Auth屋Auth屋

OAuth・OIDCへの攻撃と対策を整理して理解できる本(リダイレクトへの攻撃編 [2023年改訂版]

Physical (worldwide shipping)

BuyeePurchase via Buyee
Buyee is a third party service for shipping your items globally. Read More
  • Physical (direct)
    Ships by Anshin-BOOTH-Pack
    物理本+電子本
    Ships within 3 days
    1,600 JPY
  • Physical (direct)
    Ships by Anshin-BOOTH-Pack
    物理本+電子本+ステッカー
    Ships within 3 days
    1,630 JPY

Physical (ship to Japan)/ Digital Download

  • Digital
    電子本
    1,400 JPY
  • Physical (direct)
    Ships by Anshin-BOOTH-Pack
    物理本+電子本
    Ships within 3 days
    1,600 JPY
  • Physical (direct)
    Ships by Anshin-BOOTH-Pack
    物理本+電子本+ステッカー
    Ships within 3 days
    1,630 JPY

※ 2023年改定: 全体まとめを最新の議論にそったものに変更しました。 Auth屋の本の評判: https://togetter.com/li/1477483 本書の書評: https://dev.classmethod.jp/articles/tech-book-oauth-oidc-redirect/ ステッカーは「OAuth完全に理解した!」ステッカーです。 トップの画像を参照ください。 ================= ■ はじめに 本書は Auth 屋の「雰囲気 OAuth シリーズ」第三弾であり、OAuth と OpenID Connect への攻撃と対策についての本です。攻撃全般ではなく、攻撃対象として一番狙われる「リダイレクト 部分への攻撃」に特化した内容になっています。リダイレクト部分への攻撃の仕組 みと、state、nonce をはじめとした対策についての仕組みを理解すれば、雰囲気 OAuther を脱したと言えるでしょう。 ■ 想定読者 • OAuth・OIDC について用語、概念、仕組みはだいたい理解してる(Auth 屋 の前著は読んだ!) • state、nonce、PKCE、c_hash、at_hashは聞いたことはある。理解はして ない。 • クライアント、リライング・パーティとしてアプリを作るかもしれない もし OAuth・OIDC についての理解があやしいようであれば、ぜひ、以下の前著も合わせてお読みください。 • OAuth本 [ https://booth.pm/ja/items/1296585 ] • OpenID Connect本 [ https://booth.pm/ja/items/1550861 ] ■ 本書の狙い 本書の狙いは、読者がこの本を読み終わった後「下記の攻撃を防ぐためにクライア ント、リライング・パーティとしてなすべきこと」を理解できていることです。 - 攻撃 • クロスサイトリクエストフォージェリ • リプレイ攻撃 • 認可コード横取り攻撃 • コードインジェクション • トークンインジェクション - 対策 • state • nonce • PKCE • c_hash • at_hash ■ 本書の特徴 • OAuth・OIDC の各フローのやり取りを一つずつ追いながら解説することで、 容易に攻撃と対策の仕組みがわかる • 攻撃と対策をビジュアルで理解できる • 本文 100 ページ程度なので 1 日で読める

※ 2023年改定: 全体まとめを最新の議論にそったものに変更しました。 Auth屋の本の評判: https://togetter.com/li/1477483 本書の書評: https://dev.classmethod.jp/articles/tech-book-oauth-oidc-redirect/ ステッカーは「OAuth完全に理解した!」ステッカーです。 トップの画像を参照ください。 ================= ■ はじめに 本書は Auth 屋の「雰囲気 OAuth シリーズ」第三弾であり、OAuth と OpenID Connect への攻撃と対策についての本です。攻撃全般ではなく、攻撃対象として一番狙われる「リダイレクト 部分への攻撃」に特化した内容になっています。リダイレクト部分への攻撃の仕組 みと、state、nonce をはじめとした対策についての仕組みを理解すれば、雰囲気 OAuther を脱したと言えるでしょう。 ■ 想定読者 • OAuth・OIDC について用語、概念、仕組みはだいたい理解してる(Auth 屋 の前著は読んだ!) • state、nonce、PKCE、c_hash、at_hashは聞いたことはある。理解はして ない。 • クライアント、リライング・パーティとしてアプリを作るかもしれない もし OAuth・OIDC についての理解があやしいようであれば、ぜひ、以下の前著も合わせてお読みください。 • OAuth本 [ https://booth.pm/ja/items/1296585 ] • OpenID Connect本 [ https://booth.pm/ja/items/1550861 ] ■ 本書の狙い 本書の狙いは、読者がこの本を読み終わった後「下記の攻撃を防ぐためにクライア ント、リライング・パーティとしてなすべきこと」を理解できていることです。 - 攻撃 • クロスサイトリクエストフォージェリ • リプレイ攻撃 • 認可コード横取り攻撃 • コードインジェクション • トークンインジェクション - 対策 • state • nonce • PKCE • c_hash • at_hash ■ 本書の特徴 • OAuth・OIDC の各フローのやり取りを一つずつ追いながら解説することで、 容易に攻撃と対策の仕組みがわかる • 攻撃と対策をビジュアルで理解できる • 本文 100 ページ程度なので 1 日で読める

目次