Submit Search
Upload
IETF97 Update oauth tokbind
•
2 likes
•
879 views
Kaoru Maeda
Follow
2016/12/16 ISOC-JP主催のIETF報告会97で発表した資料です
Read less
Read more
Internet
Slideshow view
Report
Share
Slideshow view
Report
Share
1 of 24
Download now
Download to read offline
Recommended
IETF96 Update oauth tokbind
IETF96 Update oauth tokbind
Kaoru Maeda
http2study 20160423 IETF95 Report
http2study 20160423 IETF95 Report
Kaoru Maeda
Ietf95 http2
Ietf95 http2
Kaoru Maeda
IETF93 Prague報告Web関連+QUIC
IETF93 Prague報告Web関連+QUIC
Kaoru Maeda
HTTP/2: ぼくたちのWebはどう変わるのか
HTTP/2: ぼくたちのWebはどう変わるのか
Kaoru Maeda
IETF89 HTTP関連WG報告 #isocjp
IETF89 HTTP関連WG報告 #isocjp
Kaoru Maeda
WebRTC NextVersion時代のJavaScript開発
WebRTC NextVersion時代のJavaScript開発
Yusuke Naka
Node-v0.12のTLSを256倍使いこなす方法
Node-v0.12のTLSを256倍使いこなす方法
shigeki_ohtsu
Recommended
IETF96 Update oauth tokbind
IETF96 Update oauth tokbind
Kaoru Maeda
http2study 20160423 IETF95 Report
http2study 20160423 IETF95 Report
Kaoru Maeda
Ietf95 http2
Ietf95 http2
Kaoru Maeda
IETF93 Prague報告Web関連+QUIC
IETF93 Prague報告Web関連+QUIC
Kaoru Maeda
HTTP/2: ぼくたちのWebはどう変わるのか
HTTP/2: ぼくたちのWebはどう変わるのか
Kaoru Maeda
IETF89 HTTP関連WG報告 #isocjp
IETF89 HTTP関連WG報告 #isocjp
Kaoru Maeda
WebRTC NextVersion時代のJavaScript開発
WebRTC NextVersion時代のJavaScript開発
Yusuke Naka
Node-v0.12のTLSを256倍使いこなす方法
Node-v0.12のTLSを256倍使いこなす方法
shigeki_ohtsu
WebRTC on Native App
WebRTC on Native App
WebRTCConferenceJapan
2013 WebRTC node
2013 WebRTC node
mganeko
ラズパイでWebRTC ヾ(*´∀`*)ノキャッキャ uv4l-webrtc 軽くハックしてみたよ!
ラズパイでWebRTC ヾ(*´∀`*)ノキャッキャ uv4l-webrtc 軽くハックしてみたよ!
Kensaku Komatsu
5分でわかるWebRTCの仕組み - html5minutes vol.01
5分でわかるWebRTCの仕組み - html5minutes vol.01
西畑 一馬
第43回HTML5とか勉強会 SPDY/QUICデモ
第43回HTML5とか勉強会 SPDY/QUICデモ
shigeki_ohtsu
Keycloak入門-OpenID ConnectによるAPIセキュリティ
Keycloak入門-OpenID ConnectによるAPIセキュリティ
Yuichi Nakamura
スマホ(Android・iPhone)でWebRTC
スマホ(Android・iPhone)でWebRTC
Natsuki Yamanaka
IETF90 IoT関連WG報告 #isocjp
IETF90 IoT関連WG報告 #isocjp
Kaoru Maeda
CERT コーディングスタンダードご紹介 (OSC2017@Osaka)
CERT コーディングスタンダードご紹介 (OSC2017@Osaka)
JPCERT Coordination Center
IETF91 Honolulu httpbis WG Report
IETF91 Honolulu httpbis WG Report
Kaoru Maeda
SSL/TLSの基礎と最新動向
SSL/TLSの基礎と最新動向
shigeki_ohtsu
PeerConnectionリレーとMediaRecorder
PeerConnectionリレーとMediaRecorder
mganeko
2016 February - WebRTC Conference Japan - 日本語
2016 February - WebRTC Conference Japan - 日本語
Alexandre Gouaillard
注目の最新技術「WebRTC」とは? -技術概要と事例紹介-
注目の最新技術「WebRTC」とは? -技術概要と事例紹介-
Yusuke Naka
HTML5によるリアルタイムコミュニケーション WebRTCの概説
HTML5によるリアルタイムコミュニケーション WebRTCの概説
You_Kinjoh
知ってると得するかもしれないConstraintsたち
知ってると得するかもしれないConstraintsたち
Kensaku Komatsu
IETF93プレ勉強会、ARTエリアの歩き方
IETF93プレ勉強会、ARTエリアの歩き方
Kaoru Maeda
kintone AWARD 2017 ネオラボ 事例
kintone AWARD 2017 ネオラボ 事例
Cybozucommunity
Enterprise Identity Working Groupについて
Enterprise Identity Working Groupについて
OpenID Foundation Japan
Mulesoft meetup #02 Anypointで日本のクラウドサービスを繋いでみた!
