▲GN⁺ 2025-01-15 | parent | ★ favorite | on: Google OAuth 로그인은 실패한 스타트업 도메인을 사버리는 경우 보호 불가능(trufflesecurity.com)Hacker News 의견 DankStartup가 사업을 접고 도메인을 다른 사람이 인수하여 기존 계정에 접근할 수 있는 상황은 DankStartup, Microsoft, OpenAI의 책임 문제로 보임 OAuth의 취약점으로 설명하는 것은 적절하지 않음 Google의 OpenID 구현에서 sub 클레임을 사용하여 인증하는 것이 올바른 방법임 sub 클레임이 변경될 경우를 대비한 흐름이 필요함 제안된 '변경되지 않는 고유 사용자 ID'는 sub 클레임과 다르지 않음 DNS에 의존하는 방식의 근본적인 문제로, 도메인 만료 후 새로운 소유자가 이전 소유자의 권한을 가질 수 있음 이메일 주소나 DNS에 의존하는 인증 시스템에서 발생할 수 있는 문제임 Google OAuth에 취약점이 없으며, 도메인을 인수하면 해당 도메인의 모든 이메일 주소를 소유하게 됨 Google OAuth를 사용하지 않더라도 동일한 결과가 발생할 수 있음 과거 thehunt.com 사례에서 도메인 인수 후 모든 서비스에 접근 가능했던 경험 공유 도메인 상태를 모니터링하여 보안 위협을 방지하는 스타트업 아이디어 제안 sub 필드를 사용하지 않는 서비스의 문제로, 사용자 식별에 sub 필드를 사용해야 함 sub 필드를 사용하지 않는 서비스에 취약점 보고서를 제출하여 수익을 창출할 수 있음 Google의 OpenID Connect에서 두 개의 불변 식별자를 구현하는 제안 sub 클레임과 도메인에 연결된 고유 워크스페이스 ID Google OAuth에서 sub 클레임이 변경되는 경우는 드물며, 서비스 구현의 문제일 가능성이 있음 도메인 인수 후 이메일 접근 사례 공유 Google과의 내부 연결을 통해 문제 해결 "수백만 개의 계정"이라는 주장은 실패한 스타트업이 SAAS 계정을 비활성화하지 않는다는 가정에 기반함
Hacker News 의견
DankStartup가 사업을 접고 도메인을 다른 사람이 인수하여 기존 계정에 접근할 수 있는 상황은 DankStartup, Microsoft, OpenAI의 책임 문제로 보임
Google의 OpenID 구현에서
sub클레임을 사용하여 인증하는 것이 올바른 방법임sub클레임이 변경될 경우를 대비한 흐름이 필요함sub클레임과 다르지 않음DNS에 의존하는 방식의 근본적인 문제로, 도메인 만료 후 새로운 소유자가 이전 소유자의 권한을 가질 수 있음
Google OAuth에 취약점이 없으며, 도메인을 인수하면 해당 도메인의 모든 이메일 주소를 소유하게 됨
과거 thehunt.com 사례에서 도메인 인수 후 모든 서비스에 접근 가능했던 경험 공유
sub필드를 사용하지 않는 서비스의 문제로, 사용자 식별에sub필드를 사용해야 함sub필드를 사용하지 않는 서비스에 취약점 보고서를 제출하여 수익을 창출할 수 있음Google의 OpenID Connect에서 두 개의 불변 식별자를 구현하는 제안
sub클레임과 도메인에 연결된 고유 워크스페이스 IDGoogle OAuth에서
sub클레임이 변경되는 경우는 드물며, 서비스 구현의 문제일 가능성이 있음도메인 인수 후 이메일 접근 사례 공유
"수백만 개의 계정"이라는 주장은 실패한 스타트업이 SAAS 계정을 비활성화하지 않는다는 가정에 기반함