OAuth PKCEがRFC7636として発行されました。
私とJohn Bradley(Ping)とNaveen Agarwal(Google)が共著者としてクレジットされている「OAuth PKCE(ピクシー)」 が、[RFC 7636] として発行されました。元々はOAuth SPOP (Symmetric Proof of Posession)と言っていたものですが、Symmetricに限らない形に拡張したため、Proof Key for Code Exchange (PKCE、ピクシー=妖精)と名を改めて現在に至っています。
この規格はOAuth 2.0 [RFC6749]のPublic Client の Code Interception Attack 脆弱性に対応するもので、ephemeral keyを生成して、これを使ったProof of Possession of Key をします。RFC6749と後方互換性がありますし実装も簡単ですので、以後はすべからずこちらを使えば良いと思います。
Eduardo Gueiros氏、James Manger氏、Brian Campbell氏、 Mike Jones氏、William Dennis氏、そしてこの規格のセキュリティ面の検討に参加してくださった皆様に深く御礼申し上げます。また同様に、OAuth working group の皆様、議長、エリア・ディレクター、この規格の策定にかかわられたIETFの皆様にも御礼もうしあげます。
なお、このOAuth PKCEは、 某社の動画サイトアプリ他に既に幅広く採用されていることを申し添えます。
[RFC6749] Hardt, D.: The OAuth 2.0 Authorization Framework (2012), https://tools.ietf.org/html/rfc6749
Ads by Google
関連記事
-
-
HTCスマホに指紋画像を誰でも読み出し可能な脆弱性〜株価急落
The HTC One Maxの指紋読取装置が指紋を誰でも読める形で保存していたことが発覚 写真提
-
-
消費者の金融取引の安全性向上のための大統領令発布 – クレジットカードのICカード化や政府サイトの多要素認証対応など
2014年10月17日付で、消費者の金融取引の安全性向上のための大統領令が発布されました。
-
-
Shell Shock: UNIX系のソフト「bash」に重大バグ、システム乗っ取りも
米国土安全保障省のコンピューター緊急対応チーム(US―CERT)は、Linuxを含むUNIXベースの
-
-
グーグル、マイクロソフト、ペイパル、野村総合研究所などの実装がOpenID Connect適合性試験に合格
(図1)OpenID Certified ロゴ 米OpenID® Foundationは現地時
-
-
InstagramなどのAndroidアプリにプライバシー上の欠陥、研究者が指摘
まぁみんな薄々知っては居たことですが、アプリ開発者のセキュリティ・プライバシーに関する認識は、とても
-
-
500万件にも及ぶGmailのユーザー名とパスワードが流出?!
怪しさ満点の記事が流れてきた。曰く 500万件にも及ぶGmailのユーザー名とパスワードが流出
-
-
JICS 2013 第2日目 エンタープライズ・トラックまとめ
Japan Identity and Cloud Summit 2日目 エンタープライズ・トラックの
-
-
米Yahoo!からのパスワード流出を考える
(UPDATE1) Yahoo! Voice と Yahoo! Voices は別のサービスらしいの
-
-
オバマ大統領、デビッド・リコードンをホワイトハウスの「情報技術長官(?)」に抜擢
photo by Brian Solis (2009) CC-BY。今はもうちょっと老けていると思
-
-
マイナンバーとプライバシー:識別子に対する要件
ここのところ、各種メディアでマイナンバーが取り上げられることが増えてきているように思われます。遅すぎ