Mulesoft meetup #02 Anypointで日本のクラウドサービスを繋いでみた!
Kazuya Sugimoto
20140307 tech nightvol11_lt_v1.0_public
20140307 tech nightvol11_lt_v1.0_public
Tatsuya (達也) Katsuhara (勝原)
Interop tokyo 2013 nc 04
Interop tokyo 2013 nc 04
亮介 山口
More Related Content
What's hot
WebRTC on Native App
WebRTC on Native App
WebRTCConferenceJapan
2013 WebRTC node
2013 WebRTC node
mganeko
ラズパイでWebRTC ヾ(*´∀`*)ノキャッキャ uv4l-webrtc 軽くハックしてみたよ!
ラズパイでWebRTC ヾ(*´∀`*)ノキャッキャ uv4l-webrtc 軽くハックしてみたよ!
Kensaku Komatsu
5分でわかるWebRTCの仕組み - html5minutes vol.01
5分でわかるWebRTCの仕組み - html5minutes vol.01
西畑 一馬
第43回HTML5とか勉強会 SPDY/QUICデモ
第43回HTML5とか勉強会 SPDY/QUICデモ
shigeki_ohtsu
Keycloak入門-OpenID ConnectによるAPIセキュリティ
Keycloak入門-OpenID ConnectによるAPIセキュリティ
Yuichi Nakamura
スマホ(Android・iPhone)でWebRTC
スマホ(Android・iPhone)でWebRTC
Natsuki Yamanaka
IETF90 IoT関連WG報告 #isocjp
IETF90 IoT関連WG報告 #isocjp
Kaoru Maeda
CERT コーディングスタンダードご紹介 (OSC2017@Osaka)
CERT コーディングスタンダードご紹介 (OSC2017@Osaka)
JPCERT Coordination Center
IETF91 Honolulu httpbis WG Report
IETF91 Honolulu httpbis WG Report
Kaoru Maeda
SSL/TLSの基礎と最新動向
SSL/TLSの基礎と最新動向
shigeki_ohtsu
PeerConnectionリレーとMediaRecorder
PeerConnectionリレーとMediaRecorder
mganeko
2016 February - WebRTC Conference Japan - 日本語
2016 February - WebRTC Conference Japan - 日本語
Alexandre Gouaillard
注目の最新技術「WebRTC」とは? -技術概要と事例紹介-
注目の最新技術「WebRTC」とは? -技術概要と事例紹介-
Yusuke Naka
HTML5によるリアルタイムコミュニケーション WebRTCの概説
HTML5によるリアルタイムコミュニケーション WebRTCの概説
You_Kinjoh
知ってると得するかもしれないConstraintsたち
知ってると得するかもしれないConstraintsたち
Kensaku Komatsu
What's hot
(16)
WebRTC on Native App
WebRTC on Native App
2013 WebRTC node
2013 WebRTC node
ラズパイでWebRTC ヾ(*´∀`*)ノキャッキャ uv4l-webrtc 軽くハックしてみたよ!
ラズパイでWebRTC ヾ(*´∀`*)ノキャッキャ uv4l-webrtc 軽くハックしてみたよ!
