![](https://cdn-ak-scissors.b.st-hatena.com/image/square/3fe41bcadc0eef7b318210a0c0d10f1643a9bccd/height=288;version=1;width=512/https%3A%2F%2Fmedia.loom-app.com%2Fbi%2Fdist%2Fimages%2F2019%2F07%2F15%2F7pay_zu_v1.jpg%3Fw%3D1280%26h%3D630%26f%3Djpg)
エントリーの編集
![loading...](https://b.st-hatena.com/bdefb8944296a0957e54cebcfefc25c4dcff9f5f/images/v4/public/common/loading@2x.gif)
エントリーの編集は全ユーザーに共通の機能です。
必ずガイドラインを一読の上ご利用ください。
記事へのコメント135件
- 注目コメント
- 新着コメント
![evergreeen evergreeen](https://cdn.profile-image.st-hatena.com/users/evergreeen/profile.png)
evergreeen
何度も言うけど、ビジネスインサイダーは7payの記事を匿名で書くな。書いたのも検証したのも、再検証したのも全部﹁匿名﹂って、2ちゃんねるかよ。間違えたときの保険かけながら公開していいレベルの記事ではないと思
![el-condor el-condor](https://cdn.profile-image.st-hatena.com/users/el-condor/profile.png)
el-condor
ええ…普通にOAuth/OpenIDConnectアプリを実装するだけではこうはならないと思うんだがどういう実装したの…/外部連携以外にも未知の脆弱性がある可能性もまだあるのか怖いな。
![moritata moritata](https://cdn.profile-image.st-hatena.com/users/moritata/profile.png)
moritata
これoauthの実装がどうこう以前に、セッション管理がされているように思えない‥ 脆弱性診断なんか絶対にしてないわ、これは‥ 流石にこんなの見逃すわけないよ / 見る人は記事よりもRequest とResponse Dataだけ見てると思う
![fashi fashi](https://cdn.profile-image.st-hatena.com/users/fashi/profile.png)
fashi
「ユーザーIDがオムニ7の会員登録情報と合致さえすれば、トークンと呼ばれる鍵情報を返していた」OpenIDが担保する証もログインパスワードも不要でID渡すだけで認証トークン返してくれるAPIがあったと
![stealthinu stealthinu](https://cdn.profile-image.st-hatena.com/users/stealthinu/profile.png)
stealthinu
えええ…?OpenIDのセッションIDをほぼ生ID使ってたってこと??普通にOpenID用のライブラリ使ってるだけでそんな実装にはならんと思うのだが。全部自前で書いちゃってそんなことになったのか?
●security
![hiromi_ayase hiromi_ayase](https://cdn.profile-image.st-hatena.com/users/hiromi_ayase/profile.png)
hiromi_ayase
いわゆる「OAuthは認証ではなく認可」とかですらなく、uidの存在確認してるだけという感じですね。「ユーザー毎に一意」であってもエントロピーが十分なら認証として通用するけど、uidは総当たりでぼこぼこ引っかかる。
![ryuzi_kambe ryuzi_kambe](https://cdn.profile-image.st-hatena.com/users/ryuzi_kambe/profile.png)
ryuzi_kambe
これって個人の作成したPeingと同じようなことをやってしまったということ? これ→「Peing」で約150万件のメアドが閲覧可能だったと判明--漏えい問題で続報 - CNET Japan https://japan.cnet.com/article/35132094/
![quabbin quabbin](https://cdn.profile-image.st-hatena.com/users/quabbin/profile.png)
quabbin
「ストレージ記録のIDとDBを照合するだけ」「Cookie内のIDが(略」は、割とセキュリティ監査で見かける。指摘に「このIDはログインしないと取得不可能」と言い訳、直そうとしないベテランエンジニアも多い。もう飽きた
![hdampty7 hdampty7](https://cdn.profile-image.st-hatena.com/users/hdampty7/profile.png)
hdampty7
こういうのはね、業界標準というかね、知ってる人捕まえてきていっしょに設計するのよ。アプリとの連携もあるし、経験ないと簡単そうだけど実際には難しいよ。俺に一言相談してくれればって思う技術者多いのでは。
![ryunosinfx ryunosinfx](https://cdn.profile-image.st-hatena.com/users/ryunosinfx/profile.png)
ryunosinfx
これOpenIDじゃなくない?入れ物は同じものを使って居るだろうが、使い方が違う・・・まさか、アプリのAPIを覗く方法を知ってる奴が一人も居なかったとか、居たけど上層部がそんなやつなんてこの世に居ないと言ったのか
![koubyint koubyint](https://cdn.profile-image.st-hatena.com/users/koubyint/profile.png)
koubyint
うーん。。。
![securecat securecat](https://cdn.profile-image.st-hatena.com/users/securecat/profile.png)
securecat
昨日アリオにたまたま行ったんだけどナナコめっちゃ推しまくってたぞ。ああいう連携してくれてる事業者とその顧客たちのことも何も考えず自社の利益だけ追求して、そんでこのざまとか草すら生えない
注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています
![アプリのスクリーンショット](https://b.st-hatena.com/bdefb8944296a0957e54cebcfefc25c4dcff9f5f/images/v4/public/entry/app-screenshot.png)
いまの話題をアプリでチェック!
- バナー広告なし
- ミュート機能あり
- ダークモード搭載
関連記事
狙われた7pay「外部ID連携」の脆弱性の全貌。急遽“遮断”した理由
7payの新規登録停止を知らせる張り紙。全国津々浦々のフランチャイズ店舗にまで掲出を行き渡らせるのは...
7payの新規登録停止を知らせる張り紙。全国津々浦々のフランチャイズ店舗にまで掲出を行き渡らせるのは簡単なことではない。 撮影‥7pay取材班 7payの不正使用をめぐって、その脆弱性が背景にあるとの見方が強まっている。窃盗容疑などで複数の中国籍の容疑者らが逮捕されているが、実態にはまだ不可解な部分が少なくない。 一連の7pay報道のなかで、徐々にハッキングの手法に関する情報が出てきたが、具体的に﹁7payの脆弱性とは、一体どんなものだったのか﹂は直接的に報じられていない。 Business Insider Japanの﹁7pay﹂取材班では、複数の協力者の通信解析を通じて、7payとその周辺に潜む脆弱性のうち、重要な事象の1つである外部ID経由のハッキング︵不正侵入︶のメカニズムについて確証を得た。 不正アクセス犯はどんな手口で侵入したのかを探る。
2019/07/16 リンク