oauth / OAuth.jp

Robots.txt Information

Robot	Path	Permission
GoogleBot	/	✔
BingBot	/	✔
BaiduSpider	/	✔
YandexBot	/	✔

Meta Tags

Title	OAuth.jp
Description	Author: Nov Matake Date: Oct 28th, 2020 いままで Mix-up Attack は Client が AS 毎に redirect_uri を使い分けていれば防げると信じられてきましたが、それじゃ防げないケースもあるよってのが OAuth ML
Keywords	N/A

Server Information

WebSite	oauth.jp
Host IP	185.199.110.153
Location	-

関連ウェブサイト

Site	Rank
odic-go.com	0

さらに探索する

Site

nishitetsu-seibi.ac.jp

sekki.net

sect9.jp

kamisu.ed.jp

mitsubishi-ufj-foundation.jp

5ch-blog.com

mutech.or.jp

zeamiart.com

oauth.jp 評価

US$1,463,950

最終更新: 2022-08-25 17:37:26

oauth.jp の Semrush グローバルランクは 7,229,966 です。oauth.jp は、推定広告収入に基づいて、US$1,463,950 の推定価値を持っています。 oauth.jp には、毎日約 168,918 人のユニークユーザーがアクセスしています。その Web サーバーは - にあり、IP アドレスは 185.199.110.153です。 SiteAdvisor によると、oauth.jp は安全にアクセスできます。

トラフィック & 見積もりの価値

売買価格	US$1,463,950
毎日の広告収入	US$1,352
月間広告収入	US$40,541
年間広告収入	US$486,482
デイリーユニークビジター	11,262
注: トラフィックと収益の値はすべて推定値です。

DNS Records

Host	Type	TTL	Data
oauth.jp.	A	299	IP: 185.199.110.153
oauth.jp.	A	299	IP: 185.199.108.153
oauth.jp.	A	299	IP: 185.199.111.153
oauth.jp.	A	299	IP: 185.199.109.153
oauth.jp.	NS	300	NS Record: ns1.value-domain.com.
oauth.jp.	NS	300	NS Record: ns2.value-domain.com.
oauth.jp.	MX	300	MX Record: 30 ASPMX2.GOOGLEMAIL.COM.
oauth.jp.	MX	300	MX Record: 20 ALT2.ASPMX.L.GOOGLE.COM.
oauth.jp.	MX	300	MX Record: 30 ASPMX5.GOOGLEMAIL.COM.
oauth.jp.	MX	300	MX Record: 20 ALT1.ASPMX.L.GOOGLE.COM.
oauth.jp.	MX	300	MX Record: 10 ASPMX.L.GOOGLE.COM.
oauth.jp.	MX	300	MX Record: 30 ASPMX3.GOOGLEMAIL.COM.
oauth.jp.	MX	300	MX Record: 30 ASPMX4.GOOGLEMAIL.COM.
oauth.jp.	TXT	300	TXT Record: atlassian-domain-verification=Sdf4k3ytdaEQRyNvj5o8LI21BsVTWcQ/Q5p+fEdwd3P5HGFozj0vv1mbk2ea/3lA

HtmlToTextCheckTime:2022-08-25 17:37:26

OAuth.jp Mix-up Attack は Per-AS Redirect_uri では防げない Author: Nov Matake Date: Oct 28 th , 2020 いままで Mix-up Attack は Client が AS 毎に redirect_uri を使い分けていれば防げると信じられてきましたが、それじゃ防げないケースもあるよってのが OAuth ML に投稿されました。細かい解説は英語読んでもらうとして、シーケンスにするとこういうことです。 Attacker AS が (Display Name やロゴ等を通じて) 一見 Honest Client に見えるような Client (Attacker Client) を Honest AS に登録しておく必要があります。 User が Attacker AS 選んでるのに Honest AS に飛んで Approve してしまってる部分も、 Attacker Proxy が利用可能な状況 (e.g., Client が HTTP なエンドポイントで Honest AS のログインボタン等を表示している) であればもっと違和感のないフローになるでしょう。で、解決策として AuthZ Response に “iss” を含めることが提案されているのですが、「悪意のある可能性があるIdPを採用しない」ってのが一番の解決策であることに代わりはありません。ドコモ口座問題 Author: Nov Matake Date: Sep 30 th , 2020 忘れそうなので一旦メモ。ドコモ口座の問題って、こういうことでしょ？銀行側のAALが1を満たさないので銀行側が銀行口座を保護できない銀行側のAALが1を満たさないので「銀行にKYCを依拠する」というサービスのLoAが1を満たさずサービスとして成り立っていない結果としてドコモ口座のIALは1 (= dアカウント登録直後と同等) のまま「銀行口座名義とドコモ口座名義の一致確認」と「銀行にKYCを依拠」が同時に発生してしまっている結果「銀行口座名義とドコモ口座名義の一致確認」が実質なされていない参考) https://gist.github.com/nov/b8be7b50db48862784b470c1ae6c1718

HTTP Headers

HTTP/1.1 301 Moved Permanently
Server: GitHub.com
Content-Type: text/html
Location: https://oauth.jp/
X-GitHub-Request-Id: D284:0C6F:102D5F:1CB41A:61C15A63
Content-Length: 162
Accept-Ranges: bytes
Date: Tue, 21 Dec 2021 04:38:59 GMT
Via: 1.1 varnish
Age: 0
Connection: keep-alive
X-Served-By: cache-ewr18157-EWR
X-Cache: MISS
X-Cache-Hits: 0
X-Timer: S1640061539.265809,VS0,VE11
Vary: Accept-Encoding
X-Fastly-Request-ID: 33652ac57f90fd604ba0ee9317d98a9ac0e5af11

HTTP/2 200 
server: GitHub.com
content-type: text/html; charset=utf-8
last-modified: Wed, 28 Oct 2020 14:35:04 GMT
access-control-allow-origin: *
etag: "5f998198-4439"
expires: Tue, 21 Dec 2021 04:48:59 GMT
cache-control: max-age=600
x-proxy-cache: MISS
x-github-request-id: D284:0C6F:102D61:1CB41C:61C15A63
accept-ranges: bytes
date: Tue, 21 Dec 2021 04:38:59 GMT
via: 1.1 varnish
age: 0
x-served-by: cache-ewr18141-EWR
x-cache: MISS
x-cache-hits: 0
x-timer: S1640061539.298652,VS0,VE14
vary: Accept-Encoding
x-fastly-request-id: a55bea416617c0f720d3660c5e70d52cd7b30bf9
content-length: 17465

oauth.jp Whois Information

Cannot process your search request.
Service currently unavailable due to incoming of a large amount of
requests.
Try again later.

oauth.jp 評価と分析