5分でわかるWebRTCの仕組み - html5minutes vol.01
5分でわかるWebRTCの仕組み - html5minutes vol.01
第43回HTML5とか勉強会 SPDY/QUICデモ
第43回HTML5とか勉強会 SPDY/QUICデモ
Keycloak入門-OpenID ConnectによるAPIセキュリティ
Keycloak入門-OpenID ConnectによるAPIセキュリティ
スマホ(Android・iPhone)でWebRTC
スマホ(Android・iPhone)でWebRTC
IETF90 IoT関連WG報告 #isocjp
IETF90 IoT関連WG報告 #isocjp
CERT コーディングスタンダードご紹介 (OSC2017@Osaka)
CERT コーディングスタンダードご紹介 (OSC2017@Osaka)
IETF91 Honolulu httpbis WG Report
IETF91 Honolulu httpbis WG Report
SSL/TLSの基礎と最新動向
SSL/TLSの基礎と最新動向
PeerConnectionリレーとMediaRecorder
PeerConnectionリレーとMediaRecorder
2016 February - WebRTC Conference Japan - 日本語
2016 February - WebRTC Conference Japan - 日本語
注目の最新技術「WebRTC」とは? -技術概要と事例紹介-
注目の最新技術「WebRTC」とは? -技術概要と事例紹介-
HTML5によるリアルタイムコミュニケーション WebRTCの概説
HTML5によるリアルタイムコミュニケーション WebRTCの概説
知ってると得するかもしれないConstraintsたち
知ってると得するかもしれないConstraintsたち
Similar to IETF97 Update oauth tokbind
IETF93プレ勉強会、ARTエリアの歩き方
IETF93プレ勉強会、ARTエリアの歩き方
Kaoru Maeda
kintone AWARD 2017 ネオラボ 事例
kintone AWARD 2017 ネオラボ 事例
Cybozucommunity
Enterprise Identity Working Groupについて
Enterprise Identity Working Groupについて
OpenID Foundation Japan
Mulesoft meetup #02 Anypointで日本のクラウドサービスを繋いでみた!
Mulesoft meetup #02 Anypointで日本のクラウドサービスを繋いでみた!
Kazuya Sugimoto
20140307 tech nightvol11_lt_v1.0_public
20140307 tech nightvol11_lt_v1.0_public
Tatsuya (達也) Katsuhara (勝原)
Interop tokyo 2013 nc 04
Interop tokyo 2013 nc 04
亮介 山口
jus研究会名古屋大会「Redmineでプロジェクトを【見える化】しよう!」
jus研究会名古屋大会「Redmineでプロジェクトを【見える化】しよう!」
Taku Yajima
みんなのPython勉強会#35 Pythonのお仕事動向
みんなのPython勉強会#35 Pythonのお仕事動向
Yasuki Kishi
4th長崎QDG オープニング & 開催レポート
4th長崎QDG オープニング & 開催レポート
NaITE_Official
OpenID ConnectとSCIMによるエンタープライズでのID連携活用に向けて
OpenID ConnectとSCIMによるエンタープライズでのID連携活用に向けて
Takashi Yahata
Hadoopエコシステムを駆使したこれからのWebアクセス解析サービス
Hadoopエコシステムを駆使したこれからのWebアクセス解析サービス
Yukinori Suda
SORACOM Canalを使った キャンペーン端末事
SORACOM Canalを使った キャンペーン端末事
Tosihiyuki Hirai
多対多のクラウド利用を支えるデータ標準化技術
多対多のクラウド利用を支えるデータ標準化技術
CData Software Japan
企業のオープンソース活動を支える Open Source Program Office (OSPO)
企業のオープンソース活動を支える Open Source Program Office (OSPO)
takanori suzuki
NAPALMで作るネットワークオペレーション自動化への道のり
NAPALMで作るネットワークオペレーション自動化への道のり
Toshiya Mabuchi
Ai from-digital-transformation:ポエムなAI はもう終わりにしよう:クラウドによる市民革命とAIによる産業革命
Ai from-digital-transformation:ポエムなAI はもう終わりにしよう:クラウドによる市民革命とAIによる産業革命
Osaka University
Why ANDPAD commit Ruby and RubyKaigi?
Why ANDPAD commit Ruby and RubyKaigi?
Hiroshi SHIBATA
論文紹介:Ambient Sound Provides Supervision for Visual Learning(CV勉強会ECCV2016読み会)
論文紹介:Ambient Sound Provides Supervision for Visual Learning(CV勉強会ECCV2016読み会)
Toshiki Sakai
『OpenID ConnectとSCIMのエンタープライズ実装ガイドライン』解説
『OpenID ConnectとSCIMのエンタープライズ実装ガイドライン』解説
Takashi Yahata
Open Data on W3C TPAC 2014
Open Data on W3C TPAC 2014
Taisuke Fukuno
Similar to IETF97 Update oauth tokbind
(20)
IETF93プレ勉強会、ARTエリアの歩き方
IETF93プレ勉強会、ARTエリアの歩き方
kintone AWARD 2017 ネオラボ 事例
kintone AWARD 2017 ネオラボ 事例
Enterprise Identity Working Groupについて
Enterprise Identity Working Groupについて
Mulesoft meetup #02 Anypointで日本のクラウドサービスを繋いでみた!
