atom.xml

<?xml version="1.0" encoding="utf-8"?>
<feed xmlns="http://www.w3.org/2005/Atom">

  <title><![CDATA[OAuth.jp]]></title>
  <link href="https://oauth.jp/atom.xml" rel="self"/>
  <link href="https://oauth.jp/"/>
  <updated>2020-10-28T23:34:29+09:00</updated>
  <id>https://oauth.jp/</id>
  <author>
    <name><![CDATA[Nov Matake]]></name>
    
  </author>
  <generator uri="http://octopress.org/">Octopress</generator>

  
  <entry>
    <title type="html"><![CDATA[Mix-up Attack は Per-AS redirect_uri では防げない]]></title>
    <link href="https://oauth.jp/blog/2020/10/28/mix-up-cant-be-mitigated-by-per-as-redirect-uri/"/>
    <updated>2020-10-28T23:05:00+09:00</updated>
    <id>https://oauth.jp/blog/2020/10/28/mix-up-cant-be-mitigated-by-per-as-redirect-uri</id>
    <content type="html"><![CDATA[<p>いままで Mix-up Attack は Client が AS 毎に redirect_uri を使い分けていれば防げると信じられてきましたが、それじゃ防げないケースもあるよってのが <a href="https://mailarchive.ietf.org/arch/msg/oauth/RjbSwFRmLsk0EgAY2Ter-nw66EY/">OAuth ML に投稿</a>されました。</p>

<p>細かい解説は英語読んでもらうとして、シーケンスにするとこういうことです。</p>

<p><img src="https://oauth.jp/images/posts/oauth-idp-mixup-rev2.png" alt="OAuth IdP Mix-Up Attack rev.2" /></p>

<p>Attacker AS が (Display Name やロゴ等を通じて) 一見 Honest Client に見えるような Client (Attacker Client) を Honest AS に登録しておく必要があります。</p>

<p>User が Attacker AS 選んでるのに Honest AS に飛んで Approve してしまってる部分も、<a href="https://oauth.jp/blog/2016/01/12/oauth-idp-mix-up-attack/">Attacker Proxy</a> が利用可能な状況 (e.g., Client が HTTP なエンドポイントで Honest AS のログインボタン等を表示している) であればもっと違和感のないフローになるでしょう。</p>

<p>で、解決策として AuthZ Response に &ldquo;iss&rdquo; を含めることが提案されているのですが、「<a href="https://oauth.jp/blog/2016/01/12/oauth-idp-mix-up-attack/">悪意のある可能性があるIdPを採用しない</a>」ってのが一番の解決策であることに代わりはありません。</p>
]]></content>
  </entry>
  
  <entry>
    <title type="html"><![CDATA[ドコモ口座問題]]></title>
    <link href="https://oauth.jp/blog/2020/09/30/docomo-kouza-kyc/"/>
    <updated>2020-09-30T11:40:00+09:00</updated>
    <id>https://oauth.jp/blog/2020/09/30/docomo-kouza-kyc</id>
    <content type="html"><![CDATA[<p>忘れそうなので一旦メモ。</p>

<p>ドコモ口座の問題って、こういうことでしょ？</p>

<ol>
<li>銀行側のAALが1を満たさないので銀行側が銀行口座を保護できない</li>
<li>銀行側のAALが1を満たさないので「銀行にKYCを依拠する」というサービスのLoAが1を満たさずサービスとして成り立っていない

<ul>
<li>結果としてドコモ口座のIALは1 (= dアカウント登録直後と同等) のまま</li>
</ul>
</li>
<li>「銀行口座名義とドコモ口座名義の一致確認」と「銀行にKYCを依拠」が同時に発生してしまっている結果「銀行口座名義とドコモ口座名義の一致確認」が実質なされていない

<ul>
<li>参考) <a href="https://gist.github.com/nov/b8be7b50db48862784b470c1ae6c1718">https://gist.github.com/nov/b8be7b50db48862784b470c1ae6c1718</a></li>
</ul>
</li>
<li>口座の一致確認が行われていないためドコモも銀行口座を保護できない

<ul>
<li>ドコモ口座側のAALは1を満たすのでドコモがドコモ口座を保護することは可能</li>
</ul>
</li>
<li>結果として銀行口座は保護されない</li>
</ol>


<p>そして、責任分界点はこのあたりで、</p>

<ul>
<li>銀行預金に対する金銭被害の責任は銀行に帰し</li>
<li>その預金が反社に渡る責任はドコモに帰する</li>
</ul>


<p>eKYC文脈ではこのあたりが論点で、</p>

<ul>
<li>上記2をサービスとして成り立たせるためのAAL, FAL要件に関する合意</li>
<li>上記2がサービスとして成り立ったとしても上記3が実質なされていないことには代わりがないので、それを良しとするのかどうか</li>
</ul>


<p>金融文脈ではこの辺りが論点になるのかなと。</p>

<ul>
<li>銀行側のAALが1を満たさない場合でも規約上の免責事項に該当することを良しとするか</li>
<li>銀行側のAALが1を満たさない場合でも「送金先による口座名義確認とセットでは結果として銀行口座が保護される」ことを良しとするか</li>
</ul>

]]></content>
  </entry>
  
  <entry>
    <title type="html"><![CDATA[Zero-day in Sign in with Apple Deep-dive]]></title>
    <link href="https://oauth.jp/blog/2020/06/02/zero-day-in-sign-in-with-apple-deep-dive/"/>
    <updated>2020-06-02T12:22:00+09:00</updated>
    <id>https://oauth.jp/blog/2020/06/02/zero-day-in-sign-in-with-apple-deep-dive</id>
    <content type="html"><![CDATA[<p>先週末に <a href="https://bhavukjain.com/blog/2020/05/30/zeroday-signin-with-apple/">Zero-day in Sign in with Apple</a> とかいう記事が出ていました。</p>

<p>この記事ではいまいち詳細がわからないんで、ちょっと実際 Apple IdP の挙動調べてみたら、当該 Endpoint 発見しました。</p>

<h3>実際にどこが脆弱だったのか</h3>

<ol>
<li>非 Safari ブラウザで、適当な RP にアクセス

<ul>
<li>e.g.,) <a href="http://signin-with-apple.herokuapp.com/">http://signin-with-apple.herokuapp.com/</a> (Nov SIWA RP)</li>
<li>Safari だと OS の Native UI が出てきてブラウザ遷移しないので注意</li>
<li>既に連携済の RP の場合は一度連携解除しておくこと</li>
</ul>
</li>
<li>Sign in with Apple のボタンをクリックして Apple AuthZ Endpoint に遷移

<ul>
<li>AuthZ EP: <a href="https://appleid.apple.com/auth/authorize">https://appleid.apple.com/auth/authorize</a></li>
</ul>
</li>
<li>ログイン後、初回連携時にのみ出てくる同意画面 (メアド選択するところ) に到達

<ul>
<li><img src="https://oauth.jp/images/posts/apple/siwa-consent.png" width="500" alt="Sign in with Apple Consent Screen" /></li>
</ul>
</li>
<li>ここで「続ける」を押すと内部的に Ajax Call が実行される

<ul>
<li>Ajax API EP: <a href="https://appleid.apple.com/appleauth/auth/oauth/authorize">https://appleid.apple.com/appleauth/auth/oauth/authorize</a></li>
<li>選択されたメアドやその他の AuthZ Req Params が一通り JSON で POST される</li>
<li>レスポンスとしては <code>id_token</code> とか <code>code</code> なんかが含まれた JSON が返ってくる</li>
<li><img src="https://oauth.jp/images/posts/apple/siwa-consent-ajax-submit.png" width="500" alt="Sign in with Apple Consent Ajax Submit" /></li>
</ul>
</li>
</ol>


<p>で、問題は Step.4 で Submit されるメールアドレスが、実際当該 Apple ID に紐づいてないものでも OK だったということですね。</p>

<!-- more -->


<p><a href="https://aaronparecki.com/2020/05/31/30/the-real-cause-of-the-sign-in-with-apple-zero-day">The Real Cause of the Sign In with Apple Zero-Day</a> という解説記事では、メールアドレスの値そのものを POST するんではなく <code>real_email</code> / <code>proxy_email</code> という Flag 値のみを POST すべしとか書いてますが、実際には Apple ID には複数のメールアドレスが紐付き Sign in with Apple の同意画面でのメールアドレス選択肢も3つ以上になるケースがあるので、メールアドレスの値そのものを POST することは理にかなっています。</p>

<p>問題は、POST されたメールアドレスが当該アカウントと紐づいてるかを Apple IdP サーバーがチェックしてなかったという点だけですね。</p>

<p>現在はメールアドレスとアカウントの紐付けがサーバーサイドでチェックされているので、変なメールアドレスを投げるとちゃんと 400 が返ってきます。</p>

<!--
### Email 以外を書き換えるとどうなる？

ちなみにこの Ajax Call のタイミングで `client_id` & `redirect_uri` を通信途中で改竄してやると、別 Client 向けの Code が正規 Client の正規 Redirect URI に返されるなんていう挙動もあります。

具体的には、Nov SIWA RP でログイン開始して、Apple IdP の同意画面で実行される Ajax Call でだけ `client_id` & `redirect_uri` を以下のように書き換えてやると...

* client_id
    * From: jp.yauth.signin.service3 (Nov SIWA RP)
    * To: net.zexy.koimusubi.ios.signinwithapple (ゼクシィ恋結び)
* redirect_uri
    * From: https://signin-with-apple.herokuapp.com/callback
    * To: https://zexy-koimusubi.net/web/auth/apple_login/callback

ゼクシィ恋結び向けの `id_token` および `code` が Nov SIWA RP の Redirect URI に渡されてきます。

Submit された値に基づいてサーバーサイドで Auto-submit Form なりをレンダリングしてレスポンスを返すのではなく、既に同意画面中に仕込まれた JS とパラメーター値を使ってレスポンス返してるので、Ajax Call 中で書き換えられた `email` 以外の値はレスポンスを返すべきか否かの判断には使われていないのですね。

まぁそれ自体がそこまで大きな問題かというと、そんな気はしませんが。。。

ちょっと設計が微妙というか、フロントエンジニアが勝手に設計したらこうなっちゃった、みたいな雰囲気ですね。

ということで、まだ ID Token の `aud` は別の値にされる可能性は残っているのですが、まぁ普通に `code` 使ってバックチャネルで ID Token 取れば、`aud` が書き換えられた ID Token は発行されないんで、そうすればよいです。

Sign in with Apple のフロントチャネルで発行された ID Token は、ガン無視して捨ててやれば良いのです。あれにはまず使い道はありません。

ちなみに、既婚者はゼクシィ恋結びを利用してはなりませんし、嫁にゼクシィ恋結びと連携済の Apple IdP の画面なんかみられた日にゃ血の雨が降りますので、これを試したら即連携解除必須です。

-->


<h3>余談 : OAuth 2.0 WMRM 使われてる！</h3>

<p>Sign in with Apple には Popup Mode なるものがあります。</p>

<p>実際以下の URL にアクセスして黒い方のボタンをクリックするとそれが体験できます。<br/>
<a href="http://signin-with-apple.herokuapp.com/?popup=true">http://signin-with-apple.herokuapp.com/?popup=true</a></p>

<p>ここ、よく見ると OAuth 2.0 Web Message Response Mode (WMRM, <code>response_mode=web_message</code>) が使われています。</p>

<p>大昔、<a href="https://twitter.com/zigorou">@zigorou</a> さんと <a href="https://twitter.com/_nat">@_nat</a> さんとノリで Independent  Draft まで書いて、その後放置してるやつですね。懐かしいですねぇ.. #遠い目</p>

<p><a href="https://tools.ietf.org/html/draft-sakimura-oauth-wmrm-00">OAuth 2.0 Web Message Response Mode</a></p>

<p>Apple さんは <code>redirect_uri</code> に Origin 指定したりとかはしてないんですけどね。</p>

<p>OAuth WMRM、実は Auth0 とか Okta とかも使ってるんですよね。Okta のはなんか変な Prefix ついてるけど。</p>

<ul>
<li><a href="https://auth0.com/docs/protocols/oauth2#how-response-mode-works">OAuth 2.0 Authorization Framework &ndash; Auth0</a></li>
<li><a href="https://developer.okta.com/docs/reference/api/oidc/#postmessage-data-object">OpenID Connect &amp; OAuth 2.0 API &ndash; Okta</a></li>
</ul>

]]></content>
  </entry>
  
  <entry>
    <title type="html"><![CDATA[Nonce/PKCE Sidestep Attack]]></title>
    <link href="https://oauth.jp/blog/2020/05/19/nonce-pkce-sidestep-attack/"/>
    <updated>2020-05-19T13:06:00+09:00</updated>
    <id>https://oauth.jp/blog/2020/05/19/nonce-pkce-sidestep-attack</id>
    <content type="html"><![CDATA[<p>OAuth 2.1 で PKCE 必須にするしない議論が盛り上がっておりますが、今日そのスレで新しい攻撃パターンが議題に上がりました。<br/>
<a href="https://mailarchive.ietf.org/arch/msg/oauth/HZt851AobQlJMBVd6_p8iWSyRS8/">https://mailarchive.ietf.org/arch/msg/oauth/HZt851AobQlJMBVd6_p8iWSyRS8/</a></p>

<p>今のところ &ldquo;Nonce/PKCE Sidestep Attack (仮&rdquo; と名付けられたこの攻撃は、以下のようなシナリオで成立します。</p>

<h3>Nonce/PKCE Sidestep Attack (仮</h3>

<h4>[前提条件]</h4>

<p>ある Client に、アプリケーションコンテキストによって PKCE を使うコンテキストと Nonce を使うコンテキストが共存している。</p>

<h4>[攻撃シナリオ]</h4>

<p>以下、<a href="https://danielfett.de/2020/05/16/pkce-vs-nonce-equivalent-or-not/#noncepkce-sidestep-attack">原文</a> を要約。</p>

<ol>
<li>攻撃者は何らかの手段により Nonce に紐づいた (= PKCE code_challenge とは紐づいていない) 被害者の Code を詐取する。</li>
<li>攻撃者は PKCE を使うコンテキストにおいて自らのブラウザで Client に Authorization Request を実行させ、code_challenge だけを抜き去ったものを Authorization Server に送る。</li>
<li>攻撃者は受け取った Authorization Response 中の Code を Step.1 で取得した Code と差し替え Client に提示する。</li>
<li>Client は受け取った Code を Step.2 で生成した code_challenge に紐づいた code_verifier を付与して Token Request を実行する。</li>
<li>Authorization Server は code_challenge と紐づいていない Code を受け取ったので code_verifier は無視して Token Response を返す。</li>
<li>Client は Nonce を使うコンテキストでもないので Nonce のチェックも行わず、code_verifier が無視されたことも検知できないので成功裏に Token Response を受け取ってしまう。</li>
</ol>


<p>以上により Code 置換攻撃が成立する。</p>

<!-- more -->


<p>しかし、ここでひとつ疑問があります。</p>

<p>Authorization Server は、本当に code_challenge と紐づいていない Code を受け取った場合、それに添えられた code_verifier を無視するのでしょうか？</p>

