/, blog.goo.ne.jp/nakazato-hitoshi/, netouyomilitary.com/ など）への感染媒体となっていた形跡があります。

サイトで不正なソフトウェアをホストしていたかどうか

    いいえ、このサイトでは過去 90 日間に不正なソフトウェアのホスティングは検出されていません。

これは、a.st-hatena.com のカウントと一致する。

http://www.google.com/safebrowsing/diagnostic?site=a.st-hatena.com

a.st-hatena.com の現在の状況

    現在のところ、このサイトは疑わしくないと認識されています。

Google がこのサイトを巡回したときの状況

    このサイトで過去 90 日間に Google がテストした 247 ページのうち 122 ページで、ユーザーの同意なしに不正なソフトウェアがダウンロードされ、インストールされていたことが判明しました。Google が最後にこのサイトを巡回したのは 2014-11-06 で、このサイトで不審なコンテンツが最後に検出されたのは 2014-11-06 です。

    不正なソフトウェアには 110 scripting exploit(s), 19 exploit(s), 6 trojan(s) などがあります。感染先のコンピュータで平均 3 個のプロセスが新たに発生しています。

    不正なソフトウェアは 40 個のドメイン（fn84.fr/, wkdjfgka.ddns.me.uk/, javaterm.com/ など）でホストされています。

    15 個のドメイン（muramoto.net/, meomore.com/, fn84.fr/ など）がこのサイトの訪問ユーザーに不正なソフトウェアを配布する媒体となっていたようです。

    このサイトは 1 個のネットワーク（AS9370 (SAKURA-B) など）でホストされていたことが判明しました。

不正なソフトの感染を広げる媒介をしていたかどうか

    過去 90 日間に a.st-hatena.com が他サイトへの感染媒体となっていた形跡はありません。

サイトで不正なソフトウェアをホストしていたかどうか

    いいえ、このサイトでは過去 90 日間に不正なソフトウェアのホスティングは検出されていません。

a.st-hatena.com っていったい何？

a.st-hatena.com はリダイレクト用のドメイン。

例えば http://a.st-hatena.com/go?http://anond.hatelabo.jp/ にアクセスすると http://anond.hatelabo.jp/ に飛ぶ。

はてなアンテナでリンクするときにクッションページの役割を担ってる。

a.st-hatena.com は「危険なサイト」なの？

なにかおかしいな、と思って goo.gl ドメインの結果も見てみたら似たような感じだった（後述）。

おそらくリダイレクト先が危険サイトだった場合、リダイレクト元のドメイン（goo.glとかbit.ly、t.coなど）もカウントされるような仕組みになっているんじゃないだろうか？

なんで a.st-hatena.com と st-hatena.com の結果はリンクしてるの？

たぶんGoogle Safe Browsingの仕様。

a.st-hatena.com + b.st-hatena.com + d.st-hatena.com + f.st-hatena.com + ... とすべて足し合わせたものが st-hatena.com の結果になるようだ。

つまり 危険なの？安全なの？

特に危険はない。

はてなアンテナのリンク先（はてなと関係ないサイト）に危険なサイトがいくつかある、というだけ。

結論

st-hatena.com は現状でウィルスを配信してはいないし被害を被ることもない。

・・・と断定していいだろう。

参考： goo.gl ドメインの結果

http://www.google.com/safebrowsing/diagnostic?site=goo.gl

goo.gl の現在の状況

    現在のところ、このサイトは疑わしくないと認識されています。

    過去 90 日間に、このサイトの一部で不審な動きが 1 回検出されています。

Google がこのサイトを巡回したときの状況

    このサイトで過去 90 日間に Google がテストした 5488513 ページのうち 2753 ページで、ユーザーの同意なしに不正なソフトウェアがダウンロードされ、インストールされていたことが判明しました。Google が最後にこのサイトを巡回したのは 2014-11-06 で、このサイトで不審なコンテンツが最後に検出されたのは 2014-11-06 です。

    不正なソフトウェアには 1174 exploit(s), 708 trojan(s), 200 scripting exploit(s) などがあります。感染先のコンピュータで平均 2 個のプロセスが新たに発生しています。

    不正なソフトウェアは 594 個のドメイン（shop-corp24.com/, mt.co.kr/, jvvupdate.com/ など）でホストされています。

    157 個のドメイン（feedburner.com/, finanstek.net/, padsdel.com/ など）がこのサイトの訪問ユーザーに不正なソフトウェアを配布する媒体となっていたようです。

    このサイトは 1 個のネットワーク（AS15169 (GOOGLE) など）でホストされていたことが判明しました。

不正なソフトの感染を広げる媒介をしていたかどうか

    goo.gl は、過去 90 日間に 990 個のサイト（nudevista.tv/, vporn.com/, acervoamador.com/ など）への感染媒体となっていた形跡があります。