Mulesoft meetup #02 Anypointで日本のクラウドサービスを繋いでみた!
20140307 tech nightvol11_lt_v1.0_public
20140307 tech nightvol11_lt_v1.0_public
Interop tokyo 2013 nc 04
Interop tokyo 2013 nc 04
jus研究会名古屋大会「Redmineでプロジェクトを【見える化】しよう!」
jus研究会名古屋大会「Redmineでプロジェクトを【見える化】しよう!」
みんなのPython勉強会#35 Pythonのお仕事動向
みんなのPython勉強会#35 Pythonのお仕事動向
4th長崎QDG オープニング & 開催レポート
4th長崎QDG オープニング & 開催レポート
OpenID ConnectとSCIMによるエンタープライズでのID連携活用に向けて
OpenID ConnectとSCIMによるエンタープライズでのID連携活用に向けて
Hadoopエコシステムを駆使したこれからのWebアクセス解析サービス
Hadoopエコシステムを駆使したこれからのWebアクセス解析サービス
SORACOM Canalを使った キャンペーン端末事
SORACOM Canalを使った キャンペーン端末事
多対多のクラウド利用を支えるデータ標準化技術
多対多のクラウド利用を支えるデータ標準化技術
企業のオープンソース活動を支える Open Source Program Office (OSPO)
企業のオープンソース活動を支える Open Source Program Office (OSPO)
NAPALMで作るネットワークオペレーション自動化への道のり
NAPALMで作るネットワークオペレーション自動化への道のり
Ai from-digital-transformation:ポエムなAI はもう終わりにしよう:クラウドによる市民革命とAIによる産業革命
Ai from-digital-transformation:ポエムなAI はもう終わりにしよう:クラウドによる市民革命とAIによる産業革命
Why ANDPAD commit Ruby and RubyKaigi?
Why ANDPAD commit Ruby and RubyKaigi?
論文紹介:Ambient Sound Provides Supervision for Visual Learning(CV勉強会ECCV2016読み会)
論文紹介:Ambient Sound Provides Supervision for Visual Learning(CV勉強会ECCV2016読み会)
『OpenID ConnectとSCIMのエンタープライズ実装ガイドライン』解説
『OpenID ConnectとSCIMのエンタープライズ実装ガイドライン』解説
Open Data on W3C TPAC 2014
Open Data on W3C TPAC 2014
More from Kaoru Maeda
Emacs TypeScript
Emacs TypeScript
Kaoru Maeda
IETF103の話題から (HTML5 Conf 2018)
IETF103の話題から (HTML5 Conf 2018)
Kaoru Maeda
IETF102 Report Authorization
IETF102 Report Authorization
Kaoru Maeda
From an Experience of Vulnerability Reporting
From an Experience of Vulnerability Reporting
Kaoru Maeda
Tokbind-fido
Tokbind-fido
Kaoru Maeda
IETF92報告IoT関連
IETF92報告IoT関連
Kaoru Maeda
IETF91報告arcmedia-mcic
IETF91報告arcmedia-mcic
Kaoru Maeda
Ietf91報告 httpbis-httpauth
Ietf91報告 httpbis-httpauth
Kaoru Maeda
HTTP/2 Local activities in Japan
HTTP/2 Local activities in Japan
Kaoru Maeda
IETF90 Web関連WG報告 #isocjp
IETF90 Web関連WG報告 #isocjp
Kaoru Maeda
HTTP/2 draft 14 preview and IETF90 httpbis WG Report
HTTP/2 draft 14 preview and IETF90 httpbis WG Report
Kaoru Maeda
httpbis WG IETF89レポート
httpbis WG IETF89レポート
Kaoru Maeda
HTTP2 最速実装 〜入門編〜
HTTP2 最速実装 〜入門編〜
Kaoru Maeda
Rubyコードゴルフ「ぐるぐる渦巻き」に参加してみた
Rubyコードゴルフ「ぐるぐる渦巻き」に参加してみた
Kaoru Maeda
Fizzbuzz in Complex Plane
Fizzbuzz in Complex Plane
Kaoru Maeda
Lightning Talks日本上陸
Lightning Talks日本上陸
Kaoru Maeda
More from Kaoru Maeda
(16)
Emacs TypeScript
Emacs TypeScript
IETF103の話題から (HTML5 Conf 2018)