<p>もし無視するとしたら、以下のような攻撃も成立してしまうのではないでしょうか？</p>

<h3>PKCE CSRF Protection Bypass (仮</h3>

<h4>[前提条件]</h4>

<p>ある Client は CSRF 攻撃対策として state ではなく PKCE を使っている。</p>

<h4>[攻撃シナリオ]</h4>

<ol>
<li>攻撃者は自身のブラウザで Client に Authorization Request を実行させ、code_challenge だけを抜き去ったものを Authorization Server に送る。</li>
<li>攻撃者は受け取った Authorization Response を一旦保存する。</li>
<li>攻撃者はフィッシングサイト等を介して被害者のブラウザで被害者に気づかれない形 (hidden iframe etc.) で Authorization Request を実行させつつ Step.2 で受け取った Authorization Response を被害者のブラウザに渡す。</li>
<li>被害者から Code を受け取った Client は、被害者のブラウザセッションに紐づいた code_verifier を付与して攻撃者の Code を Authorization Server に提示する。</li>
<li>Authorization Server は code_challenge と紐づいていない Code を受け取ったので code_verifier は無視して Token Response を返す。</li>
<li>Client は code_verifier が無視されたことも検知できないので成功裏に Token Response を受け取ってしまう。</li>
</ol>


<p>SameSite=Lax がデフォルトでないようなブラウザでは、上記のような攻撃は成立してしまうでしょう。</p>

<p>また以下のようなパターンもありえるかもしれません。</p>

<h3>PKCE Code Injection Protection Bypass (仮</h3>

<h4>[前提条件]</h4>

<p>ある Client は CSRF 攻撃対策としては state を、Code Injection 攻撃対策としては PKCE を使っている。</p>

<p>また Client は redirect_uri が HTTP であったりするなど、Code が漏洩しうる条件も持っている。</p>

<h4>[攻撃シナリオ]</h4>

<ol>
<li>攻撃者は自身のブラウザで Client に Authorization Request を実行させ、code_challenge だけを抜き去ったものを Authorization Server に送る。</li>
<li>攻撃者は Authorization Response を受け取り Code を一旦保存する。</li>
<li>攻撃者は被害者の Code が詐取できるポイントで、被害者の Code を詐取する代わりにそれを Step.2 で受け取った攻撃者の Code に置換する。</li>
<li>被害者から Code を受け取った Client は、被害者のブラウザセッションに紐づいた code_verifier を付与して攻撃者の Code を Authorization Server に提示する。</li>
<li>Authorization Server は code_challenge と紐づいていない Code を受け取ったので code_verifier は無視して Token Response を返す。</li>
<li>Client は code_verifier が無視されたことも検知できないので成功裏に Token Response を受け取ってしまう。</li>
</ol>


<p>う〜ん&hellip; <code>Authorization Server は code_challenge と紐づいていない Code を受け取ったので code_verifier は無視して Token Response を返す。</code> っていう挙動を許してしまうと、PKCE で対策されていたはずだった CSRF 攻撃も Code Injection 攻撃も防げなくなってしまいますね&hellip;</p>

<p>まぁそもそも被害者のブラウザ上で hidden iframe で Authorization Request を実行させたり Code を置換できたりするようなケースはほとんどないとは思いますが&hellip;</p>

<p>PKCE それでいんだっけ？？</p>

<p>ということで、過去の僕の実装を見てみると&hellip;</p>

<p><a href="https://github.com/nov/rack-oauth2/blob/master/lib/rack/oauth2/server/extension/pkce.rb#L28">Rack::OAuth2 Server-side PKCE Implementation</a></p>

<p>やっぱ code_challenge に紐づいてない Code と code_verifier が渡されてきたら、ちゃんとエラーにしてますね。</p>

<p>じゃあ PKCE 採用 Authorization Server として最もメジャーな Google さんはどうでしょう&hellip;</p>

<p><a href="https://gist.github.com/nov/9feba86685bd3b18b4bf7bfb88022046">Google PKCE Client Sample</a></p>

<p>やっぱ code_challenge に紐づいてない Code と code_verifier が渡されてきたら、ちゃんとエラーにしてますね。</p>

<p>う〜ん、このケースでの挙動、<a href="https://tools.ietf.org/html/rfc7636">RFC 7636 &ndash; Proof Key for Code Exchange by OAuth Public Clients</a> では特に触れられてないんですけど、やっぱ普通に考えれば、code_challenge に紐づいてない Code と code_verifier が渡されてきたら、エラーですよね&hellip;</p>

<p>みなさんの実装はいかがでしょうか？</p>

<h3>追記</h3>

<p>上記 &ldquo;PKCE CSRF Protection Bypass (仮&rdquo; に関しては、以下の記事では &ldquo;Downgrade Attack on PKCE&rdquo; と名付けられたようです。<br/>
<a href="https://danielfett.de/2020/05/16/pkce-vs-nonce-equivalent-or-not/#downgrade-attack-on-pkce">https://danielfett.de/2020/05/16/pkce-vs-nonce-equivalent-or-not/#downgrade-attack-on-pkce</a></p>
]]></content>
  </entry>
  
  <entry>
    <title type="html"><![CDATA[Account Takeover Vulnerability in Microsoft Teams]]></title>
    <link href="https://oauth.jp/blog/2020/04/28/account-takeover-vulnerability-in-microsoft-teams/"/>
    <updated>2020-04-28T15:44:00+09:00</updated>
    <id>https://oauth.jp/blog/2020/04/28/account-takeover-vulnerability-in-microsoft-teams</id>
    <content type="html"><![CDATA[<p>約一年ぶりの記事ですね。<br/>
みなさん、三密避けて OAuth の勉強に勤しんでおられますでしょうか？<br/>
さて、今朝こんな記事が上がってました。</p>

<p><a href="https://www.itmedia.co.jp/enterprise/articles/2004/28/news056.html">「Microsoft Teams」にアカウント乗っ取りの脆弱性、画像表示だけで不正侵入 &ndash; ITmedia エンタープライズ</a></p>

<blockquote><p>今回の脆弱性は Teams のデスクトップ版と Web ブラウザ版の両方に影響する。攻撃者は狙った相手に GIF などの画像を送り付けて表示させ、画像が Web ブラウザに読み込まれる過程で認証トークンを盗み出す。被害者の画面には画像が表示されるだけなので、自分が攻撃されたことに気付かない。</p>

<p>攻撃者がこのユーザーになりすまして組織内の他の従業員に不正なGIFを送信すれば、ワームのような形で侵入を広げ、組織全体の Teams アカウントを乗っ取る可能性もある。そうなれば、社外秘情報や会議、カレンダー、パスワードといった重要情報が流出しかねない。</p></blockquote>

<p>GIF 画像貼り付けるだけで Teams アカウント乗っ取れるとか、こんなの読んだら恐ろしくて Teams なんて使えないですね。</p>

<p>この脆弱性が報告されたのが2020年3月20日ということなんですが、Teams の中の人はどんな気持ちで以下の記事を読んでいたのでしょうか。</p>

<p><a href="https://japan.zdnet.com/article/35152041/">マイクロソフト、「Teams」のセキュリティをアピール&mdash;「Zoom」に批判集まる中 &ndash; ZDNet Japan</a></p>

<p>で、ここから本題、今回の Teams の脆弱性の詳細についてです。英語ですが、こちらの記事に詳細が載ってます。</p>

<p><a href="https://www.cyberark.com/threat-research-blog/beware-of-the-gif-account-takeover-vulnerability-in-microsoft-teams/">Beware of the GIF: Account Takeover Vulnerability in Microsoft Teams | CyberArk</a></p>

<!-- more -->


<p>まず大前提として、Teams では以下のようなアクセスコントロールがなされていました。</p>

<ul>
<li>Teams は内部的に以下の2つの JWT Token を利用する。

<ul>
<li>OAuth2 Access Token

<ul>
<li>Issuer: &ldquo;<a href="https://sts.windows.net/">https://sts.windows.net/</a>&lt;tenant-id>/&rdquo;</li>
<li>Audience: &ldquo;<a href="https://api.spaces.skype.com">https://api.spaces.skype.com</a>&rdquo;</li>
<li>Scope: &ldquo;user_impersonation&rdquo;</li>
</ul>
</li>
<li>Skype Token

<ul>
<li>Skype ID (= End-user&rsquo;s Object ID) を含んだ独自 JWT Token</li>
<li>Teams API にアクセスするためにはこちらの Token が必要</li>
<li>この Token は上記 Access Token を使って取得可能</li>
</ul>
</li>
</ul>
</li>
<li>Teams にアップロードされた画像はMSが管理するサーバーに置かれ、Teams にログイン中の状態でしか見れない。

<ul>
<li>この画像へのアクセスには &ldquo;skypetoken_asm&rdquo; という Cookie にセットされた &ldquo;Skype Token&rdquo; を利用</li>
</ul>
</li>
</ul>


<p>これだけ見ると、「GIF をアップロードしただけでアカウント乗っ取り可能」というほどクリティカルではなさそうに見えます。</p>

<p>でも、よくよく英語記事の方を読んでみると、以下の3つが組み合わさって、アカウント乗っ取りが可能になっていたようです。</p>

<ul>
<li>OAuth2 Access Token 自体が Cookie に以下の状態でセットされていた。

<ul>
<li>Key : &ldquo;authtoken&rdquo;</li>
<li>Domain : &ldquo;*.teams.microsoft.com&rdquo;</li>
</ul>
</li>
<li>以下2ドメインが Subdomain Takeover 可能であった。

<ul>
<li>aadsync-test.teams.microsoft.com</li>
<li>data-dev.teams.microsoft.com</li>
</ul>
</li>
<li>Giphy 投稿時の API Request に (Developer Console とか使えば) 任意の画像 URL を指定可能であった。</li>
</ul>


<p>うん、そりゃ Access Token ダダ漏れしますね。</p>

<p>画像ファイルのアップロード機能が問題だったわけではなく、GiphyコンテンツとしてPOSTされたコンテンツが問題だったのですね。</p>

<p>で、MS側は以下の対応を施した、と。</p>

<ul>
<li>Subdomain Takeover の脆弱性を修正</li>
<li>&ldquo;authtoken&rdquo; Cookie を &ldquo;teams.microsoft.com&rdquo; ドメインに限定</li>
</ul>


<p>これでひとまず脆弱性自体は修正されました。</p>

<p>でもそもそも、</p>

<ul>
<li>&ldquo;user_impersonation&rdquo; Scope さえ持ってれば全 API にアクセス可能可能で</li>
<li>そのトークンをいろんなサブドメインに投げまくる</li>
</ul>


<p>前提の設計って、どうなんでしょうね。。</p>

<p>Skype Token はいまだにいろんなドメインのいろんな API に以下のように統一感ない形で送られていて</p>

<ul>
<li>Authorization: skypetoken XXX</li>
<li>Authorization: skype_token XXX</li>
<li>x-skypetoken: XXX</li>
</ul>


<p>挙句には Cookie に</p>

<ul>
<li>&ldquo;skypetoken_asm&rdquo; という Key で</li>
<li>&ldquo;*.asm.skype.com&rdquo; ドメイン指定で</li>
</ul>


<p>セットされてますし</p>

<ul>
<li>この Token にも Scope という概念がない (&ldquo;scp=780&rdquo; 固定)</li>
</ul>


<p>ようですし。。</p>

<p>やはり僕らは</p>

<ul>
<li>Google Wave だか</li>
<li>Google Duo だか</li>
<li>Google Allo だか</li>
<li>Google Hangouts だか</li>
<li>Hangouts Meet だか</li>
<li>Google Meet だか</li>
</ul>


<p>とかいうコロコロ名前とかブランド変わってるのか別プロダクトなのかすらようわからんアレを使うしかないのでしょうか？</p>

<p>ps.<br/>
2020年4月現在、世界中コロナで大変な時期ですが、次の記事を書く頃には世の中落ち着いているでしょうか？
そしてそのころ Google のアレはなんていう名前になっているのでしょうか？</p>
]]></content>
  </entry>
  
  <entry>
    <title type="html"><![CDATA[Sign in With Apple の特徴分析 (2)]]></title>
    <link href="https://oauth.jp/blog/2019/06/12/sign-in-with-apple-analysis-2/"/>
    <updated>2019-06-12T15:14:00+09:00</updated>
    <id>https://oauth.jp/blog/2019/06/12/sign-in-with-apple-analysis-2</id>
    <content type="html"><![CDATA[<p><a href="https://oauth.jp/blog/2019/06/08/sign-in-with-apple-analysis/">Sign in With Apple の特徴分析 (1)</a> のつづき。</p>

<p>文章でつらつら書いても結局わかりづらいもんはわかりづらいんで、もう箇条書きで淡々と。</p>

<p>これだけそろってれば、あと最後の <strong><em>要調査</em></strong> ってとこを各自必要に応じて調べるなり、誰かがこの記事にコメントしてくれるなりすれば、一通りみなさんのサービスの設計に落とせるんでは無いかと思います。</p>

<p>※ 落とせない人は <a href="https://yauth.jp">僕 (= YAuth.jp 合同会社) に仕事を依頼する</a> という手もありますw</p>

<!-- more -->


<h2>各種 ID とその対象 (?) 範囲</h2>

<h3>Developer が使う IDs 等</h3>

<ul>
<li>Team ID

<ul>
<li>個人向け Apple Developer Account では Developer Account に1つ</li>
<li>Enterprise 向け Apple Developer Account での話はしらない</li>
</ul>
</li>
<li>App ID

<ul>
<li>App Store に並べるアプリ毎に1つ</li>
<li>MacOS App と iOS App では別 App ID</li>
<li>Native SDK で Sign in with Apple する場合の Client ID に相当</li>
<li>App ID に対して Sign in with Apple の設定をする際には以下が必要

<ul>
<li>Primary App ID の指定</li>
</ul>
</li>
<li>Sign in with Apple の設定を通じて Primary App ID に紐づく</li>
</ul>
</li>
<li>Service ID

<ul>
<li>App Store に並べるアプリには紐づかない ID</li>
<li>現状この Service ID を使ってできることは Sign in with Apple のみ</li>
<li>Service ID に対して Sign in with Apple の設定をする際には以下が必要

<ul>
<li>Primary App ID の指定</li>
<li>Web Domain の設定と Domain Verification</li>
<li>Return URIs (= redirect_uri) の指定

<ul>
<li>複数可</li>
<li>上記 Verified Domain 外の URL でも指定可

<ul>
<li>Domain Verification の存在意義は不明..</li>
</ul>
</li>
</ul>
</li>
</ul>
</li>
<li>Native SDK の外で Sign in with Apple する場合の Client ID に相当</li>
<li>Sign in with Apple の設定を通じて Primary App ID に紐づく</li>
</ul>
</li>
<li>Primary App ID

<ul>
<li>App ID および Service ID に対して Sign in with Apple の設定をする際に指定</li>
<li>Primary App ID 単位で Key を発行</li>
<li>Primary App ID 単位で Client Access を Revoke</li>
<li>(たぶん) Primary App ID 単位で Private Email を発行</li>
</ul>
</li>
<li>Key

<ul>
<li>Client Secret に指定する JWT に署名するための EC 秘密鍵</li>
<li>Primary App ID に紐づく</li>
<li>1つの Primary App ID に複数の Key を発行可能</li>
</ul>
</li>
<li>Client Secret に指定する JWT

