Hacker News 의견

• 버그 바운티 프로그램 관리자는 이슈를 완전히 재현하지 못했으며, 내부 혼선으로 이슈가 해결되었다고 생각했다고 설명한다.
• Harvest 앱 사용자는 새로운 기능 부족과 활성 고객 추론을 허용하는 취약점을 인용하여 회사의 엔지니어링 능력에 대해 우려를 표현한다.
• 한 댓글러는 RFC 6749가 이러한 유형의 공격을 방지하는 방법을 자세히 설명하고 있음을 지적하며, Harvest 앱이 악의적인 redirect_uri를 등록하지 않은 이유를 의문시한다.
• 또 다른 댓글러는 제목이 Microsoft에 대해 불공평하다고 비판하며, 토큰은 Harvest의 것이었고 노출은 Harvest 코드의 취약점 때문이었다고 주장한다.
• 게시물에서 보여진 이유로 인해 암시적 부여가 비판을 받으며, 이는 다가오는 OAuth 2.1 사양에서 생략될 것이라는 메모와 함께 제시된다.
• 한 댓글러는 취약점을 수정하는 데 세 년 (2020년 8월 - 2023년 8월)이 걸렸다는 사실에 충격을 표현한다.
• 한 댓글러는 OAuth 전문가에게 이 문제를 더 자세히 설명해달라고 요청하며, 취약점을 이해하는 데 어려움을 겪고 있다.
• 한 댓글러는 왜 이 문제가 Microsoft에게 알려지지 않았는지 의문을 제기하며, 문제가 해결될 때까지 OAuth 애플리케이션에 대한 접근을 취소할 수 있었다고 제안한다.
• 한 댓글러는 왜 회사가 이 문제를 해결하는 데 세 년을 기다렸는지 의문을 제기하며, 이를 공개하기 전에 90일이면 충분하다고 주장한다.
• 한 댓글러는 Hackerone이 이런 문제를 세 년 동안 무시하는 회사를 허용하는 것을 비판한다.