IETF103の話題から (HTML5 Conf 2018)
IETF102 Report Authorization
IETF102 Report Authorization
From an Experience of Vulnerability Reporting
From an Experience of Vulnerability Reporting
Tokbind-fido
Tokbind-fido
IETF92報告IoT関連
IETF92報告IoT関連
IETF91報告arcmedia-mcic
IETF91報告arcmedia-mcic
Ietf91報告 httpbis-httpauth
Ietf91報告 httpbis-httpauth
HTTP/2 Local activities in Japan
HTTP/2 Local activities in Japan
IETF90 Web関連WG報告 #isocjp
IETF90 Web関連WG報告 #isocjp
HTTP/2 draft 14 preview and IETF90 httpbis WG Report
HTTP/2 draft 14 preview and IETF90 httpbis WG Report
httpbis WG IETF89レポート
httpbis WG IETF89レポート
HTTP2 最速実装 〜入門編〜
HTTP2 最速実装 〜入門編〜
Rubyコードゴルフ「ぐるぐる渦巻き」に参加してみた
Rubyコードゴルフ「ぐるぐる渦巻き」に参加してみた
Fizzbuzz in Complex Plane
Fizzbuzz in Complex Plane
Lightning Talks日本上陸
Lightning Talks日本上陸
IETF97 Update oauth tokbind
1.
https://lepidum.co.jp/ Copyright © 2004-2016 Lepidum Co. Ltd. All rights reserved. IETF97 Seoul OAUTH関連レポート 株式会社レピダム 前田
薫 (@mad_p) IETF97報告会 2016/12/16 IETF97報告会 2016/12/16
2.
Copyright © 2004-2016 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/ Agenda n WG n
oauth n tokbind n IETF97 n Seoul, KR n Nov 13-18, 2016 IETF97報告会 2016/12/16
3.
Copyright © 2004-2016 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/ ⾃⼰紹介 n 名前 n
前⽥ 薫 @mad_p n 所属 n 株式会社レピダム シニアプログラマ n コミュニティー活動 n ISOC-JP PC n Lightweight Language n Identity Conference n http2study n 業務領域 n 認証・認可、デジタル アイデンティティー、 プライバシー n 標準化⽀援 n ソフトウェアセキュリ ティー、脆弱性 n IETFとの関わり n IETF89 Londonより n ART, SECエリア中⼼ IETF97報告会 2016/12/16
4.
Copyright © 2004-2016 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/ IETF97報告会
2016/12/16
5.
Copyright © 2004-2016 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/ oauth WG Overview n
⽉曜⽇と⽔曜⽇の2コマ開催 n Minutes draft n https://www.ietf.org/proceedings/97/minutes/min utes-97-oauth-00.txt n Device Flow: ログイン⼿段のないデバイスは スマホで認証 n OAuth2向けToken Bindingの話がまだ続く n セキュリティー等に関するBCPを作成する IETF97報告会 2016/12/16
6.
Copyright © 2004-2016 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/ oauth WG Documents Update n
draft-ietf-oauth-amr-values-03 → IESG Authentication Method Reference Values n 認可に際し、使⽤した認証⼿段(パスワード、指紋など)を表現する ための語彙 n draft-ietf-oauth-jwsreq-09 → IESG The OAuth 2.0 Authorization Framework: JWT Secured Authorization Request (JAR) n 認可リクエストをJWTにパッケージし、署名(JWS)または暗号化 (JWE)を可能とする n draft-ietf-oauth-native-apps-05 OAuth 2.0 for Native Apps n スマホなどのネイティブアプリでのOAuth/OpenID Connectフローに おけるベストプラクティス n いくつかの最終調整を経てIESGへ IETF97報告会 2016/12/16
7.