<ul>
<li>iss

<ul>
<li>Team ID</li>
</ul>
</li>
<li>aud

<ul>
<li>Apple IdP の Issuer Identifier</li>
</ul>
</li>
<li>sub

<ul>
<li>Native SDK で code を受け取った場合は当該アプリの App ID</li>
<li>Native SDK 以外で code を受け取った場合は当該サービスの Service ID</li>
<li>code を access_token と交換する役目を負う Backend Server の Client ID とは限らない点に注意</li>
</ul>
</li>
<li>iat

<ul>
<li>現在時刻 (UNIX Timestamp)</li>
</ul>
</li>
<li>exp

<ul>
<li>現在より未来かつ6ヶ月以内の時刻 (UNIX Timestamp)</li>
<li>通常は Token Request 毎に動的に JWT を生成し数分後くらいの exp を指定するものと思われる</li>
</ul>
</li>
<li>署名鍵

<ul>
<li>当該 Client に紐づく Primary App ID に紐づいた Key</li>
</ul>
</li>
</ul>
</li>
<li>Private Email Relay Service 設定

<ul>
<li>Team ID に紐づく</li>
<li>当該 Team ID 配下の全 App ID / Service ID に対して発行された Private Email Address にメール送信できる送信元ドメイン &amp; メールアドレスを指定</li>
<li>10 ドメインまでしか登録できない

<ul>
<li>10+ サービスを同一 Team ID 配下に登録しつつサービス毎に送信元ドメイン変えるとかは無理かも</li>
</ul>
</li>
</ul>
</li>
</ul>


<h2>User に紐づく IDs 等</h2>

<ul>
<li>ID Token の sub

<ul>
<li>Team ID 単位で異なる PPID</li>
</ul>
</li>
<li>Private Email

<ul>
<li>現状これがどの単位で異なる値となるのか不明 (実機の iOS 13 beta も Simulator も挙動が不安定)

<ul>
<li>Team ID 単位？</li>
<li>Primary App ID 単位？ &lt;= Revoke 単位見る限りたぶんこれ</li>
<li>App ID 単位？</li>
<li>Primary App ID 単位？</li>
</ul>
</li>
<li>Revoke 毎に変わる

<ul>
<li>sub は Revoke 前後でも変わらないんだしメアドだけ変わる意味は無いのだが&hellip;</li>
</ul>
</li>
<li>当該アドレスに紐づく Team ID の Private Email Relay Service に登録された送信元ドメイン &amp; メールアドレスからしかメールが届かない

<ul>
<li>Revoke 画面で Revoke はせずにメール転送を OFF にすることも可能</li>
</ul>
</li>
<li>単一 Team ID 内に複数の Primary App ID がある場合は単一 sub に複数 Private Email を紐づけて保存する必要あり

<ul>
<li>sub は Team ID 単位でメアドは Primary App ID 単位であることからくる現象

<ul>
<li>※ あくまで Private Email が Primary App ID 単位で発行されるという前提で話をしている</li>
</ul>
</li>
<li>Email の転送 ON/OFF 設定は Revocation 単位 (= Primary App ID 単位) なので、転送 OFF したつもりが別アプリ向けメアドにメール来たりすると問題</li>
</ul>
</li>
</ul>
</li>
<li>Client Access の Revocation

<ul>
<li>Primary App ID 単位</li>
</ul>
</li>
</ul>


<h2>その他調べるべき項目</h2>

<ul>
<li>Touch ID / Face ID 使えるパターン・使えないパターン

<ul>
<li>iOS

<ul>
<li>SDK (ASAuthorizationAppleID~) => 使える</li>
<li>ASWebAuthenticationSession => <strong><em>要調査</em></strong></li>
<li>SFAuthenticationSession => <strong><em>要調査</em></strong></li>
<li>SFSafariViewController => <strong><em>要調査</em></strong></li>
<li>WKWebView => <strong><em>要調査</em></strong></li>
<li>UIWebView => <strong><em>要調査</em></strong> でもまだこれいるの？</li>
</ul>
</li>
<li>MacOS

<ul>
<li>SDK (ASAuthorizationAppleID~) => <strong><em>要調査</em></strong> たぶん使える</li>
<li>ASWebAuthenticationSession => <strong><em>要調査</em></strong></li>
<li>WebView => <strong><em>要調査</em></strong> そもそも MacOS の場合の WebView とかさっぱりわからん</li>
</ul>
</li>
<li>Safari

<ul>
<li>w/ Apple JS SDK => 使える</li>
<li>w/o Apple JS SDK => 使えない

<ul>
<li>ただし近い将来 appleid.apple.com ドメイン全体で Touch ID / Face ID が使えるようになる兆しあり</li>
</ul>
</li>
</ul>
</li>
<li>Android => 使えない</li>
<li>Safari 以外のブラウザ => 使えない</li>
</ul>
</li>
</ul>


<p>ということで、要調査のところはそろそろめんどくさくなってきたんでわかった人教えていただけるとありがたいですw</p>
]]></content>
  </entry>
  
  <entry>
    <title type="html"><![CDATA[Sign in with Apple の特徴分析 (1)]]></title>
    <link href="https://oauth.jp/blog/2019/06/08/sign-in-with-apple-analysis/"/>
    <updated>2019-06-08T21:04:00+09:00</updated>
    <id>https://oauth.jp/blog/2019/06/08/sign-in-with-apple-analysis</id>
    <content type="html"><![CDATA[<p><a href="https://oauth.jp/blog/2019/06/04/sign-in-with-apple/">前記事</a> で書いたように、ここ数日 Sign in with Apple 用の RubyGem 作りながら、Sign in with Apple の特徴というか、他の IdP との違いみたいなところいろいろ調査したので、現時点での Sign in with Apple に対する雑感をまとめておきます。</p>

<h2>Client ID と Team ID および App ID との関係</h2>

<p>個人として Apple Developer Account 使ったことしかないんで、会社として Developer 登録してる時の Team の扱いとかよくわかってないんですが、Apple Developer Account 登録すると Team ID ってのが割り振られます。個人だと 1 Developer Account に 1 Team ID。</p>

<p>この1つの Team ID の下に、複数の子 App ID が登録可能です。1 iOS App についき 1 App ID。</p>

<p>さらに、App ID には &ldquo;Primary&rdquo; という概念もあり、1つの Primary App ID の下に複数の App ID を登録することができます。</p>

<p>ここまでは、お仕事で実際に iOS App 作ってる人たちにはきっと当たり前な話なんだと思います。</p>

<p>そして、Primary App ID の下に App ID の代わりに Service ID っていうのが登録できます。</p>

<p>Service ID っての設定画面には Sign in with Apple 関連の設定項目しかないから、これは今回初めて出てきたものなのかもしれませんね。</p>

<p>で、iOS App で Sign in with Apple 使う場合は App ID というのが OAuth Client に該当し、Web とか Android とかで Sign in with Apple 使う時は、 Service ID というのが OAuth Client に該当するようです。</p>

<p>1 Team ID の下に複数 App ID が登録され、1 App ID の下に複数の子 App ID と Service ID が登録され、iOS/Mac Native の世界では App ID が、それ以外では Service ID が OAuth Client となる。</p>

<p>ここまではいいですね？いや、正直間違ってるかもしれんけどw</p>

<p>そして、Client の鍵 (Client Secret を生成する為の秘密鍵、詳しくは後述) を別途生成するのですが、この鍵は Primary App ID 毎に登録することになります。</p>

<p>鍵は Key Rotation のことも考慮してか、1 Primary App ID に複数同時に登録できます。</p>

<p>ただ、1 OAuth Client に 1 Private Key、という単位ではないので、鍵管理のやり方は普通の OAuth Client の場合と異なるやり方が必要になる Developer さんもいるかもしれませんね。</p>

<!-- more -->


<h2>User ID の発行ルール</h2>

<p>Apple が発行する User ID (Subject Identifier) は PPID (Pairwise Pseudonymous Identifier) になっています。</p>

<p>通常の OIDC では、PPID は同一ユーザーでも Client ID が異なれば異なる値となり、複数 Client 間でユーザーの名寄せを防ぐ効果があります。</p>

<p>しかし Apple の場合は Web では Web の Service ID、iOS App では iOS App の App ID というように、同一サービスでも Client ID が異なるので、それらの間でユーザーの名寄せができないと困ってしまいます。</p>

<p>そのため、Apple は Team ID 単位で PPID を発行します。</p>

<p>同一ユーザーでも、User ID が渡されるアプリの Team ID が違えば User ID は異なるが、同一 Team ID 内では全ての App ID および Service ID にまたがって同一の User ID を受け取ることができます。</p>

<p>Primary App ID 単位で PPID 払い出す方が自然な気がしますが、まぁその辺は Apple Developer 経験無いんでよくわかりません。</p>

<h2>Email アドレスの発行ルール</h2>

<p>Native SDK 経由で Sign in with Apple 使った場合は、&#8221;email&#8221; scope を要求するとユーザーの Email アドレスを受け取ることができます。(現状では Web では同じ scope 要求しても Email を受け取る術はありません)</p>

<p>この Email アドレスは、当該 Apple ID に紐づいたメアド (複数存在することあり) を渡すか、Apple が発行するランダムなメアドを渡すかを、ユーザーが選ぶことができます。</p>

<p>ランダムなメアドを使った場合、そのメアドは当該 Client のアクセスを Revoke した時点で利用不可能となり、次回同一ユーザーが再度 Approve すると別のメアドが発行されることになります。</p>

<p>通常の Social Login では、初回登録時にメアドを取得したら、次回以降のログイン時には別メアドが渡されてきても無視していることが多いと思いますが、Sign in with Apple でランダムなメアド受け取っている場合には、次回以降のログイン時に別のランダムなメアド渡されると、古いメアドを新しいものに更新してやる必要があります。</p>

<p>なお、現状では Native SDK 以外では Email 受け取る術がないので、このままだと Web で Sign in with Apple で登録されてしまうと、登録時にはメアドが取れないことになります。Twitter ログインみたいですね。</p>

<h2>Client Secret の発行ルール</h2>

<p>Client Secret というのは通常固定値で、環境変数なりに入れておいてずっと同じ値を使い続けていると思いますが、Sign in with Apple では Client Secret として JWT を生成する必要があります。</p>

<p>詳しい Client Secret の生成方法は <a href="https://github.com/nov/apple_id/blob/05b06750b219080022191b6497b0bc768b2c0dd9/lib/apple_id/client.rb#L22">僕の RubyGem の当該部分</a> 見ていただくとお分かりかと思いますが、Issuer が Team ID で、Subject に Client ID を指定します。</p>

<p>なお、この JWT には Private Key 毎に Apple が割り振る Key ID を kid ヘッダーに指定することになっているのですが、どうもこの kid を指定しなくても動くようで、kid 指定してない記事がちらほら見受けられます。</p>

<p>Key Rotation 途中の複数鍵が存在するシチュエーションでだけエラーになるとかあるあるなんで、kid は指定するようにしましょうね。</p>

<h2>ID Token の発行ルール</h2>

<p>Native SDK や Apple が提供する JS SDK を使うと、フロントエンドで Authorization Code と同時に ID Token が受け取れます。</p>

<p>これには response_type=code+id_token を利用しています。</p>

<p>ただ、通常 OIDC ではフロントチャネルで発行された ID Token には nonce を含める必要があるのですが、Sign in with Apple では nonce 自体サポートされていません。</p>

<p>Replay 攻撃し放題ですね。</p>

<p>もし Replay 攻撃されて困るようであれば、フロントチャネルで受け取った ID Token は華麗にガン無視し、Authorization Code を使って Token Request を送り、バックチャネルで受け取った ID Token だけを利用するようにしましょう。</p>

<p>なおこの場合でも nonce がないのでいわゆる &ldquo;Code Injection 攻撃&rdquo; に対しては対処しようがありません。</p>

<p>現状 OAuth Client 側ができる対応としては、Authorization Code を漏らさないように頑張るくらいしかなさそうです。</p>

<p>てか、フロントチャネルで発行される ID Token って、使い道としては Detached Signature くらいしかないはずなんですけど、c_hash もなく nonce もない ID Token 発行する Apple さんは何考えているんでしょうか？</p>

<p>何の使い道もない ID Token を発行しないでください。バカが使って脆弱性を作ってしまうではないですか。</p>

<h2>UserInfo の取得方法</h2>

<p>既に述べましたが、Email (と Display Name) は Native SDK でしか取得できません。</p>

<p>Web で登録された時にメアド取れなくて困るってのもあるんですが、そもそもフロントチャネルで取得した UserInfo って、結局バックエンドに送るじゃないですか？</p>

<p>で、バックエンドへの通信って、Charles Proxy みたいないわゆる SSL Proxy 使うと、端末所有者からすれば割と簡単に書き換え可能じゃないですか？</p>

<p>でも、そのメアドは Apple さん的には Verify 済だとおっしゃるんですよ。だから疎通確認メールを各 Client が送信する必要はない、と。</p>

<p>いやいや、フロントチャネルでそんなメアド渡されたって、Verified な状態でそのままバックエンドに送るの大変ですから。</p>

<p>Native SDK では User ID までフロントチャネルで取れちゃうんで、アプリからバックエンドに Email と User ID 送りつけて、それ改ざんしたら他人のアカウントにログインできちゃう〜、みたないアプリが出てきそうなにおいがします。</p>

<h2>User 認証の UX</h2>

<p>Safari で Apple 公式 JS SDK を使った場合と Native SDK を使った場合は、OS ログイン時のパスワードとか FaceID / TouchID で認証することでユーザー認証が行えます。</p>

<p>これは UX 素晴らしいです。</p>

<p>UX 的にはほぼほぼ WebAuthn と同じであり、iOS Web では WebAuthn じゃなくて Sign in with Apple でいいんじゃね？みたいな気がしなくもないです。</p>

<p>が、それ以外の環境でのログイン UX は結構辛いものがあります。</p>

<p>Apple ID ってなんかやたら二段階認証設定させようとしてくるし、ついつい二段階認証有効にしてしまうじゃないですか？で、6桁 PIN が iPhone なり Mac に飛んできますよね？</p>

<p>あれを Android ユーザーが Web で使うことを考えてください。</p>

<p>その6桁 PIN が飛んでくる端末、きっとそん時そのユーザーの手元には&hellip;ないよねぇ〜。</p>

<p>まぁ SMS で PIN 送るオプションもあるんで、Android 単体で完結しなくもないですけど、ちょっと iOS から Android に乗り換えたユーザーのこと考えると、悪夢です。</p>

<h2>まだまだ続くかな？</h2>

<p>もうそろそろ疲れたので今日はこれくらいで。</p>

<p>もうちょい気になる点あるんだけど、それは (2) で書くかもですし、(2) は無いかもです。</p>

<p>あ、ヤフースコア取得用 Client ID が取得できたら、絶対 (2) も書いちゃうな〜。</p>

<blockquote class="twitter-tweet" data-lang="en"><p lang="ja" dir="ltr">Y!J 社に大人な感じで「ヤフースコア確認サービス」という各ユーザーが自分のヤフースコアを確認できるサービスを作りたいから Client IDくれよって依頼を投げてみた。</p>&mdash; nov matake (@nov) <a href="https://twitter.com/nov/status/1135853530072305664?ref_src=twsrc%5Etfw">June 4, 2019</a></blockquote>