サイトで不正なソフトウェアをホストしていたかどうか

    いいえ、このサイトでは過去 90 日間に不正なソフトウェアのホスティングは検出されていません。

このサイトで過去 90 日間に Google がテストした 5488513 ページのうち 2753 ページで、ユーザーの同意なしに不正なソフトウェアがダウンロードされ、インストールされていたことが判明しました。Google が最後にこのサイトを巡回したのは 2014-11-06 で、このサイトで不審なコンテンツが最後に検出されたのは 2014-11-06 です。

a.st-hatena.com の結果とよく似ている。

もしも「st-hatena.com がウィルスをばら撒いている」と考えた場合、Googleもまた現在進行形でウィルスをばら撒いているということになる。

参考2：bit.ly と t.co

引用するのが面倒なのでリンクだけ。

どちらも似たような結果になっている。

http://www.google.com/safebrowsing/diagnostic?site=bit.ly

http://www.google.com/safebrowsing/diagnostic?site=t.co

編集履歴

11/7 16時くらい：初版

11/7 16:35：見出しを使うように修正

11/7 17:25：タイトルを変更、説明を追加

Permalink | 記事への反応(0) | 15:44

2014-07-21

■2chまとめ

2chまとめ読んでるとYahoo!のログイン画面にリダイレクトさせられるんだけど何なのこれ

例えばこのページ

http://blog.livedoor.jp/nicovip2ch/archives/1874270.html

開いてると10秒くらいで

https://login.yahoo.co.jp/config/login?.src=shp&lg=jp&.intl=jp&.done=http%3A%2F%2Fshopping.yahoo.co.jp%2Fstorestamprally%2Fpromotion%2Fsale%2F

こっちに移動する

Permalink | 記事への反応(1) | 16:08

2014-02-08

■東京の閉鎖的で不便な無料 wifi スポットを使いこなすためのリスト

はじめに：

東京でも無料のwifi スポットが増え始めているが、使い心地がすこぶる悪い。無料なのだから文句を言うな、といわれそうだが、できるだけ快適に使えればそれにこしたことはないだろう。

以下に挙げる無料 wifi スポットが使いにくい理由の共通点は、

事前に登録する必要があるか、接続用のアプリを事前にダウンロードしておかねばならないところが多く、はじめて使おうと思ったときには使えないことが多い。
「何かあっても当方は責任を持ちませんよ？」という提供者側の責任逃れのために、事前の確認事項を何度も見せられ、クリックしなければならない。
事前登録が不要でも、無意味にメールアドレスの入力を求める。

といったことだろう。

以下、備忘録として、個別に無料 wifi スポットの問題と対策をリストアップしてみたい。他に思い当たる物があれば是非トラバでご指摘いただきたい。

MANTA（東京メトロ）

接続用の専用クライアントアプリが必要で、これを使わずにブラウザを立ち上げると、MANTAの使い方を説明したサイトにリダイレクトされるが、ここからアプリをダウンロードすることはできない。

したがって、MANTAを使いたければ、事前にアプリをダウンロードしておく必要がある。

FreeSpot

国会図書館には公衆無線LANとしてFreeSpotが導入されており、これを利用すると、無料でネット使い放題、マンガ読み放題の環境が完成する。

しかし、ここでFreeSpotをつかうためには、事前にメール認証が必要になっている。しかも、フリーメールのアドレスは受け付けてくれないという無意味なポリシーがある。

Eメール認証をしない場合はゲストとして10分間だけ接続できるため、この間にメール認証を済ませることもできるかもしれないが、メール認証をするときには、つかっている機器のMACアドレスまで入力を求められるため、普段そんな物を知らずにつかっている人には、10分間で全て入力完了し、しかもメーラーで接続用のパスワードまで受け取るのは、至難の業だ。

成田空港 公衆 無線LAN（FreeWiFi-NARITA）

第１ターミナルと第２ターミナルの全域で無料のwifiが使える。事前の認証等は不要だが、確認画面を何度もクリックしなければならない。また、無意味にメールアドレスの入力を求めてくる。

しかし、メールアドレスを登録してパスワード等を受け取る必要はないため、でたらめなメールアドレスを入力しても普通に使うことができる。

羽田空港 無料 無線LAN（HANEDA-FREE-WIFI）

HANEDA-FREE-WIFIに接続してブラウザを立ち上げると、名前とメールアドレスの入力を求めてくる。これも適当でよい。

Permalink | 記事への反応(0) | 22:06

「リダイレクト」を含む日記

■weblio マジウザイ

■DeNAのキュレーションサイト

■Google alert spamサイトは dcvb.sytes.net から asjh.ddns.net に移行した

■dcvb.sytes.netというspamサイト

■はてブに登録されている毎日新聞のcheck_cookie_set.phpの挙動を調べてみた

■膨大なブコメ資産が失われた問題