Tag: OAuth 2.0

SAML vs. OAuth 2.0:認証と認可における2つのスタンダードを理解して比較する

SAML vs. OAuth 2.0: Mastering the Key Differences

2025/06/13 SecurityBoulevard — 月曜日の朝の、こんな状況を想像してほしい。コーヒーを飲み、デスクに座り、PC を開く。まずはメールにログイン。次にプロジェクト管理ツールを起動する。最初のタスクに取り掛かる前に、迷路のようなログイン画面をくぐり抜け、何度もパスワードを入力していく。こんな日常があるはずだ。

デジタル化が進む現代社会で、私たちは、数え切れないほど多くのアプリケーションにアクセスしている。膨大な認証情報の管理は面倒なだけではなく、セキュリティ・リスクにもつながる。そこで、Single Sign-On (SSO)  のようなテクノロジーが役に立つ。SSO は、1回のログインを介することで、複数の承認済みアプリケーションへのアクセスが許可されるという、心地よい世界を実現してくれる。こうした、SSO とセキュア・アクセスの文脈でよく話題に上がるのは、2つの主要な技術 SAML と OAuth 2.0 である。

Continue reading “SAML vs. OAuth 2.0:認証と認可における2つのスタンダードを理解して比較する”

OAuth ミスコンフィグの脆弱性:YesWeHack バグ・バウンティで判明した際限のない PII の抽出

Researchers Exploit OAuth Misconfigurations to Gain Unrestricted Access to Sensitive Data

2025/04/30 gbhackers — 先日に実施された YesWeHack バグ・バウンティ・キャンペーンにおいて、OAuth2 認証情報のミスコンフィグに起因する深刻な脆弱性が、あるセキュリティ研究者により発見された。Web アプリケーションを詳細に分析した結果として、この認証フレームワークにおける些細な見落としが深刻なリスクをもたらすという、驚くべき状況が明らかになった。

Continue reading “OAuth ミスコンフィグの脆弱性:YesWeHack バグ・バウンティで判明した際限のない PII の抽出”

OAuth の欠陥とフィッシング:Microsoft/Google/PayPal もリダイレクトの対象だ

Microsoft, Google OAuth flaws can be abused in phishing attacks

2021/12/09 BleepingComputer — 研究者たちが発見したのは、脆弱な OAuth 2.0 実装に対して URL リダイレクト攻撃を仕掛けるという、これまで知られていなかった一連の手法である。これらの攻撃により、フィッシグ検知やメール・セキュリティの回避が生じると同時に、フィッシング URL が正当であるかのような錯覚により、被害者を増やすことにつながる。Proofpoint が検出したキャンペーンは、Outlook Web Access/PayPal/Microsoft 365/Google Workspace を対象としている。

Continue reading “OAuth の欠陥とフィッシング:Microsoft/Google/PayPal もリダイレクトの対象だ”

Microsoft Exchange Online から Basic 認証が消える日:1年後の 2022年10月1日に決定

Microsoft will disable Basic Auth in Exchange Online in October 2022

2021/09/26 BleepingComputer — Microsoft は、数百万人の Exchange Online ユーザーを保護するために、2022年10月1日から全てのテナントの全てのプロトコルで、Basic 認証をオフにすることを発表した。今回の発表は、COVID-19 パンデミック対応のために、Exchange Online からの Basic 認証の削除を、2021年後半に延期したことを受けてのものである。

Continue reading “Microsoft Exchange Online から Basic 認証が消える日:1年後の 2022年10月1日に決定”