<p> <script async src="https://platform.twitter.com/widgets.js" charset="utf-8"></script></p>

<blockquote class="twitter-tweet" data-lang="en"><p lang="ja" dir="ltr">Y!J 社に大人な感じで「ヤフースコア確認サービス」という各ユーザーが自分のヤフースコアを確認できるサービスを作りたいから Client IDくれよって依頼を投げてみた。</p>&mdash; nov matake (@nov) <a href="https://twitter.com/nov/status/1135853530072305664?ref_src=twsrc%5Etfw">June 4, 2019</a></blockquote>


<p> <script async src="https://platform.twitter.com/widgets.js" charset="utf-8"></script></p>

<blockquote class="twitter-tweet" data-lang="en"><p lang="ja" dir="ltr">Y!J 社に大人な感じで「ヤフースコア確認サービス」という各ユーザーが自分のヤフースコアを確認できるサービスを作りたいから Client IDくれよって依頼を投げてみた。</p>&mdash; nov matake (@nov) <a href="https://twitter.com/nov/status/1135853530072305664?ref_src=twsrc%5Etfw">June 4, 2019</a></blockquote>


<p> <script async src="https://platform.twitter.com/widgets.js" charset="utf-8"></script></p>

<p>自分で OAuth Client 自作できるみなさんにはぜひ Yahoo! JAPAN にヤフースコア取得可能な Client ID 発行を依頼することをお勧めしますし、そうでないみなさんにはヤフースコアのオプトアウトをお勧めします。</p>

<p><a href="https://news.yahoo.co.jp/byline/fujisiro/20190604-00128752/">ユーザーの行動や消費を“格付け”「Yahoo!スコア」の作成・利用を拒否する方法</a></p>

<p>それではいい週末を。</p>

<p>追記)<br/>
<a href="https://oauth.jp/blog/2019/06/12/sign-in-with-apple-analysis-2/">Sign in With Apple の特徴分析 (2)</a> 書きました。</p>
]]></content>
  </entry>
  
  <entry>
    <title type="html"><![CDATA[Rubygem for Sign in with Apple & Rails Sample App]]></title>
    <link href="https://oauth.jp/blog/2019/06/04/sign-in-with-apple/"/>
    <updated>2019-06-04T22:38:00+09:00</updated>
    <id>https://oauth.jp/blog/2019/06/04/sign-in-with-apple</id>
    <content type="html"><![CDATA[<p>iOS App に Apple ID でログインできたらいいのになぁ〜と思い続けてはや数年、ついにそんな時代がやってきましたね！</p>

<p>ということで、FB Connect 登場時の fb_graph gem リリース以来のスピード感で、Sign in with Apple 用の ruby gem をリリースしてみました。</p>

<p><a href="https://github.com/nov/apple_id">github.com/nov/apple_id</a></p>

<p>ついでに Rails のサンプルアプリも。</p>

<p><a href="https://github.com/nov/signin-with-apple">github.com/nov/signin-with-apple</a></p>

<p>このサンプルアプリはこちらで動かしてるので、試したい方はどうぞ。</p>

<p><a href="https://signin-with-apple.herokuapp.com/">signin-with-apple.herokuapp.com</a></p>

<p>Sign in with Apple は OpenID Connect を採用してるんですが、現状では Native SDK でしか email や fullName は取れないようです。</p>

<p>そのうち UserInfo API が出てくると思うんで、出てきたら apple_id gem でもサポートしようかと思います。</p>

<p>ps.<br/>
とりあえず Terminal で動かすだけでいいよって方はこちらのサンプルをどうぞ。</p>

<p><a href="https://gist.github.com/nov/993a303aa6badd8447f7b96fb952088e">https://gist.github.com/nov/993a303aa6badd8447f7b96fb952088e</a></p>
]]></content>
  </entry>
  
  <entry>
    <title type="html"><![CDATA[Alexa と Nature Remo の Account Linking]]></title>
    <link href="https://oauth.jp/blog/2018/03/09/alexa-and-nature-remo/"/>
    <updated>2018-03-09T20:24:00+09:00</updated>
    <id>https://oauth.jp/blog/2018/03/09/alexa-and-nature-remo</id>
    <content type="html"><![CDATA[<p>ついに <a href="http://amzn.to/2HjU7Yp">Amazon Echo Plus</a> の購入券当選通知が来たので、Echo Plus と一緒に <a href="http://amzn.to/2oVl4Ls">Nature Remo</a> を買いました。</p>

<p><a href="https://www.amazon.co.jp/Nature-Inc-Remo-01-Remo/dp/B06XCQFP96/ref=as_li_ss_il?s=aps&ie=UTF8&qid=1520594772&sr=1-1-catcorr&keywords=nature+remo&linkCode=li3&tag=bianca0b-22&linkId=13d9bc61ca409c43ab2dc391c559aa12" target="_blank"><img border="0" src="https://oauth.jp//ws-fe.amazon-adsystem.com/widgets/q?_encoding=UTF8&ASIN=B06XCQFP96&Format=_SL250_&ID=AsinImage&MarketPlace=JP&ServiceVersion=20070822&WS=1&tag=bianca0b-22" ></a><img src="https://ir-jp.amazon-adsystem.com/e/ir?t=bianca0b-22&l=li3&o=9&a=B06XCQFP96" width="1" height="1" border="0" alt="" style="border:none !important; margin:0px !important;" /></p>

<p>エアコン推しですが、テレビのリモコン等、赤外線飛ばすリモコンならなんでも対応できる、素敵な「スマートリモコン」です。</p>

<p>Nature Remo アプリでセットアップして、アプリからリモコンつけたり消したりできるのも素敵ですし、アプリで設定しといたら iPhone が Nature Remo から 30m 以上離れたら自動でエアコン切るルールとか設定しとけるのも素敵です。</p>

<p>が、やはりここは</p>

<p><strong>「Alexa、エアコンをつけて」</strong></p>

<p>ってやりたいですよね。</p>

<!-- more -->


<p>そのためには、Alexa アプリで「Nature Remo Smart Home Skill」ってのをインストールして、アカウントリンキングを設定する必要があります。Nature Remo に紐づいた Nature Remo アカウントと、Alexa に紐づいた Amazon アカウントを紐づける処理ですね。</p>

<p>で、これ、Alexa アプリから OAuth Authorization Request をスタートさせて、Nature Remo 側の Authorization Server にログインして、Alexa アプリ (というか Alexa 側の Redirect URI) に戻ってくる必要があります。</p>

<p>ここで、Nature Remo 側で必ずエラーになります。</p>

<p>Nature Remo アカウントって、パスワードがなくて、毎回登録したメアドに送られてくるマジックリンクをクリックしてログインするんですよ。</p>

<p>でね、Alexa アプリの SafariViewController でメアド入力して、外部 Safari でメール中のリンククリックすると、両者のセッションがずれちゃうから、CSRF エラーかなんかになってるんですよ。</p>

<p>US の Alexa の場合は、Amazon.com サイトから Skill インストールできるから、PC/Mac で設定してやればうまくいくのかもしれませんが、日本の場合は Alexa アプリからアカウントリンクスタートするしかないんで、これ絶対にログイン成功しませんよね&hellip;</p>

<p>でもまぁ、僕はちょっと OAuth とか iOS とか詳しいんで、やってやりましたよ。</p>

<p>絶妙なタイミングで、SafariViewController の下の方にある外部 Safari 開くボタンを、押してやりましたよ。</p>

<p>そう、OAuth Authorization Request が Remo サーバーに届く前に、外部 Safari に遷移してしまうんです。</p>

<p>で、なんとかうまくいきました。</p>

<p><strong>これ一般ユーザーには無理ゲーすぎやろ。</strong></p>
]]></content>
  </entry>
  
  <entry>
    <title type="html"><![CDATA[SAML Authentication Bypass Vulnerability]]></title>
    <link href="https://oauth.jp/blog/2018/03/02/saml-authentication-bypass-vulnerability/"/>
    <updated>2018-03-02T10:42:00+09:00</updated>
    <id>https://oauth.jp/blog/2018/03/02/saml-authentication-bypass-vulnerability</id>
    <content type="html"><![CDATA[<p>脆弱性の内容に関する <a href="http://idmlab.eidentity.jp/2018/03/saml-idp.html">日本語解説はこちら</a>。</p>

<p>で、実際に脆弱性が存在してた実装もみてみると、OneLogin 製の ruby-saml だと、該当の脆弱性はここで修正されてます。</p>

<p><a href="https://github.com/onelogin/ruby-saml/commit/048a544730930f86e46804387a6b6fad50d8176f">Fix vulnerability CVE-2017-11428. Process text of nodes properly, ign… · onelogin/ruby-saml@048a544</a></p>

<p><a href="https://github.com/onelogin/ruby-saml/commit/048a544730930f86e46804387a6b6fad50d8176f#diff-d3e2c1bdc6c1e8b207dd7ded3ae35320R288">この行</a> がまさにメインの修正箇所なんですが、いままで <code>REXML::Element#text</code> 呼んでいたものを、すべて <code>REXML::Element#texts</code> を <code>join</code> するように変更してますね。</p>

<p>でも、そもそもこれ署名検証の部分の修正が含まれてないのはなぜでしょう？</p>

<p><a href="https://github.com/onelogin/ruby-saml/blob/048a544730930f86e46804387a6b6fad50d8176f/lib/xml_security.rb#L271">署名検証してるのはここ</a> なんですが、これ、よくみると <code>REXML</code> じゃなくて <code>Nokogiri</code> 使ってますね。<code>REXML</code> には XML 正規化の機能がなかったから、その部分だけ <code>Nokogiri</code> 使ったんですかね。</p>

<p><strong>なら全部 <code>Nokogiri</code> 使えや。</strong></p>

<p>2つの XML Parser を1つの実装の中で混在させてる時点で、すごいやな香りしますよね。<code>ruby-saml</code> は今回の脆弱性修正でも、その状況は変わってないので、Ruby で SAML 実装するなら <code>libsaml</code> (<a href="https://github.com/digidentity/libsaml">digidentity/libsaml</a>) に移行した方が良さそうですね。</p>

<p>ちなみに、OpenID Connect ならそんなことないのかっていうと、当然あります。<code>ruby-jwt</code> と <code>json-jwt</code> を混在させてる <a href="https://github.com/18F/identity-openidconnect-sinatra/blob/master/Gemfile#L10">NIST の RP サンプル</a> とかね。</p>

<p><code>ruby-jwt</code> に JWK まわりの機能がないから <code>json-jwt</code> を JWK のためだけに使ってて、それ自体はまぁそんな悪い予感しないけど&hellip;</p>

<p><strong>なら全部 <code>json-jwt</code> 使えや。</strong></p>
]]></content>
  </entry>
  
  <entry>
    <title type="html"><![CDATA[Azure Portal 上の PowerShell から O365 SAML 設定]]></title>
    <link href="https://oauth.jp/blog/2017/11/02/o365-saml-setting-via-in-browser-powershell/"/>
    <updated>2017-11-02T15:22:00+09:00</updated>
    <id>https://oauth.jp/blog/2017/11/02/o365-saml-setting-via-in-browser-powershell</id>
    <content type="html"><![CDATA[<p>どうも、MS MVP (Enterprise Mobility) の Nov です。</p>

<p>普段もっぱら O365 の SAML 設定をいじって、自作 SAML IdP と Federation する毎日です。</p>

<p>いや、年に6回くらいかな。</p>

<p>で、毎回 PowerShell の使い方忘れるので、メモ代わりに過去にもこんな記事書いてきました。</p>

<ul>
<li><a href="https://oauth.jp/blog/2016/07/01/o365-saml-federation/">Office 365 と外部 SAML IdP との連携設定</a></li>
<li><a href="https://oauth.jp/blog/2017/05/18/powershell-for-azuread/">PowerShell for AzureAD</a></li>
</ul>


<p>そんな、普段はもっぱら Azure 上の Windows 10 VM から PowerShell いじってる僕ですが&hellip;</p>

<p>今日気づいてしまったんです！！<a href="portal.azure.com">Azure Portal</a> 上で In-Browser PowerShell が動くようになってるってことに！！</p>

<!-- more -->


<p><img src="https://oauth.jp/images/posts/azure/powershell-in-browser.png" alt="In-Browser PowerShell" /></p>

<p>「Mac 上の Safari で開いた Azure Portal で Bash なんか動かしてどうすんねん」思ってた僕ですが、動くのが PowerShell となれば話は別です。</p>

<p>もう Windows いらんやん。</p>

<p>ということで、早速 O365 の SAML 設定を In-Browser PowerShell からやってみました。</p>

<p>まずは必要な PowerShell Module をインストールして&hellip; (初回のみ)</p>

<figure class='code'><figcaption><span></span></figcaption><div class="highlight"><table><tr><td class="gutter"><pre class="line-numbers"><span class='line-number'>1</span>
<span class='line-number'>2</span>
</pre></td><td class='code'><pre><code class='ps1'><span class='line'><span class="c"># 初回のみ</span>
</span><span class='line'><span class="n">Install-Module</span> <span class="n">MSOnline</span><span class="p">,</span> <span class="n">AzureAD</span>
</span></code></pre></td></tr></table></div></figure>


<p>Module Import &amp; AzureAD に管理者アカウントでログイン (PowerShell 起動毎に一度だけ)</p>

<figure class='code'><figcaption><span></span></figcaption><div class="highlight"><table><tr><td class="gutter"><pre class="line-numbers"><span class='line-number'>1</span>
<span class='line-number'>2</span>
<span class='line-number'>3</span>
</pre></td><td class='code'><pre><code class='ps1'><span class='line'><span class="nb">Import-Module</span> <span class="n">MSOnline</span><span class="p">,</span> <span class="n">AzureAD</span>
</span><span class='line'><span class="nv">$credential</span> <span class="p">=</span> <span class="nb">Get-Credential</span>
</span><span class='line'><span class="nb">Connect-MsolService</span> <span class="n">-Credential</span> <span class="nv">$credential</span>
</span></code></pre></td></tr></table></div></figure>


