【IT】Microsoft、IDサービスや「OpenID」規格の脆弱性情報募る 最高賞金1100万円
■ このスレッドは過去ログ倉庫に格納されています
米Microsoftは2018年7月17日(米国時間)、同社のIDサービスやID連携のための標準規格「OpenID」の脆弱(ぜいじゃく)性を発見した研究者に対し、最高で10万ドル(約1100万円)の賞金を支払うバウンティプログラム「Microsoft Identity Bounty Program」の創設を発表した。
同プログラムの対象となるのは、Microsoftの「login.windows.net」「account.live.com」などのコンシューマーと法人向けログインページやアカウント管理ページ、およびiOSとAndroid向けの「Microsoft Authenticator」など。
標準規格では、OpenID Foundationの「OpenID Connect Core」や「OAuth 2.0 Multiple Response Types」などを対象とする。
賞金は500ドル〜10万ドル。認証バイパスやクロスサイトスクリプティング、データ流出などの脆弱性について、報告された内容の質や脆弱性の深刻度に応じて賞金を決定する。
特に、多要素認証バイパスの脆弱性と、標準設計の脆弱性については、質の高い報告に対して最高額の10万ドルの賞金を設定している。
Microsoftのバウンティプログラムは、Intelなどのプロセッサに発覚したような「投機的実行」関連の脆弱性や、「Microsoft Edge」などのMicrosoft製品を対象として、随時実施されている。
2018年07月19日 11時00分
http://www.itmedia.co.jp/news/articles/1807/19/news064.html 【3.11津波は自民由来!? 安倍逮捕秒読みか!?】 ロシア国防省『日本は地震を偽装した核実験を止めよ』
http://rosie.5ch.net/test/read.cgi/liveplus/1531966541/l50
2018年の最大ニュース来たー!? システムの完全性を自分たちで保証できないなら無理にやらなくていいから
マイクロソフト依存はジャンキーの始まり きじゃくせいってのは偶然からの発見もあるだろうからな 日本だと認証と認可の違いが分かっていない馬鹿が
OAuthを扱ってて寒気がするケースが多い >>4
全てのシステムは自己の挙動を証明できない。
情報科学で一年とかで習う話だ。 マイクソフトから安く購入する為、脆弱性発見協力企業になった会社に東洋のアホジャンキーが生息していただけじゃ無いの? 賞金ゲットできれば所得税を納めることができるでごわす >>1
札幌学院大学で導入している Windows Live@edu サービスのアカウント情報が全消去されるトラブル
ttps://it.srad.jp/story/12/04/11/0115218/
> 札幌学院大学は Windows Live@edu サービスを使って学生や教職員向けにメールサービスを
> 提供しているのだが、メール環境として Windows Live@edu Hotmail から Microsoft Live@edu with
> Outlook Live への移行を行う際、なんらかのミスで同大学の Windows Live@edu アカウント自体が
> 削除され、全アカウントでメールが利用できない状況になっているという (同大学の告知 PDF) 。
脆弱性はMSKKにあり。 こういうのは既に知ってる人から情報を引き出すためのものだよなぁ そんなの要らんから未だにSAML使ってる老害を排除することに注力しろ
奴らは脳の進化が10年前で止まった害悪 ■ このスレッドは過去ログ倉庫に格納されています