社内勉強会が良いタイミングであったので、昨日からのTwitterのOAuthの脆弱性について発表しました。
結局の所、直接の原因は別の所にあっても、ソーシャルログイン向けにOAuth 1.0aを拡張して自動リダイレクトするoauth/authenticateを実装したこと自体が、脆弱性を生み出すきっかけになってしまったと言えなくもないです。セキュリティに関わるプロトコルを拡張するリスクは、普通に考えるより大きいというのを思い知らされました。
あと、X-Frame-Optionsに関してはI-Dが出ていますが、表示を拒否する対象については「its content (for example a button, links, text, etc.)」としれっと書かれているのみのようです。
- draft-ietf-websec-x-frame-options-02 HTTP Header Field X-Frame-Options
昨今「標準化プロセス」が話題になっているところですが、今回の件をきっかけにHTTP RedirectがX-Frame-Optionsの拒否対象である「content」に含まれ、その仕様を元に各ブラウザの挙動にも反映されれば良いですね。