<p>そして SAML 設定。</p>

<figure class='code'><figcaption><span></span></figcaption><div class="highlight"><table><tr><td class="gutter"><pre class="line-numbers"><span class='line-number'>1</span>
<span class='line-number'>2</span>
<span class='line-number'>3</span>
<span class='line-number'>4</span>
<span class='line-number'>5</span>
<span class='line-number'>6</span>
<span class='line-number'>7</span>
<span class='line-number'>8</span>
</pre></td><td class='code'><pre><code class='ps1'><span class='line'><span class="nv">$certificate</span> <span class="p">=</span> <span class="s2">&quot;MIIDVzCCAj...(中略)...QQBsHQ==&quot;</span>
</span><span class='line'><span class="nv">$entity_id</span> <span class="p">=</span> <span class="s2">&quot;https://nov-idp.dev&quot;</span>
</span><span class='line'><span class="nv">$logout_url</span> <span class="p">=</span> <span class="s2">&quot;https://nov-idp.dev/saml2/o365/logout&quot;</span>
</span><span class='line'><span class="nv">$login_url</span> <span class="p">=</span> <span class="s2">&quot;https://nov-idp.dev/saml2/o365/login&quot;</span>
</span><span class='line'><span class="nv">$brand_name</span> <span class="p">=</span> <span class="s2">&quot;OAuth.jp (O365)&quot;</span>
</span><span class='line'><span class="nv">$domain</span> <span class="p">=</span> <span class="s2">&quot;oauth.jp&quot;</span>
</span><span class='line'>
</span><span class='line'><span class="nb">Set-MsolDomainAuthentication</span> <span class="n">-DomainName</span> <span class="nv">$domain</span> <span class="n">-FederationBrandName</span> <span class="nv">$brand_name</span> <span class="n">-Authentication</span> <span class="n">Federated</span> <span class="n">-PassiveLogOnUri</span> <span class="nv">$login_url</span> <span class="n">-SigningCertificate</span> <span class="nv">$certificate</span> <span class="n">-IssuerUri</span> <span class="nv">$entity_id</span> <span class="n">-LogOffUri</span> <span class="nv">$logout_url</span> <span class="n">-PreferredAuthenticationProtocol</span> <span class="n">SAMLP</span>
</span></code></pre></td></tr></table></div></figure>


<p>すべて Safari さえあれば OK です。</p>

<p>もう Windows いらんやん。</p>

<p>時代は Surface Pro LTE モデルだっていうのに。</p>

<p><a href="https://www.amazon.co.jp/%E3%83%9E%E3%82%A4%E3%82%AF%E3%83%AD%E3%82%BD%E3%83%95%E3%83%88-Surface-%E3%83%8E%E3%83%BC%E3%83%88%E3%83%91%E3%82%BD%E3%82%B3%E3%83%B3-Office-FJT-00014/dp/B071P77272/ref=as_li_ss_il?ie=UTF8&qid=1509604915&sr=8-1&keywords=surface+pro&&linkCode=li3&tag=bianca0b-22&linkId=d10ccff459fa49956b8bfd0bbf07592f" target="_blank"><img border="0" src="https://oauth.jp//ws-fe.amazon-adsystem.com/widgets/q?_encoding=UTF8&ASIN=B071P77272&Format=_SL250_&ID=AsinImage&MarketPlace=JP&ServiceVersion=20070822&WS=1&tag=bianca0b-22" ></a><img src="https://ir-jp.amazon-adsystem.com/e/ir?t=bianca0b-22&l=li3&o=9&a=B071P77272" width="1" height="1" border="0" alt="" style="border:none !important; margin:0px !important;" /></p>

<p>ps.</p>

<p>なぜか <code>Connect-MsolService</code> 単体では動きません。</p>

<p>Windows 10 上では <code>Connect-MsolService</code> ってやるとブラウザポップアップ開くのに、なぜかブラウザ内で <code>Connect-MsolService</code> するとブラウザが立ち上がらないのです。</p>

<p>不思議なこともあるものです。</p>
]]></content>
  </entry>
  
  <entry>
    <title type="html"><![CDATA[LINE ID Login]]></title>
    <link href="https://oauth.jp/blog/2017/09/28/line-id-login/"/>
    <updated>2017-09-28T22:52:00+09:00</updated>
    <id>https://oauth.jp/blog/2017/09/28/line-id-login</id>
    <content type="html"><![CDATA[<p>LINE が OpenID Connect サポートしたみたいですね。</p>

<p>なんか前からしてんだと思ってたんですが、まぁいいや。</p>

<p>ということで、早速触ってみました。</p>

<p>こちらに<a href="https://gist.github.com/nov/58912dda45a65768d8f05343225780b2">今回使った Ruby のサンプルスクリプト</a>置いておきます。</p>

<p>まぁ、ちょっと特殊な点がいくつかありますが、十分 OpenID Connect です。</p>

<p>気になった点は以下の通り。</p>

<!-- more -->


<h3>ID Token の署名アルゴリズムが HS256 (HMAC-SHA256)</h3>

<p>HMAC ってことは、署名検証するために client_secret が必要ということです。</p>

<p>Native App で検証しようとすると、Native App に client_secret を埋め込まなければならない訳ですが、それはありえないので、要するに Native App で ID Token の署名検証はできないということです。</p>

<p>まぁ別に Native App で ID Token の署名検証するケースなんてそうそう無いとは思いますが。</p>

<h3>scope=openid だけでは動かない</h3>

<p>LINE の User ID さえもらえればいいよってケースでも、Display Name とか Profile Picture とか取らないといけないっぽいです。</p>

<p>ちょっと OpenID Connect の思想からはずれていますね。</p>

<h3>state が必須</h3>

<p>まぁ仕様的には OPTIONAL なんですけど、これはセキュリティ上はいいことなのではないでしょうか。</p>

<h3>Client 認証に Basic Auth は使えない</h3>

<p>これじゃ OpenID Certification は通らないんですね。</p>

<p>UserInfo API もまだ無いようなんで、Certification 取得とかはもう少し先の話でしょうか。</p>

<h3>Access Token は JWS で署名された非 JWT で Lifetime は1ヶ月</h3>

<p>ちょっと長く無いすか？裏に独自の Revoke の仕組みがあるんなら別にいいんですけど&hellip;</p>

<p>Refresh Token 発行しておいて、Access Token の有効期限が1ヶ月ってのは、結構違和感あります。</p>

<p><em>&hellip;で、こういうの書いとくと、「LINE API Expert」ってやつになって有料スタンプ使い放題になったりするんでしょうか？</em></p>
]]></content>
  </entry>
  
  <entry>
    <title type="html"><![CDATA[Android O AutoFill Framework]]></title>
    <link href="https://oauth.jp/blog/2017/06/09/android-o-autofill-framework/"/>
    <updated>2017-06-09T12:47:00+09:00</updated>
    <id>https://oauth.jp/blog/2017/06/09/android-o-autofill-framework</id>
    <content type="html"><![CDATA[<p>どうも、iPhone ユーザーの Nov です。</p>

<p>Android OS の進化は素晴らしいと思います。<br/>
個人的には、普段使いのスマホじゃなければ Android 一択です。</p>

<p>Chrome の進化も素晴らしいと思います。<br/>
個人的には、普段使いの (ry</p>

<p>最近は Android O から登場した <a href="https://developer.android.com/preview/features/autofill.html">Autofill Framework</a> ってのが気になってます。</p>

<p>Developer Document で <em>&ldquo;Apps that use standard views work with the Autofill Framework out of the box&rdquo;</em> とか言われてるんで、Android App で普通にログインフォーム作れば、勝手に ID &amp; Password が Autofill されるっぽいですね。</p>

<p>え？ID &amp; Password 以外にも、住所やクレカ番号も Autofill されるって？</p>

<p><strong>でしょうね。</strong></p>

<h2>Autofill Framework Sample App 動かしてみよう</h2>

<p>ということで、<a href="https://www.google.com/android/beta">Android O Beta</a> 入れて、<a href="https://github.com/googlesamples/android-AutofillFramework">Autofill Framework Sample</a> 動かしてみましょう。</p>

<p><a href="https://developer.android.com/studio/preview/index.html">Android Studio 3.0 Preview</a> とかいうのもダウンロード必要なようです。</p>

<p>なんかいろいろ足りねぇとかエラー出るけど Java も Kotlin も Android Studio もよぉわからんので、まぁポチポチしていろいろインストールします。</p>

<p>で、Android O Beta をインストールした Nexus 5X (普段使いではない) をターゲットにしてアプリをビルド&hellip;</p>

<p>ジャジャーン！！</p>

<!-- more -->


<p><img src="https://oauth.jp/images/posts/android/autofill-framework/sample-build-error.png" alt="Autofill Framework Sample Build Error" /></p>

<p>&hellip;はい、端末側の Android O Beta が古かったです。アップデートします。</p>

<p>普段使いじゃないから電池残量が不足してアップデートするまえにまず充電しろとか言われる。</p>

<p>これだから Android は&hellip; #違</p>

<p>で、もろもろ整えて、再チャレンジ！！</p>

<p>ジャジャーン！！</p>

<p><img src="https://oauth.jp/images/posts/android/autofill-framework/sample-build-error2.png" alt="Autofill Framework Sample Build Error 2" /></p>

<p>この Sample App の最新版リリース以降に、Android 側の API が変わったのか&hellip;?</p>

<p>Android Studio 3.0 Canary 2 を入れれば解決しそうな気もするが、Canary 2 が見つからない&hellip;</p>

<p><strong>もういぃ！！その辺に転がってるアプリで試す！！</strong></p>

<h2>Cookpad で試してみよう</h2>

<p>ジャジャーン！！</p>

<p><img src="https://oauth.jp/images/posts/android/autofill-framework/cookpad.png" alt="Cookpad" /></p>

<p>ここ数年いろいろ大変そうな Cookpad さん (普段使いではない)。</p>

<p><img src="https://oauth.jp/images/posts/android/autofill-framework/cookpad-login.png" alt="Cookpad - Login" /></p>

<p>ログイン画面&hellip;うん、普通に実装されてそう。 #適当</p>

<p>で、ログインしてみると&hellip;</p>

<p><img src="https://oauth.jp/images/posts/android/autofill-framework/cookpad-store-credentials.png" alt="Cookpad - Store Credentials" /></p>

<p>おぉ！なんかパスワード保存しおる！！</p>

<p>もちろん「OK」</p>

<p>さて、ここでおもむろに <a href="https://passwords.google.com">passwords.google.com</a> にアクセスしてみましょう。</p>

<p>ありましたね、Cookpad。</p>

<p><img src="https://oauth.jp/images/posts/android/autofill-framework/passwords-google-com.png" alt="passwords.google.com" /></p>

<p>ただ、Cookpad さんは <a href="https://developers.google.com/identity/smartlock-passwords/android/">SmartLock for Password on Android</a> も使ってるぽいので、そちら経由で passwords.google.com にパスワード保存したんじゃね？って疑惑をもたれるかもしれません。</p>

<p>もひとつ別アプリでもやってみましょう。</p>

<h2>Hotpepper グルメで試してみよう</h2>

<p>ジャジャーン！！</p>

<p><img src="https://oauth.jp/images/posts/android/autofill-framework/hotpepper.png" alt="Hotpepper グルメ" /></p>

<p>Hotpepper グルメ。普段使い。 <strong>#決してステマではない</strong></p>

<p><img src="https://oauth.jp/images/posts/android/autofill-framework/hotpepper-login.png" alt="Hotpepper グルメ - Login" /></p>

<p>ログイン画面&hellip;うん、普通に実装されてそう。 #適当</p>

<p>で、ログインしてみると&hellip;</p>

<p><img src="https://oauth.jp/images/posts/android/autofill-framework/hotpepper-store-credentials.png" alt="Hotpepper グルメ - Store Credentials" /></p>

<p>おぉ！なんかパスワード保存しおる！！ <strong>#デジャブ</strong></p>

<p><img src="https://oauth.jp/images/posts/android/autofill-framework/hotpepper-login-autofill.png" alt="Hotpepper グルメ - Login Autofill" /></p>

<p>ログアウトしなおして再度ログインしてみたら、Autofill 効いてますね。</p>

<p><img src="https://oauth.jp/images/posts/android/autofill-framework/passwords-google-com2.png" alt="passwords.google.com" /></p>

<p>passwords.google.com にも保存されてる。</p>

<p>うん、Chrome のパスワードマネージャーとほぼ同じ挙動が、Native App 内のログインフォームにもやってきました。</p>

<p>あとは、Hotpepper グルメの Android App に紐づいて保存されたパスワードを、Chrome で <a href="https://www.hotpepper.jp">hotpepper.jp</a> ドメイン開いた時にも使えて、その逆もまた可能であれば、SmartLock for Password on Android と同じことが、特にアプリ側で特別な実装しなくても実現できますね。</p>

<p>また、<a href="http://juggly.cn/archives/223100.html">1PasswordによるAndroid OのAutofillフレームワークの動作デモ</a> とかみると、1Password に保存したパスワードを Autofill Framework 経由で各アプリが受け取れるようです。</p>

<p>Android の設定アプリの <em>System > Languages &amp; input > Advanced > Input assistance > Autofill service</em> にいくと、いまのところ Google (= passwords.google.com) しか選択肢ないけど、きっとここに 1Password とかが出てくるんでしょう。</p>

<p>1Password ユーザーとしては嬉しい限りですが、ここでも twitter.com ドメインに紐づいたパスワードを Twitter Android App から呼び出せるのか、は気になるところです。</p>

<p>まぁ、SmartLock for Password on Android でできて、Autofill Framework でできない理由なんてどこにもないですし、できるんでしょうけど。</p>

<h2>SmartLock for Passwords on Android 対応アプリで試してみた</h2>

<p>ようするに Cookpad ね。</p>

<p>Autofill Framework 経由で保存されたパスワードが、Chrome で cookpad.com 行ってみても補完されるか試してみたんですが&hellip;</p>

<p><strong>うんともすんとも言わなかったです。</strong></p>

<p>別の Android 端末で別の Google アカウントに SmartLock for Passwords on Android 経由で保存されたパスワードは補完されたんですけどねぇ&hellip;</p>

<p>現時点の Android O では、SmartLock for Passwords on Android 対応時にサイトとアプリ紐付けしてあっても、Autofill Framework には反映されないようです。</p>

<p>ちぇっ&hellip;</p>

<h2>補足</h2>

<p>ちなみに Google さんは、OpenID Foundation で <a href="http://openid.net/wg/ac/">OpenYOLO</a> っていうプロジェクトもやってて、OpenYOLO プロトコルに従ったパスワードマネージャーアプリ (1Password etc.) を Android OS 経由で呼び出せるようにしようとしたりもしてますが、これが Autofill Framework とどういう関係性にあるのかは、気になるところです。</p>

<p>Google さん、おんなじようなことできるもの複数実装して、命名規則もなにもあったもんじゃない感じで、ワクワクハラハラです。</p>

<p>最後に <a href="https://developers.google.com/identity/smartlock-passwords/android/">SmartLock for Passwords on Android 担当イケメン</a> で同じみの <a href="https://twitter.com/agektmr">@agektmr</a> を晒して、締めさせていただきます。</p>

<p>ありがとうございました。</p>

<iframe width="560" height="315" src="https://www.youtube.com/embed/cY77sSctzec" frameborder="0" allowfullscreen></iframe>

]]></content>
  </entry>
  
  <entry>
    <title type="html"><![CDATA[PowerShell for AzureAD]]></title>
    <link href="https://oauth.jp/blog/2017/05/18/powershell-for-azuread/"/>
    <updated>2017-05-18T14:17:00+09:00</updated>
    <id>https://oauth.jp/blog/2017/05/18/powershell-for-azuread</id>
    <content type="html"><![CDATA[<p>Windows 10 で AzureAD Module インポート済の PowerShell を気軽に起動できるようにする方法メモ。</p>

<h2>前提条件</h2>

<p>前提として、PowerShell に AzureAD アクセスに必要な Module がインストールされているものとします。</p>

<p>Module インストールは以下のコマンドを Administrator として実行するだけです。</p>

<figure class='code'><figcaption><span></span></figcaption><div class="highlight"><table><tr><td class="gutter"><pre class="line-numbers"><span class='line-number'>1</span>
</pre></td><td class='code'><pre><code class='ps1'><span class='line'><span class="n">Install-Module</span> <span class="n">MSOnline</span><span class="p">,</span> <span class="n">AzureAD</span>
</span></code></pre></td></tr></table></div></figure>