Copyright © 2004-2016 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/ oauth WG Presentations (1/2) n
Hannes Tschofenig: Device Flow n TVなど⼊⼒装置がないが表⽰装置はあるデバイス。スマホや PCから表⽰されたコードを⼊⼒して認可を⾏う n Mike Johns: Authorization Server Metadata n IdP Mix-up Attackに対する緩和策として、エンドポイント情 報をサーバーメタデータとして提供する形式を定める n → 認可サーバーのメタデータを独⽴した⽂書としてpublish n → リソースサーバーについては説明不⾜ n Brian Campbell: OAuth 2.0 Token Binding n tokbind WGからoauth WGへ持ってきた。OAuth 2.0でのToken Bindingの活⽤⽅法 IETF97報告会 2016/12/16
8.
Copyright © 2004-2016 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/ oauth WG Presentations (2/2) n
Brain Campbel: OAuth Token Exchange n すでに得ている認可トークンを利⽤して権限委譲や偽装を⾏うトークンを 得る n → WGLC前にもっと実装経験が必要 n Torsten Lodderstedt: OAuth Security n OAuth2のセキュリティー上の問題やanti patternsなどをまとめる n 前回BerlinでBCPの必要性が⽰された n → セキュリティーに限定せずBCPとしてWGアイテムに n Justin Richer: HTTP Signing n リソースサーバーへのリクエストをJWTにパッケージして署名/暗号化する n → MLで議論。実装者がいるのかどうか n John Bradley: Resource Indicator n access_tokenを使⽤するリソースサーバーをクライアントから認可サー バーに伝えるためのパラメータ IETF97報告会 2016/12/16
9.
Copyright © 2004-2016 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/ Device Flow (1/2) IETF97報告会 2016/12/16 https://www.ietf.org/proceedings/96/slides/slides-96-oauth-2.pdf
10.
Copyright © 2004-2016 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/ Device Flow (2/2) n 3 open issues n
polling n AS→device向きにポーリングするのださいよね n そのままがシンプルでよい n HTTP/2ベースのlong-pollingならリソース⾷わない n OpenID MODRNA WGではpull/pushを検討中 n UI関連 n code と verification URIをユーザーがデバイスで⼊⼒しなければなら ない n ガイダンスが必要か? n 他の⼿段 n 例: ユーザーが電話番号を⼊⼒、SMSでcodeを送る n このような他の⼿段もdocumentすべきか n 結論: experienceがあれば⼊れる、なければ⼊れない IETF97報告会 2016/12/16
11.
Copyright © 2004-2016 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/ Token Binding for OAuth (1/2) n tokbind側の⽂書を修正 n
referred TBID trigger n application specificに決めてよい n key scoping rules n TBIDは特にnative appで、何をしているかわかるとき にはIdPとRPとで同⼀にしてもよい n JWT、id_tokenでのtoken bindingの表現 n cnfクレーム(RFC7800)にtbhとしてTBIDのハッ シュを⼊れる IETF97報告会 2016/12/16
12.
Copyright © 2004-2016 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/ Token Binding for OAuth (2/2) n Access Token n
トリガ問題(前回) → アプリが知っているでOK n ATをtoken bindした場合、resource serverが検証できるために はRS向けのTBIDにbindする必要がある n TBIDはeTLD+1をスコープとするべき(SHOULD) n → 複数ドメインにまたがるリソースで同⼀のATを使えない n Authorization code n codeを提⽰する接続にbindする n native client: native client →★→ token endpoint n app server client: browser →★→ redirect_uri → token endpoint n pkce_challengeの仕組みを使って運ぶ案が⽰された n 対downgrade attack n token bindingを使うかどうかをメタデータに⼊れる IETF97報告会 2016/12/16
13.
Copyright © 2004-2016 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/ oauth WGまとめ n
OAuth2プロトコル成⽴後、周辺の拡張、プ ロファイルなどの策定が進む n Token Bindingについて議論が進んだ n OAuth2に対する攻撃と緩和策をBCPとして まとめる作業に着⼿ n セキュリティーに限定しない IETF97報告会 2016/12/16
14.
Copyright © 2004-2016 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/ IETF97報告会
2016/12/16
15.
Copyright © 2004-2016 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/ tokbind WG Overview n
⽉曜⽇開催 n Minutes draft https://www.ietf.org/proceedings/97/minutes/ minutes-97-tokbind-01.txt n Token Bindingのコアドキュメントは順調 n WGLC 〜11/30 n 0-RTTやreverse proxyでの扱いについて検討 n Chromeを使ったデモ IETF97報告会 2016/12/16
16.
