UIpac (Show me the what to do!)

OAuth 남용은 ID 도용을 일으킬 수 있습니다 본문

Dev/Dev Box

OAuth 남용은 ID 도용을 일으킬 수 있습니다

David.Cheon 2015.07.22 11:14
개인적으로 OAuth에 관심이 있어 찾아 보다 재미 있는 글이 있어 공유합니다.  이 글은 Blogspot에 작성 이상민 님의 글을 옮겨온 것입니다. 



2015년 6월 8일 월요일

OAuth abusing may cause identity theft.

Nowadays, OAuth is used as a convenient way for sign-up.

요즘 OAuth가 회원가입을 위한 편리한 수단이 되고 있습니다.




But, you know what? OAuth is never been designed for that purpose and it's actually an abusing.

하지만, 그거 아세요? OAuth는 절대 이런 용도로 설계되지 않았으므로 사실은 남용이라는거.


OAuth just gives the right to post a message to facebook or google plus.

OAuth는 단지 구글 플러스나 페이스북에 대신 글을 쓸 권한을 줄 뿐입니다.

It never authenticate your facebook or google account as a unique identity.

절대로 당신의 계정이 유일무이하다는 것을 인증해주지 않습니다.


Here's an example.

예를 하나 들겠습니다.

(I'm not accusing feedly.com for anything. And I'm not saying feedly.com has this error. It's jut for an example.)

(저는 절대로 feedly.com을 고발하는 것이 아닙니다. Feedly.com이 이런 오류를 가지고 있다고 말하는 것도 아니며 단지 예를 들 뿐입니다)


One day, I found feedly is useful and want to sign-up. I'm using facebook so 'continue with Facebook' seems nice and convenient.

어느날, 제가 feedly가 쓸만하다고 느껴서 회원가입을 하고 싶게 됩니다. 저는 페이스북을 상요하고 있으므로 '페이스북 계정으로 로그인'은 참 편하고 좋아 보이죠.

By clicking facebook logo, feedly.com redirects me to Facebook's OAuth page.

페이스북 로고를 클릭함으로써 feedly.com은 저를 페이스북의 OAuth 페이지로 보냅니다.

Some pop-up like this will show up and I would click okay.

다음과 같은 형태의 팝업이 나오면 저는 okay를 클릭하겠죠.


By clicking okay, I grant feedly.com to write facebook message for me or as myself.

Okay를 클릭함으로써 저는 feedly.com이 저를 위해서 또는 저를 대신해서 페이스북에 글을 쓸 수있도록 허가하게 됩니다.



But, some day, I have to delete gmail.com account. I may dislike google or I definitely will be deceased. Then 'lempel@gmail.com' will be inactive and could be vacant.

하지만 어느날, 저는 gmail.com 계정을 삭제해야 합니다. 구글이 싫어질 수도 있지만 분며히 저도 죽을테니까요. 그러면 lempel@gmail.com 계정은 비활성화되고 비어있는 계정이 될 수 있죠.


Probably many people would want to use 'lempel@gmail.com' address. So, someone like 'Abraham Lempel' might acquire it.

분명히 lempel@gmail.com 이란 주소를 쓰고 싶어하는 분들이 많을 겁니다. 그러니 Abraham Lempel 같은 사람이 주소를 획득할 수 있죠.


It's not impossible for Abraham Lempel to be attracted to feedly.com and he might use OAuth authorization. But, I may not delete my feedly.com account so feedly.com knows the owner of 'lempel@gmail.com' is still me.

Abraham Lempel이 feedly.com에 매력을 느끼게 되는 것이 불가능한 일은 아니고, 그도 OAuth 인증을 사용할 수 있죠. 하지만 제가 feedly.com 계정을 삭제하지 않았을 수 있으니 lempel@gmail.com 의 사용자를 아직도 저로 알고 있을 수 있습니다.


As a result, Abraham Lempel will be able to access all my personal data from feedly.

결국 Abraham Lempel은 feedly의 제 모든 개인 정보에 접근할 수 있게 됩니다.

How horrifying!

끔찍하죠!




This kind of accident will happen because of OAuth is never been designed for Authentication.

이런 종류의 사고가 일어날 수 있는 이유는 OAuth는 결코 인증을 위해 설계되지 않았기 때문입니다.

By clicking 'continue with xxxxxx' or 'sign-in with xxxxxxx' you could create this security hole.

'XXXXX로 계속하기' 또는 'XXXXXX로 로그인 하기'를 클릭하는 순간, 당신은 이런 보안의 사각지대를 만들 수 있습니다.




출처 : http://lempel76.blogspot.kr/2015/06/oauth-abusing-may-case-identity-theft.html


'Dev > Dev Box' 카테고리의 다른 글

OAuth 남용은 ID 도용을 일으킬 수 있습니다  (0) 2015.07.22
Unity3D 관련 추천 사이트  (0) 2015.01.02
Android Game Open Source  (0) 2014.06.25
Android 개발에 도움이 되는사이트  (0) 2014.06.25
Git과 Github 사용하기  (0) 2014.06.25
Android 개발환경 구축  (0) 2014.06.24
0 Comments
댓글쓰기 폼