<p><a href="https://msdn.microsoft.com/ja-jp/library/jj151815.aspx#bkmk_installmodule">こんな ext</a> は別にいらないです。以前はこいつのインストールでいろいろはまったんですが、あれはなんだったんでしょうか&hellip;</p>

<h2>ショートカット作成</h2>

<p>まずは PowerShell 自体のショートカットを作成します。</p>

<p><img src="https://oauth.jp/images/posts/azure/powershell-for-azure-ad.png" alt="PowerShell for AzureAD" /></p>

<p>そしておもむろに Target のところを下記の PowerShell Script に変更。</p>

<figure class='code'><figcaption><span></span></figcaption><div class="highlight"><table><tr><td class="gutter"><pre class="line-numbers"><span class='line-number'>1</span>
</pre></td><td class='code'><pre><code class='ps1'><span class='line'><span class="n">PowerShell</span> <span class="n">-noexit</span> <span class="s2">&quot;Import-Module MSOnline, AzureAD; Connect-MsolService&quot;</span>
</span></code></pre></td></tr></table></div></figure>


<p>そして Advanced Options の &ldquo;Run as Administrator&rdquo; にチェック。</p>

<p>これで、このショートカットダブルクリックするだけで、自動でログイン画面まで Popup してくれるようになります。</p>

<h2>ショートカット起動</h2>

<p>起動したら自動でこうなります。</p>

<p><img src="https://oauth.jp/images/posts/azure/powershell-for-azure-ad-launched.png" alt="PowerShell for AzureAD Launched" /></p>

<p>またちょっと Windows 力上がった気がする。</p>
]]></content>
  </entry>
  
  <entry>
    <title type="html"><![CDATA[OAuth2 in Action が Amazon にも]]></title>
    <link href="https://oauth.jp/blog/2017/04/01/oauth2-in-action/"/>
    <updated>2017-04-01T16:42:00+09:00</updated>
    <id>https://oauth.jp/blog/2017/04/01/oauth2-in-action</id>
    <content type="html"><![CDATA[<p>我らが Justin Richer がずっと執筆進めてた <a href="http://amzn.to/2nVbgRV">OAuth2 in Action が Amazon.co.jp に登場</a>してました。</p>

<p>目次はこんな感じ。</p>

<ul>
<li>Part 1 &ndash; First steps

<ul>
<li>What is OAuth 2.0 and why should you care?</li>
<li>The OAuth dance</li>
</ul>
</li>
<li>Part 2 &ndash; Building an OAuth 2 environment

<ul>
<li>Building a simple OAuth client</li>
<li>Building a simple OAuth protected resource</li>
<li>Building a simple OAuth authorization server</li>
<li>OAuth 2.0 in the real world</li>
</ul>
</li>
<li>Part 3 &ndash; OAuth 2 implementation and vulnerabilities

<ul>
<li>Common client vulnerabilities</li>
<li>Common protected resources vulnerabilities</li>
<li>Common authorization server vulnerabilities</li>
<li>Common OAuth token vulnerabilities</li>
</ul>
</li>
<li>Part 4 &ndash; Taking OAuth further

<ul>
<li>OAuth tokens</li>
<li>Dynamic client registration</li>
<li>User authentication with OAuth 2.0</li>
<li>Protocols and profiles using OAuth 2.0</li>
<li>Beyond bearer tokens</li>
<li>Summary and conclusions</li>
</ul>
</li>
</ul>


<!-- more -->


<p>まだ読んでないんですが、目次見る限り Part2 までは初心者向け、Part3 はセキュリティ厨の皆様向け、Part4 は ID 厨の皆様向けって感じでしょうか。</p>

<p>ちなみに Justin は、先日翻訳した <a href="https://oauth.jp/blog/2016/07/15/nist-800-63c/">NIST SP 800-63C</a> の英語版の著者の1人でもあり、Java の OpenID Connect 実装の1つである <a href="https://id.mitre.org/connect/">MITREid Connect</a> の中の人でもあります。</p>

<p>Part4 の OAuth Dynamic Client Registration に関しては、以下の2つの RFC の Editor です。</p>

<ul>
<li><a href="https://tools.ietf.org/html/rfc7591">OAuth 2.0 Dynamic Client Registration Protocol</a></li>
<li><a href="https://tools.ietf.org/html/rfc7592">OAuth 2.0 Dynamic Client Registration Management Protocol</a></li>
</ul>


<p>いままでの OAuth 2.0 関連の本よりだいぶガチな感じ。</p>

<p>OAuth の本見ると、一度書き始めて途中で挫折した過去 (OAuth1.0 の部分書き終えたとこで放置してるw) が蘇りますが、もぅこれ翻訳すりゃいんじゃね？っていうね。</p>

<p><a href="https://www.amazon.co.jp/OAuth-2-Action-Justin-Richer/dp/161729327X/ref=as_li_ss_il?ie=UTF8&qid=1491032403&sr=8-3&keywords=oauth&linkCode=li3&tag=bianca0b-22&linkId=99872d3ee518929dc6ee8ce757316cab" target="_blank"><img border="0" src="https://oauth.jp//ws-fe.amazon-adsystem.com/widgets/q?_encoding=UTF8&ASIN=161729327X&Format=_SL250_&ID=AsinImage&MarketPlace=JP&ServiceVersion=20070822&WS=1&tag=bianca0b-22" ></a><img src="https://ir-jp.amazon-adsystem.com/e/ir?t=bianca0b-22&l=li3&o=9&a=161729327X" width="1" height="1" border="0" alt="" style="border:none !important; margin:0px !important;" /></p>
]]></content>
  </entry>
  
  <entry>
    <title type="html"><![CDATA[Azure AD B2C が外部 API 向けに払い出す JWT-formatted Access Token について]]></title>
    <link href="https://oauth.jp/blog/2017/03/24/azuread-b2c-jwt-accesstoken/"/>
    <updated>2017-03-24T17:08:00+09:00</updated>
    <id>https://oauth.jp/blog/2017/03/24/azuread-b2c-jwt-accesstoken</id>
    <content type="html"><![CDATA[<p><a href="https://azure.microsoft.com/ja-jp/blog/azure-ad-b2c-access-tokens-now-in-public-preview/">Azure AD B2C Access Tokens now in public preview</a></p>

<p>ということで、さわって見ました。</p>

<h2>Step.1 Azure AD B2C テナントの作成</h2>

<p>まずは Azure AD B2C テナントを作成します。なんか portal.azure.com から行くと Classic Portal ベースのドキュメントに飛ばされるので、新しい方の Portal ベースのドキュメントをリンクしときますね。</p>

<p><a href="https://docs.microsoft.com/en-us/azure/active-directory-b2c/active-directory-b2c-get-started">Azure Active Directory B2C: Create an Azure AD B2C tenant</a></p>

<p>テナントを Subscription と紐づけるとかいう処理は Production Use でない限り Skip で OK です。</p>

<h2>Step.2 Web API (Resource Server) および Client の登録</h2>

<p><a href="https://azure.microsoft.com/ja-jp/blog/azure-ad-b2c-access-tokens-now-in-public-preview/">Azure AD B2C Access Tokens now in public preview</a> にしたがって、Web API と Client を登録します。</p>

<p>Web API の登録には Scope の定義もセットです。</p>

<p>Client の登録には Key (Client Secret) の作成と利用可能な API &amp; Scope の設定がセットです。</p>

<p>ちなみに、Resource Server と Client がどちらも同じメニューから作成し、横並びで表示されるのはちょっと違和感ありますね。</p>

<p>Resource Server に Redirect URI (Reply URL) の登録が必須だったり、Implicit を使えるようにするかの選択は Client 側の設定項目で Resource Server 側にそれ設定してもなんの意味もなかったりというのは、MS さんらしいというかなんというか。</p>

<p>なお、</p>

<ul>
<li>App ID URI を登録した Application は固有の scope を定義できるようになり、Resource Server になれる。</li>
<li>App ID URI を登録しない Application は Key (Client Secret) しか作成できず、Client にしかなれない。</li>
<li>Resource Server は Key (Client Secret) も作成できるので同時に Client にもなれる。</li>
</ul>


<p>というルールになっているようですが、3つめの Resource Server かつ Client というのは同じ aud を持つ Access Token と ID Token が生成されることに繋がるので、よほどの事情がない限りやめるべきです。</p>

<!-- more -->


<h2>Step.4 Policy の作成</h2>

<p>Azure AD B2C に外部 Resource Server 向けの JWT 形式の Access Token を払い出させるには、Policy ID を指定しないといけません。</p>

<p>理由は不明ですが、MS さんがそういうのだから仕方ない。</p>

<p>ということで、なんか適当に Sign-in Policies というところに Policy を登録します。</p>

<p>Policy 登録終わると「Metadata Endpoint for this policy」とかいう URL が表示され、そこにアクセスすると OpenID Connect Provider Configuration Document (JSON) が得られます。</p>

<p>OpenID Connect Discovery では Query Parameter とかサポートしてないはずですが、Policy ID (p=xxx) が Query についてるのは MS さんの悪い癖で、なんかやめられない感じなんでしょう。</p>

<p>この Policy は Resource Server ごとに指定するものでも無いようなんで、まぁデフォルトのまま放置して Policy ID だけ取得しとけば OK です。</p>

<h2>Step.3 Access Token の取得</h2>

<p>この Gist に適宜自分で作った Client ID やらなんやら指定してやれば、HTTP のやりとりなどが Console に表示されるんで、それ見ながらフロー確認してください。</p>

<p><a href="https://gist.github.com/nov/0673c8ad02e23a875f05b2be43dd040a">azure_ad_b2c_without_credentials.rb</a></p>

<p>また、もろもろの Azure AD B2C 環境セットアップがめんどくさいという方の為に、こちらに僕が作った RS &amp; Client を Client Secret 含め置いておきます。</p>

<p><a href="https://gist.github.com/nov/9e9b537b897fa2585e085ab1b83b2e3d">azure_ad_b2c.rb</a></p>

<p>動作確認用のユーザーも作っておきましたので、これが正常に動いてる間はご自由にお使いください。</p>

<p>Username: <a href="&#109;&#x61;&#x69;&#x6c;&#x74;&#x6f;&#x3a;&#x79;&#x6f;&#x75;&#64;&#x73;&#116;&#115;&#52;&#x62;&#50;&#x63;&#46;&#x6f;&#110;&#109;&#x69;&#99;&#114;&#x6f;&#115;&#x6f;&#102;&#116;&#46;&#99;&#x6f;&#x6d;">&#x79;&#x6f;&#117;&#64;&#115;&#x74;&#115;&#52;&#98;&#50;&#x63;&#46;&#x6f;&#x6e;&#109;&#x69;&#99;&#114;&#x6f;&#x73;&#111;&#x66;&#116;&#46;&#99;&#x6f;&#109;</a>
Password: ]6]yzxXYG7uruM4p</p>

<p>動かなくなったら、あきらめて自分で Azure AD B2C 環境セットアップしてください。</p>

<h2>わかったこと</h2>

<ul>
<li>Access Token の audience は Resource Server Application の Object ID。</li>
<li>Access Token の audience は Array にはできない。

<ul>
<li>複数 Resource Server にまたがった Access Token は発行できず、そのような Scope の指定の仕方した時点でエラーになります。</li>
<li>これはセキュリティ的には良いことですね。</li>
</ul>
</li>
<li>ID Token と Access Token の署名鍵は同じ。

<ul>
<li>これはお行儀悪いですね。</li>
<li>Resource Server が Client を兼ねた場合、署名鍵や audience だけではその JWT が Access Token なのか ID Token なのか区別できないケースが発生し、脆弱性につながりかねません。</li>
</ul>
</li>
<li>&ldquo;openid&rdquo; 以外の Scope を指定しないと Token Response に access_token が含まれない。

<ul>
<li><a href="https://tools.ietf.org/html/rfc6749#section-4.2.2">RFC 6749</a> に違反しており、利用しているライブラリによってはユーザーが Query 書き換えただけで Client 側で 500 エラー発生させたりできそうです。</li>
</ul>
</li>
</ul>


<p>ということで、ここで発行された Access Token を受け取った Resource Server は、</p>

<ul>
<li>署名が正しく</li>
<li>JWT の &ldquo;aud&rdquo; Claim が自身の Azure AD B2C 上の Object ID であり</li>
<li>必要な Scope が &ldquo;scp&rdquo; Claim に含まれており</li>
<li>&ldquo;azp&rdquo; Claim に含まれる Client ID が正当な Client のものであり

<ul>
<li>余談ですが同じく MS さんが主導の <a href="https://tools.ietf.org/html/draft-ietf-oauth-token-exchange-07#section-4.3">OAuth 2.0 Token Exchange</a> では &ldquo;cid&rdquo; Claim なのに、ここでは &ldquo;azp&rdquo; なのはなんというか&hellip;w</li>
</ul>
</li>
<li>期限切れでない</li>
</ul>


<p>ことを確認する感じになりますね。</p>

<p>今日のところは以上です。</p>
]]></content>
  </entry>
  
  <entry>
    <title type="html"><![CDATA[GitHub Business Plan 登場、GitHub.com ドメインで SCIM と SAML をサポート。]]></title>
    <link href="https://oauth.jp/blog/2017/03/07/github-support-saml-and-scim/"/>
    <updated>2017-03-07T21:18:00+09:00</updated>
    <id>https://oauth.jp/blog/2017/03/07/github-support-saml-and-scim</id>
    <content type="html"><![CDATA[<p>オンプレサーバーで GitHub Enterprise をお使いのみなさま。</p>

<p>日々オンプレサーバーのメンテ、おつかれさまです。</p>

<p>GitHub.com の Business Plan っての、良さそうですよね。</p>

<p>SCIM と SAML サポートしてて、いままでオンプレ版でしかできなかった Provisioning と Federation (SSO といった方が伝わるか？) が、GitHub.com ドメインでできるようになったんですよ。</p>

<p>これで GitHub.com が生きてればいつでも Deploy できますよ。</p>

<p>死ぬもんね、オンプレ。てか、一旦死んだら結構しばらくの間死ぬもんね、オンプレ。</p>

<p>GitHub.com なら、AWS が生き返ればきっと生き返るよ。</p>

<p>ということで、Business Plan の SAML と SCIM、ちょっと試してみましたよ。</p>

<h1>SAML 設定</h1>

<p>GitHub Help の <a href="https://help.github.com/articles/managing-member-identity-and-access-in-your-organization-with-saml-single-sign-on/">この一連のドキュメント</a> を読む限り、SAML 設定しないと SCIM 使えないようです。</p>

<p>あ、SAML の SP Entity ID とかはドキュメントには書いてないです。</p>

<p>Business Plan 契約して設定画面行かないと、SP Entity ID も Assertion Consumer Service (ACS) URL もわかんないです。</p>