Copyright © 2004-2016 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/ Token Binding の概要 n 参考: http://www.slideshare.net/KaoruMaeda/tokbindfido IETF97報告会
2016/12/16 TLS接続 Exported Key Material (EKM) EKM EKMを秘密鍵で署名、 TokenBindingID(公開鍵)と セットにして送る もらった公開鍵と EKMで署名検証 • いま話してる相手が • この公開鍵に対応した 秘密鍵を持っている • トークンとTBIDを関連 づける TokenBinding サーバーごとに 鍵ペアを⽣成
17.
Copyright © 2004-2016 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/ tokbind WG Presentations n
Andrei Popov: Changes in the Core Token Binding I-Ds Since IETF 96 n コア⽂書3件の残ったissueなど。renegotiation、0-RTT、OAuth 関連の議論 n コア⽂書はWGLCに突⼊し、残issueはWGLCコメントと扱う n Nick Harper: Token Binding for 0-RTT TLS 1.3 Connections n → WGアイテム n TLS 1.3で導⼊される0-RTTでtoken bindingを使う場合の exported key material (EKM)について n Brian Campbell: HTTPS Token Binding & TLS Termination n → WGアイテム n reverse proxyでTLSを終端する場合、どのようにtoken binding 情報をアプリサーバーに渡すか IETF97報告会 2016/12/16
18.
Copyright © 2004-2016 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/ core⽂書関連の議論 n renegotiationによってEKMが変わる n
変更前/変更後どちらのEKMを使うか? n → アプリがEKMを取得してTB messageを作ってから、送信する までの間にリネゴが⾛る可能性は常にある n → そのような場合はリトライ n Profileで規定されない限りrenegotiation禁⽌ n OAuthにやさしいTB修正案 n oauthの項(前述)で⽰した修正案でOK n JavaScriptからのFetchでreferred TBIDを指定したい n JSのオリジン以外のTBIDを送信指⽰できるべきでない n → おっとそれだといろいろ困るんだけど! n →CORS Access-Control-Allow-Referred-Token-Binding? n → まぬけなRSがあって同⼀のeTLD+1の送出許可を出すおそれ IETF97報告会 2016/12/16
19.
Copyright © 2004-2016 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/ 0-RTTとtoken binding EKMの問題 n RFC 5705 exporterはTLS handshakeが終わらない と使えない
→ 0-RTTでは使えない n 現ドラフトの案: early exporterを定義 n 0-RTT acceptされたらearly exporterをずっと使う n rejectされたらRFC5705を使う n replay protection n 新しいTLS extensionでnonceを送り、サーバーから 返す案 n TB専⽤でなく、より⼀般的な解があるはず。もっ と考えよう IETF97報告会 2016/12/16
20.
Copyright © 2004-2016 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/ reverse proxy n
TLS terminatorからアプリサーバーへ「何か」 情報を渡さないとTBは使えない n 「何か」を標準化しないと実装がたくさんできて 困りそう n 2つのアプローチ n TLS terminatorでTBをvalidateして、TB系ヘッダーと してバックエンドサーバーへ検証済と送る n LBでアプリレイヤの検証をするのか? n TLS terminatorからexportしてTBメッセージをヘッ ダーで渡し、アプリサーバーが検証する n 検証失敗時のアプリサーバーからの切断指⽰が難しい。 HTTP status code? IETF97報告会 2016/12/16
21.
Copyright © 2004-2016 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/ tokbind WG まとめ n
Token Bindingのコア⽂書はWGLCに n 残ったissueはコーナーケースだが重要 n OAuthとの親和性向上 n 実⽤化に向けての検討も進む n 0-RTT、reverse proxyのサポート n JS Fetch APIとSame Origin Policyについて注視 IETF97報告会 2016/12/16
22.
Copyright © 2004-2016 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/ IETF97報告会
2016/12/16
23.
Copyright © 2004-2016 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/ まとめ n oauth
WG n 攻撃ベクターと緩和策BCP⽂書に着⼿ n Token Bindingとの整合性を確認 n tokbind WG n コア⽂書が⼗分な品質に → WGLC n 0-RTT、reverse proxyでの活⽤について検討 IETF97報告会 2016/12/16
24.
Copyright © 2004-2016 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/ Any Questions? Feedbacks Welcome! https://lepidum.co.jp/ mailto:maeda@lepidum.co.jp / twitter: @mad_p IETF97報告会 2016/12/16
Download now