#idcon mini Vol.3 - Covert Redirectの話はまだ終わってない

注意事項

普段の #idcon と比べると #idcon mini はディープです。

予定している内容(変更される可能性があります)

OAuth(OpenID Connect) + Covert Redirectの件でモヤモヤしている部分を全てはっきりさせましょう。

• Implicit で access_tokenとられるって話(さらっと)
• Authorization Code使う場合のリスクと対策(細かい話)
• Native App + Back-End Serverなややこしげなケースのリスクと対策(細かすぎて伝わらない話)

それぞれで、次の3点を理解して帰りましょう。

• 攻撃者がやりたいことと、それを許す可能性がある実装
• 対策のためのServer側の独自拡張
• 対策のためのClient側はこうしておけ

なんとなくの資料はこちらです。
idcon mini vol3 CovertRedirect

進め方

この手の話は、普通にやったら誰かの解説だけでモヤっとしたまま終わります。
それなりに工夫が必要です。

• 誰かがネタを最初から公開しておく（未定）
  • 事前にブログ記事読んで来い or この資料見れぐらいでも良い
• 参加者はそれを見てモヤモヤしておく
  • Twitterとかに書いておくと誰かが拾う
  • とりあえず来て0から理解しようとするとそれだけで終わると思う
• 会場では質疑応答をおおめにする
  • 終わんなかったら誰かの宿題に...

See also

@nov先生のOAuth.jpの記事を載せておきます。

• Implicit Flow では Covert Redirect で Token 漏れるね
• OAuth 2.0 の Code は漏れても大丈夫ってホント!?
• Covert Redirect で Query 漏れるケースもある!?

あと John Bradley の2014年5月のブログ記事を読みあさっておくことをお勧めします。
http://www.thread-safe.com

OpenID 2.0はまぁ、いいだろ。

会場について

• ビルに入り、エレベーターで７Fまで上がってください。
• 受付に行かず、右に曲がってさらに曲がって突き当りまで行かず、途中の扉から@ritouが誘導することになります(案内は用意しておく予定です)
• 20時以降はビルの正面玄関が閉じてしまうため、なるべくその前にご来場ください
• 何か不明点などありましたらTwitterの #idcon というハッシュタグをつけて @ritou, @nov あたりにメンションください
• 開場は18:30頃から
• 以前無線LANを提供したところ評判がいまいちだったのでしません
• USTなどは気が乗らないのでたぶんしません
• 定員はもう少し増やすかもしれません　← 増やしません！