<p>まず金払ってからしか試せません。</p>

<p><strong>ファーストひどい。</strong></p>

<!-- more -->


<p>で、金払って Organization の Security 設定ページ (<a href="https://github.com/organizations/YOUR-ORGANIZATION/settings/security">https://github.com/organizations/YOUR-ORGANIZATION/settings/security</a>) にアクセスすると、SAML 設定が ON にできるようになってます。</p>

<p>ここに以下の情報が表示されています。</p>

<ul>
<li>Organization single sign-on URL

<ul>
<li><a href="https://github.com/orgs/YOUR-ORGANIZATION/sso">https://github.com/orgs/YOUR-ORGANIZATION/sso</a></li>
</ul>
</li>
<li>Assertion consumer service URL

<ul>
<li><a href="https://github.com/orgs/YOUR-ORGANIZATION/saml/consume">https://github.com/orgs/YOUR-ORGANIZATION/saml/consume</a></li>
</ul>
</li>
</ul>


<p>あれ？SP Entity ID は？と思ったそこのあなた。</p>

<p>SP Entity ID はここには記載されていません。</p>

<p><strong>セカンドひどい。</strong></p>

<p>実際 SAML Request を発行させてみないとわからないっぽいんですが、面倒なんでここに書いときますね。</p>

<ul>
<li>SP Entity ID

<ul>
<li><a href="https://github.com/orgs/YOUR-ORGANIZATION">https://github.com/orgs/YOUR-ORGANIZATION</a></li>
</ul>
</li>
</ul>


<p>です。</p>

<p>で、これらを元に IdP 側に SP 登録して、その後 GitHub 側で以下の情報を入力すると、SAML 設定自体は完了です。</p>

<ul>
<li>Sign on URL</li>
<li>Issuer (IdP Entity ID)</li>
<li>Public Certificate (IdP Certificate)</li>
</ul>


<p>え？NameID Format はって？</p>

<p>えぇ、特にドキュメントにも設定画面にも指定ないですね。</p>

<p>そう、特にドキュメントにも設定画面にも指定ないです。</p>

<p><strong>サードひどい。</strong></p>

<p>Business Plan になってからサポートに問い合わせたら、Gist に書かれたドキュメントが送られて来て、そこには NameID Format は Email だよって書いてあったんで、Email 推奨のようです。</p>

<p>が、実は UUID とか指定しても動きます。</p>

<p>あと、Email 指定してもそのメアドのユーザーにログインできるわけでもないです。</p>

<p><a href="&#109;&#x61;&#x69;&#x6c;&#x74;&#111;&#58;&#x6e;&#x6f;&#118;&#64;&#x65;&#x78;&#97;&#x6d;&#112;&#x6c;&#x65;&#x2e;&#99;&#111;&#109;">&#x6e;&#x6f;&#118;&#x40;&#x65;&#x78;&#x61;&#109;&#x70;&#x6c;&#101;&#x2e;&#99;&#x6f;&#x6d;</a> の NameID を持つ SAML Assertion で、<a href="&#109;&#97;&#105;&#x6c;&#116;&#x6f;&#58;&#x6e;&#x6f;&#x76;&#64;&#109;&#97;&#x74;&#x61;&#107;&#101;&#46;&#106;&#112;">&#110;&#111;&#x76;&#64;&#x6d;&#97;&#116;&#97;&#x6b;&#101;&#x2e;&#x6a;&#112;</a> の GitHub アカウントにログインできたりします。</p>

<p>SAML Federation とか言うてるけど、結局既存の GitHub.com アカウントに SAML IdP 側のアカウントを Link するだけなんですよ。</p>

<p>その紐付けは、SAML での初回ログイン時に GitHub.com 側の ID &amp; Password 入力して行います。</p>

<p>つまり、<a href="&#109;&#97;&#x69;&#x6c;&#x74;&#111;&#58;&#110;&#111;&#x76;&#64;&#x65;&#120;&#97;&#109;&#112;&#108;&#101;&#46;&#99;&#x6f;&#x6d;">&#110;&#x6f;&#x76;&#64;&#101;&#x78;&#97;&#109;&#112;&#108;&#101;&#x2e;&#x63;&#x6f;&#x6d;</a> の NameID を持つ SAML Assertion をどの GitHub アカウントに紐づけるかは、エンドユーザーが決定権を持っています。</p>

<p>情シスじゃないです。</p>

<p><strong>フォースひどい。てかお前それ致命的やろ。</strong></p>

<p>ちなみに、NameID は不変かつ同一 IdP 内でユニークでさえあればなんでもいいです。</p>

<p>Email 推奨してたドキュメントは、多分なんか気分的に Email のがいんじゃね？くらいのノリだったんだと思います。</p>

<p>実際には NameID Format が Persistent で NameID が UUID、とかにしても普通に動いてました。</p>

<h2>SCIM 設定</h2>

<p>SCIM にいたっては、一切のドキュメントが公開されていません。</p>

<p>GitHub が公式サポートをうたう OneLogin から GitHub.com を選んで設定してみましたが、OneLogin 側に設定が必要な SCIM Base URL の値すらどこにも書いてありません。</p>

<p><strong>もうひどいカウントやめていいですか？</strong></p>

<p>はい、サポートに問い合わせて聞いたら Gist のドキュメント送られて来ます。</p>

<p>普通に SCIM Base URL 書いてあります。</p>

<ul>
<li>SCIM Base URL

<ul>
<li><a href="https://api.github.com/scim/v2/organizations/YOUR-ORGANIZATION">https://api.github.com/scim/v2/organizations/YOUR-ORGANIZATION</a></li>
</ul>
</li>
</ul>


<p>で、ここに <code>admin:org</code> scope 持つ OAuth2 Token を添えて SCIM API Request 送ってやればいいです。</p>

<p>あ、どの属性が必須かって？</p>

<p>Gist ドキュメントもらえば書いて&hellip;ないですけど、API リクエスト送り続けてエラー見続けたらそのうちわかります。</p>

<p>ということで、現状の挙動見る限り、必須な SCIM User Attributes は以下の通りです。</p>

<ul>
<li>id</li>
<li>userName (email)</li>
<li>name

<ul>
<li>familyName</li>
<li>givenName</li>
</ul>
</li>
<li>emails (userName と同じメアドを primary に)</li>
</ul>


<p>はい、ドキュメントさえあれば、プロビジョニングなんて簡単ですよ。</p>

<p>で、プロビするじゃないですか？</p>

<p>さすがにプロビしたアカウントに関しては、SAML で NameID にそのメアド指定したら GitHub.com アカウントとの紐付けとかなくするっとログインできると思うじゃないですか？</p>

<p>はい、SAML 初回ログイン時にアカウント紐付け必須です。</p>

<p>てかそもそも SAML Assertion に指定されるメアドと GitHub.com アカウントのメアドが一致する必要はないので、SCIM でプロビしたアカウントに別メアドの SAML Assertion 送りつけて紐付けたりもできます。</p>

<p><strong>お前それ致命的やろ。</strong></p>

<p>よくそれで月額 <strong>$21/user</strong> も取れると思ったな。</p>

<p>いや、Business Plan アカウントに対するサポートからの回答速度は爆速ですけど。</p>

<p>1時間もしないうちに回答きますけど。</p>

<p>そこはすばらしいですけど。</p>

<p><strong>お前それ致命的やろ。</strong></p>
]]></content>
  </entry>
  
  <entry>
    <title type="html"><![CDATA[MacOS Sierra (10.12.x) でマイナポータルにログイン]]></title>
    <link href="https://oauth.jp/blog/2017/01/26/myna-on-mac-os-sierra/"/>
    <updated>2017-01-26T21:37:00+09:00</updated>
    <id>https://oauth.jp/blog/2017/01/26/myna-on-mac-os-sierra</id>
    <content type="html"><![CDATA[<p>お久しぶりです、nov です。</p>

<p>おかげで無事12月末で <a href="http://yauth.jp">YAuth.jp</a> も初年度を終え、2期目に突入しております。</p>

<p>MVP は意気込み送ってこいや的なメールが来ており、いいかげんそろそろ Windows 10 でドメインジョイン (正直 UX とかよくわかってない) せんとなぁとか思いつつ、今日は MacOS です。</p>

<p>MacOS でマイナポータルにログインするお話です。</p>

<p>みなさん、知ってましたか？マイナポータルって OpenID Connect の IdP なんですよ！もしかしたら Access Token とか払い出しちゃう機能なんかもあるんですよ！</p>

<p>ということで、まぁその辺を調べるにも、ログインせんことには何も始まりません。</p>

<p><strong>え？マイナンバーカード持ってないだって？？んなやつぁしらん！！！</strong></p>

<p>そんな人は <a href="https://openid-foundation-japan.github.io/800-63-3/index.ja.html">NIST SP 800-63-3 翻訳版</a> でも読んで、Identity Proofing とかハードウェアトークンとかに思いをはせつつ市役所いって取って来てください。</p>

<p>マイナンバーカード取る時、NIST SP 800-63-3 の3ページ目テストに出ますからね。</p>

<!-- more -->


<p><em>嘘です。</em></p>

<h2>MacOS Sierra でマイナポータルにログイン</h2>

<p>さて、Windows 10 でログイン、できるに決まってますよね。</p>

<p>e-Tax にログインできるんなら、おなじような仕組みのマイナポータルにだってログインできるに決まってます。</p>

<p>ということで、今日は e-Tax から見放された MacOS Sierra でマイナポータルにログインしてみましょう。</p>

<p>クソ長い PDF を真面目に読まれる方は、<a href="https://myna.go.jp/SCK0101_03_001/SCK0101_03_001_Init.form">公式マイナポータルログイン手順</a> をご覧ください。</p>

<h3>カードリーダー買う &amp; ドライバーインストール</h3>

<p>マイナンバーカードリーダーのアフィリンクを貼りたいがためにこの記事を書いているといっても過言ではありません。</p>

<p>このサンワサプライのカードリーダーは、<a href="https://www.sanwa.co.jp/support/download/dl_driver_ichiran.asp?code=ADR-MNICUBK">MacOS Sierra 対応のドライバ</a> あります。</p>

<p><a href="http://amzn.to/2j7WSEx"><img src="https://ws-fe.amazon-adsystem.com/widgets/q?_encoding=UTF8&amp;ASIN=B01M2DJ9WG&amp;Format=_SL160_&amp;ID=AsinImage&amp;MarketPlace=JP&amp;ServiceVersion=20070822&amp;WS=1&amp;tag=bianca0b-22" alt="サンワサプライ 接触型ICカードリーダライタ ADR-MNICUBK" /></a></p>

<p>マイナポータル公式の対応カードリーダー表には El Capitan の欄はあるけど Sierra の欄がなく、そこみてもどれが Sierra 対応なのかよくわかりません。</p>

<p>NTT コミュニケーションズのやつはドライバが El Capitan までだったりしたので、Sierra 対応カードリーダー選ぶのが最初のハードルです。</p>

<p>さて、Amazon さんから <a href="http://amzn.to/2j7WSEx">サンワサプライ 接触型ICカードリーダライタ ADR-MNICUBK</a> 届いたら、Sierra 対応のドライバインストールしてください。</p>

<p>この記事執筆時点では、以下の一番下のやつです。</p>

<p><a href="https://www.sanwa.co.jp/support/download/dl_driver_ichiran.asp?code=ADR-MNICUBK"><img src="https://oauth.jp/images/posts/myna/card-reader-drivers.png" alt="ADR-MNICUBK Deivers" /></a></p>

<p>これでカードリーダーのセットアップは完了です。</p>

<h3>Java 8 Update 121 にアップデート</h3>

<p><a href="https://img.myna.go.jp/html/dousakankyou.html">マイナポータル動作環境について</a> によると、Java Version 8 Update 111 以上が必要なようです。</p>

<p>あと、Java のアップデートするたびに、ポリシーファイルとかいうのが書き換えられて、再度なんか設定し直しらしいです。</p>

<p>ということで、とりあえず現時点での最新の Java 入れときましょう。</p>

<p><img src="https://oauth.jp/images/posts/myna/java8-121.png" alt="Java 8 Update 121" /></p>

<p>Oracle Java 入れたことあれば　MacOS の設定アプリに屈辱の &ldquo;Java&rdquo; メニュー現れてるはずなんで、そっからアップデートできるはずです。</p>

<p>入れたこと無い人は、&#8221;MacOS Java 8&#8221; とかでググるなりして入れてください。</p>

<p>屈辱です。</p>

<h3>JPKI 利用者クライアントソフトのインストール &amp; 初期設定</h3>

<p>続いて <a href="https://img.myna.go.jp/html/dousakankyou.html">マイナポータル動作環境について</a> の「JPKI利用者クライアントソフトの準備」からもリンクされてる <a href="https://www.jpki.go.jp/download/index.html">JPKI利用者クライアントソフト</a> の MacOS 版をインストールします。</p>

<p>こいつはちょっと時代の流れに付いてくるのがゆっくりなので、「JRE 8.0 Update111」を推奨して来ますが、Java 8 Update 121 では少なくとも動きます。</p>

<p>あ、あと「Smart Card Services」は入れちゃダメです！</p>

<p>いや、不要なだけで入れてもいいのかもです。</p>

<p>まぁとにかくマイナンバーカード使う場合は「Smart Card Services」はいりません。</p>

<p>ということで、入れるのは　<a href="https://www.jpki.go.jp/download/mac.html">JPKI利用者クライアントソフト &ndash; Macintosh をご利用の方</a> の一番下の方の「利用者クライアントソフトのダウンロード」ってとこにリンクされてるやつです。</p>

<p><em>いや、ダウンロードリンク下すぎでしょ。</em></p>

<p>で、インストール終わるとこんなの出て来ます。</p>

<p>よくわかんないけど「はい」にしときましょう。</p>

<p><img src="https://oauth.jp/images/posts/myna/jpki-cert-expiry-notification.png" alt="JPKI 証明書有効期限通知設定" /></p>

<p>Retina 対応してないやつ、久々にみました。</p>

<p>最後にインストールされた全アプリが表示されます。</p>

<p><img src="https://oauth.jp/images/posts/myna/jpki-applications.png" alt="JPKI アプリ一覧" /></p>

<p>この中の「Java実行環境への登録」ってのだけ実行しといてください。</p>

<h3>マイナポータル環境設定プログラムのインストール &amp; 設定</h3>

<p>さて、JPKI 利用者クライアントソフトの設定が終わったら、また <a href="https://img.myna.go.jp/html/dousakankyou.html">マイナポータル動作環境について</a> に戻って、今度は「マイナポータル環境設定プログラムの実施」ってとこから「<a href="https://img.myna.go.jp/tools/mac/MyNASetup.pkg">環境設定プログラム (Mac 用)</a>」をインストールします。</p>

<p>こいつはインストール後に特に何かを主張したりはしません。</p>

<h3>ブラウザの制限をちょっと弱める</h3>

<p>最後に <a href="https://img.myna.go.jp/manual/2.pdf">マイナポータル環境設定プログラム &ndash; ご利用方法マニュアル</a> の P.20〜P.25 だけちゃんと読みながら、ブラウザのセキュリティ制限を少しずつ弱めます。</p>

