OAuth徹底入門の読書感想文 -8章-
OAuth徹底入門を読んだので感想と概要を書いていきます
7章については先日書きました
8章 よく狙われる保護対象リソースの脆弱性
この章ではどのようにリソース・サーバーを保護し、OAuthの保護対象リソースを対象とした攻撃からどのように守るかについて説明されています
保護対象リソースの脆弱性とは
最も明白なものはアクセストークンの漏洩
そのほかにもエンドポイントへのXSSなどがある
XSSへの対策
エンドポイントへのXSSを防ぐには
- ユーザーの入力を直接レスポンスに含むなど、信頼できないレスポンスを返す場合は全てサニタイズする
- URLエンコードする
- 正しいContent-Typeを返すことでJavascriptの実行を防ぐ
- ブラウザの提供する保護の仕組みを利用する
トークンのリプレイ攻撃への対策
アクセストークンが漏洩した場合、有効期限を短く設定しておけば被害を最小限にすることができる
また、OAuthでは様々な通信にTLSが使用されていることが前提とされている
HTTPの仕組みの一つであるHSTSを使用することで、HTTPSでの通信を使用することをサーバー側から指定することができる
感想
保護対象リソースはOAuthにおける役割も割とシンプルなので、セキュリティ面でもやることは少ない (レスポンスでXSSに気をつける、通信はTLSを使用するなど)と思った
ただ保護対象リソースに脆弱性があるとOAuthで頑張ってセキュアにしてもなんの意味もなくなっちゃうから重要だよな、、