<p>P.24 の「安全でないモード」とか、なんていう裏技感。</p>

<p>あ、ちなみに Chrome はサポートされてません。</p>

<p>Safari 使ってください。</p>

<h3>いよいよマイナポータルログイン</h3>

<p>さて、ここまで設定できたら、Safari を再起動して、マイナポータルトップ画面のログインボタンをクリックしてください。</p>

<p>マイナンバーカード取得時に設定した PIN コードの入力を求める Popup が出て来たら、成功です。</p>

<p><img src="https://oauth.jp/images/posts/myna/myna-pin-input.png" alt="マイナポータルログイン" /></p>

<p>PIN を入れてログイン成功したことを確認したら、あとはご自由にマイナポータルで遊んでみてください。</p>

<p>特にまだ何ができるわけでもないですけどね。</p>

<h3>最後に</h3>

<p>ここまで来たあなたは、ブラウザのセキュリティ制約をいくつか解除してしまっています。</p>

<p>マイナポータルに満足したら、ちゃんと元どおり 3rd-party Cookie は「閲覧した Web サイトは許可」、Popup はブロック、Java プラグインは無効化しておきましょう。</p>

<p>いや、もっと厳しくしてもいいし、そのまんまでいいならそれも自己判断でいいんですけどね。</p>

<p>では、素敵なマイナライフを！！</p>
]]></content>
  </entry>
  
  <entry>
    <title type="html"><![CDATA[HTTPS でも Full URL が漏れる？OAuth の code も漏れるんじゃね？？]]></title>
    <link href="https://oauth.jp/blog/2016/07/27/https-full-url-leaks/"/>
    <updated>2016-07-27T10:48:00+09:00</updated>
    <id>https://oauth.jp/blog/2016/07/27/https-full-url-leaks</id>
    <content type="html"><![CDATA[<p>なんですかこれは！</p>

<p><a href="http://arstechnica.com/security/2016/07/new-attack-that-cripples-https-crypto-works-on-macs-windows-and-linux/">New attack bypasses HTTPS protection on Macs, Windows, and Linux</a></p>

<p>DHCP につなぐと PAC ファイルがダウンロードされて HTTPS であろうとアクセス先の Full URL は漏れるですって？</p>

<p>Web Proxy Autodiscovery ですって？</p>

<p>チョットニホンゴデオネガイシマス</p>

<p>ってことで、まぁこれが実際どれくらい簡単に実現できる攻撃パターンなのかは他のセキュリティ業界の方々に後で聞くとして、この記事でも触れられてる OpenID Connect とか OAuth2 への影響について、ちょっとまとめておきましょうか。</p>

<h2>Authorization Request &amp; Response が漏れる</h2>

<p><code>response_mode=form_post</code> なんていうのも一部ありますが、基本 OAuth2 / OpenID Connect の Authorization Request &amp; Response は GET です。</p>

<p>Implicit Flow の場合は Response Parameter が URL Fragment についてるので、Server に送られる Full URL が漏れたところで特に URL Fragment の内容は漏れないですが、Code Flow の場合は Response の Query についてる Authorization Code は漏れますね。</p>

<p>まぁ Authorization Request に含まれる <code>state</code> とかも漏れますが、今回のケースだと Cookie とかは漏れないんで、<code>state</code> が漏れること自体は大して問題ではないでしょう。</p>

<p>ただ、Redirect URL に HTTPS 使っても <code>code</code> 漏れるってのは、辛そうですね。</p>

<h2>Authorization Code が漏れたらどうなるの？</h2>

<p>Code 置換攻撃 (Code Cut &amp; Paste Attack) が可能になります。</p>

<p>ここに漏れた <code>code</code> があるとしましょう。すると、以下の手順で攻撃者は <code>code</code> 所有者の RP 上のアカウントにログインすることができます。</p>

<ol>
<li>攻撃者自身のブラウザで Authorization Request 発行</li>
<li>攻撃者自身の IdP 上のアカウントで IdP にログイン</li>
<li>Authorization Response を途中で止める</li>
<li>Authorization Response 中に含まれる <code>code</code> を被害者のものに置換 (<code>state</code> は置換しない)</li>
<li>Code 置換済の Authorization Response を RP に送る</li>
</ol>


<p>こうすると、RP が <code>state</code> を使った CSRF 対策を行っていても、RP は受け取った <code>code</code> を使って攻撃者を被害者としてログインさせてしまいます。</p>

<p>これが Code 置換攻撃です。</p>

<p>では、これを防ぐ手立てはあるのでしょうか？</p>

<!-- more -->


<h2>OpenID Connect の場合 : ID Token の nonce をチェック</h2>

<p>OpenID Connect では、Authorization Request で <code>nonce</code> というパラメータを送ることができますね。</p>

<p>あれは <code>state</code> とよく似た役割を果たしますが、<code>code</code> とは紐付かない <code>state</code> と異なり、<code>nonce</code> は <code>code</code> と紐づいて保存され、最終的に発行される ID Token に含まれて返ってきます。</p>

<p>よって、<code>code</code> だけ置換しても、<code>nonce</code> に紐付いた Cookie なりを奪わない限り、RP が Token Endpoint から返ってきた <code>nonce</code> をチェックした時点で <code>code</code> 置換を検知できることになります。</p>

<p>ようするに、OpenID Connect の仕様的には OPTIONAL やけど、とりあえず <code>nonce</code> 使っとけや、ってことですね。</p>

<h2>OAuth 2.0 の場合 (1) : PKCE 拡張を使う</h2>

<p><code>nonce</code> のない OAuth 2.0 の場合、Authorization Request &amp; Response のセッションと <code>code</code> を紐付けるパラメータが特にありません。</p>

<p>そして、それでは Code 置換攻撃は防げません。</p>

<p>よって、<code>code</code> と紐付いたパラメータを用意してやる必要があります。</p>

<p>OpenID Foundation Japan 事務局長としては「OpenID Connect 使えや」って話でもあるわけですが、もうちょっとお手軽な方法としては <a href="https://tools.ietf.org/html/rfc7636">OAuth PKCE</a> というのもあります。</p>

<p>PKCE はもともと <code>client_secret</code> を持てない OAuth Client 向けに作られた仕様ですが、Authorization Request で送った <code>code_challenge</code> と紐づく <code>code_verifier</code> を Token Endpoint に送ることになるので、当然ながら IdP 側では <code>code</code> と <code>code_challenge</code> を紐付けて管理することになります。</p>

<p>つまり、<code>code</code> を置換すると、<code>code_verifier</code> が合わなくなって、Token Request が失敗する、と。</p>

<p>ちなみに、PKCE には <code>code_challenge_mode</code> っていうパラメータがありますが、<code>code_challenge_mode=plain</code> は Authorization Request みれる状況では <code>code_verifier</code> 自体が漏れることになるんでダメで、この攻撃防ぐためには <code>S256</code> を使ってくださいね。</p>

<p>さて、これで OAuth 2.0 でも Code 置換攻撃、防げましたね。</p>

<p>これからは Confidential Client (<code>client_secret</code> 持てる OAuth Client) でも PKCE 使えってことですね。</p>

<p>ただ PKCE は OAuth 拡張なんで、OAuth Server (IdP) 側がまず PKCE 対応する必要があります。</p>

<p>Facebook Login とか使ってる人たちは、どうすればいいんでしょうねぇ〜</p>

<h2>OAuth 2.0 の場合 (2) : response_mode=form_post を使う (Thanks to @zigorou)</h2>

<p>PKCE 同様 <code>response_mode=form_post</code> も拡張仕様なのでどの OAuth Server (IdP) でも使えるわけではないですが、<code>response_mode=form_post</code> を使うと Authorization Code は POST Body に含まれて返されるので、Full URL が漏れても <code>code</code> は漏れません。</p>

<p>Session と紐付けた <code>nonce</code> なり <code>code_verifier</code> なりを管理するより、RP にとっては <code>response_mode=form_post</code> を使うほうが楽かもしれませんね。</p>

<p>「Session と紐付ける」って概念、意外に通じないことも多いですし。</p>

<h2>まとめ</h2>

<p>OpenID Connect を使ってる場合は、RP が常に <code>nonce</code> 使えばいいだけなんで、RP だけが注意してれば大丈夫ですね。</p>

<p>OAuth 2.0 を使ってる場合は、OAuth Server (IdP) 側がまず PKCE なり OpenID Connect なりに対応して、RP がそれを使う必要がありそうです。</p>

<p><strong>Facebook のみなさん、聞こえますかぁ〜</strong></p>

<p>ps.</p>

<p>「OAuth 2.0 の場合」というセクションタイトルになってますが、OpenID Connect でも nonce の代わりに PKCE なり response_mode=form_post 使ってもいいです。</p>

<p>OAuth 2.0 のレベルで解決できてるなら、OpenID Connect 特有のパラメータを利用しなくても (この攻撃は) 防げます。</p>
]]></content>
  </entry>
  
  <entry>
    <title type="html"><![CDATA[NIST 800-63C を翻訳しました]]></title>
    <link href="https://oauth.jp/blog/2016/07/15/nist-800-63c/"/>
    <updated>2016-07-15T15:06:00+09:00</updated>
    <id>https://oauth.jp/blog/2016/07/15/nist-800-63c</id>
    <content type="html"><![CDATA[<p>先日このブログでも紹介した <a href="https://oauth.jp/blog/2016/07/01/jwk-and-oauth-revocation-translated/">OAuth Revocation, JWK JWK Thumbprint 仕様の翻訳版</a> に引き続き、OpenID Foundation Japan 翻訳・教育 WG リーダーとしての Nov です。</p>

<p>先日 <a href="https://www.facebook.com/OpenIDTrans/posts/1226159194083566">翻訳 WG の Facebook Page</a> でも告知したように、現在 <a href="https://pages.nist.gov/800-63-3/">NIST SP 800-63-3 &ndash; Digital Authentication Guideline</a> の翻訳を開始しています。</p>

<p>今日はその中から、すでに翻訳が完了している <a href="https://openid-foundation-japan.github.io/800-63-3/sp800-63c.ja.html">NIST SP 800-63C &ndash; Federation and Assertions</a> のご紹介です。</p>

<h2>Level of Assurance</h2>

<p>プロフェッショナルなみなさまのことです、すでに Level of Assurance とか LoA とかいう単語を耳にしたこともおありでしょう。</p>

<p>NIST SP 800-63 は、LoA の各レベルでの要求事項を具体的に定めている NIST (米国国立標準技術研究所) の公式ドキュメントで、800-63-3 はその Revision 3 です。</p>

<p>Revison 3 では、Revision 2 まで単一のドキュメントだった 800-63 を、以下の4つに分割しています。</p>

<ul>
<li>SP 800-63-3 (Digital Authentication Guideline)</li>
<li>SP 800-63A (Identity Proofing &amp; Enrollment)</li>
<li>SP 800-63B (Authentication &amp; Lifecycle Management)</li>
<li>SP 800-63C (Federation &amp; Assertions)</li>
</ul>


<p>そして LoA も3つの Assurance Levels に分割し、それぞれをレベル分けした上で、それぞれのレベルの組み合わせを持って LoA を定義しています。</p>

<ul>
<li>Identity Assurance Level (IAL, Lv.1 &ndash; Lv.3 までの3段階)</li>
<li>Authenticator Assurance Level (AAL, Lv.1 &ndash; Lv.3 までの3段階)</li>
<li>Federation Assurance Level (FAL, Lv.1 &ndash; Lv.4 までの4段階)</li>
</ul>


<p>LoA 自体は今まで通り Lv.1 &ndash; Lv.4 までの4段階で、それぞれの LoA に求められる IAL, AAL, FAL のレベルは以下の通りとなっています。</p>

<table>
<thead>
<tr>
<th></th>
<th> LOA </th>
<th> IAL </th>
<th> AAL </th>
<th> FAL </th>
</tr>
</thead>
<tbody>
<tr>
<td></td>
<td>  1  </td>
<td>  1  </td>
<td>  1  </td>
<td>  1</td>
</tr>
<tr>
<td></td>
<td>  2  </td>
<td>  2  </td>
<td> 2 or 3 </td>
<td>  2</td>
</tr>
<tr>
<td></td>
<td>  3  </td>
<td>  2  </td>
<td> 2 or 3 </td>
<td>  2</td>
</tr>
<tr>
<td></td>
<td>  4  </td>
<td>  3  </td>
<td> 3 </td>
<td>  4</td>
</tr>
</tbody>
</table>


<p>LoA Lv.2.5 とか、Lv.1+ とか、謎のオレオレ定義が乱立してた LoA の定義も、こういう仕組みで多少はフィレキシブルに扱えるように&hellip;</p>

<p>ま、なるといいですね。</p>

<h2>Federation Assurance Level (FAL)</h2>

<p>で、上記のうち FAL を定義しているのが、<a href="https://openid-foundation-japan.github.io/800-63-3/sp800-63c.ja.html">NIST SP 800-63C &ndash; Federation and Assertions</a> です。</p>

<p>800-63C では、Assertion と Federation Protocol のレベル分けのために、それらの特徴を複数のカテゴリに渡って分類し、それらの組み合わせによって FAL を定義しています。</p>

<table>
<thead>
<tr>
<th></th>
<th> FAL </th>
<th> Requirement </th>
</tr>
</thead>
<tbody>
<tr>
<td></td>
<td>  1  </td>
<td> Bearer assertion, direct presentation, asymmetrically signed by CSP</td>
</tr>
<tr>
<td></td>
<td>  2  </td>
<td> Bearer assertion, indirect presentation, asymmetrically signed by CSP</td>
</tr>
<tr>
<td></td>
<td>  3  </td>
<td> Bearer assertion, indirect presentation, asymmetrically signed by CSP and encrypted to RP</td>
</tr>
<tr>
<td></td>
<td>  4  </td>
<td> Holder of key assertion, indirect presentation, asymmetrically signed by CSP and encrypted to RP</td>
</tr>
</tbody>
</table>


<p>Bearer か Holder-of-Key かとか、Direct か Indirect か (Artifact 使うか使わないか) とか、署名のみか署名後暗号化するかとか、プロフェッショナルなみなさまにはたまらないですよね！</p>

<p>ってことで、プロフェッショナルなみなさまにおかれましては、ぜひ翻訳版読んでいただいて、<a href="https://github.com/openid-foundation-japan/800-63-3">日本語版の GitHub Repository</a> へのフィードバックお待ちしております！</p>

<p>あと NIST 本家の英語版も絶賛更新中らしいんで、<a href="https://github.com/usnistgov/800-63-3">英語語版の GitHub Repository</a> にもフィードバックしてあげると喜ばれると思います！</p>

<p>僕も3箇所ほどフィードバックして見ましたが、特に報告者の国籍等は関係無く反応返ってくるので、どっかのパブコメよりはよっぽど&hellip;おっと、誰か来たようだ。</p>

<h2>残りの 800-63-3, 800-63A, 800-63B について</h2>

<p>絶賛翻訳中です。</p>

<p>NIST 800-63-3 シリーズはセクションごとにファイルが分割していて翻訳箇所の並列化がしやすくなってるので、翻訳手伝ってくれるひとはまだまだ募集してます。</p>

<p>応募方法は <a href="https://www.facebook.com/OpenIDTrans/posts/1226159194083566">翻訳 WG の Facebook Page</a> をご覧ください。</p>

<p>じっくりドキュメントを読み込みたい方には、翻訳とかいい機会だと思いますよ！</p>
]]></content>
  </entry>
  
</feed>