【IT】Microsoft、IDサービスや「OpenID」規格の脆弱性情報募る　最高賞金1100万円

1 ：ムヒタ ★：2018/07/19(木) 11:49:55.48 ID:CAP_USER.net

　米Microsoftは2018年7月17日（米国時間）、同社のIDサービスやID連携のための標準規格「OpenID」の脆弱（ぜいじゃく）性を発見した研究者に対し、最高で10万ドル（約1100万円）の賞金を支払うバウンティプログラム「Microsoft Identity Bounty Program」の創設を発表した。

　同プログラムの対象となるのは、Microsoftの「login.windows.net」「account.live.com」などのコンシューマーと法人向けログインページやアカウント管理ページ、およびiOSとAndroid向けの「Microsoft Authenticator」など。

　標準規格では、OpenID Foundationの「OpenID Connect Core」や「OAuth 2.0 Multiple Response Types」などを対象とする。

　賞金は500ドル〜10万ドル。認証バイパスやクロスサイトスクリプティング、データ流出などの脆弱性について、報告された内容の質や脆弱性の深刻度に応じて賞金を決定する。

　特に、多要素認証バイパスの脆弱性と、標準設計の脆弱性については、質の高い報告に対して最高額の10万ドルの賞金を設定している。

　Microsoftのバウンティプログラムは、Intelなどのプロセッサに発覚したような「投機的実行」関連の脆弱性や、「Microsoft Edge」などのMicrosoft製品を対象として、随時実施されている。
2018年07月19日 11時00分
http://www.itmedia.co.jp/news/articles/1807/19/news064.html

2 ：名刺は切らしておりまして：2018/07/19(木) 11:51:00.27 ID:gXtk0FQS.net

桂脆雀が2ゲット

3 ：名刺は切らしておりまして：2018/07/19(木) 11:52:19.08 ID:Xs+s/tnq.net

【3.11津波は自民由来!?　安倍逮捕秒読みか!?】　ロシア国防省『日本は地震を偽装した核実験を止めよ』
http://rosie.5ch.net/test/read.cgi/liveplus/1531966541/l50


２０１８年の最大ニュース来たー！？

4 ：名刺は切らしておりまして：2018/07/19(木) 12:04:21.15 ID:fmkglpMz.net

システムの完全性を自分たちで保証できないなら無理にやらなくていいから
マイクロソフト依存はジャンキーの始まり

5 ：名刺は切らしておりまして：2018/07/19(木) 12:06:45.80 ID:aB/xuYzJ.net

>>4
ネットに繋がないほうがいい

6 ：名刺は切らしておりまして：2018/07/19(木) 12:15:21.49 ID:gDB+x9ND.net

脆弱性を見つけるためのウイルスが蔓延。

7 ：名刺は切らしておりまして：2018/07/19(木) 12:15:40.09 ID:81tgYrJ0.net

きじゃくせいってのは偶然からの発見もあるだろうからな

8 ：名刺は切らしておりまして：2018/07/19(木) 12:16:22.40 ID:BLRKhOyO.net

脆弱性評価のオープンコンテストか

9 ：名刺は切らしておりまして：2018/07/19(木) 12:32:50.43 ID:UWPom5M2.net

外部に任せたほうが　遥かに安くつく

10 ：名刺は切らしておりまして：2018/07/19(木) 12:38:29.79 ID:7A1tkxsY.net

日本だと認証と認可の違いが分かっていない馬鹿が
OAuthを扱ってて寒気がするケースが多い

11 ：名刺は切らしておりまして：2018/07/19(木) 13:19:06.03 ID:J086T+m6.net

OpenIDなんて使ってるとこまだあるの?

12 ：名刺は切らしておりまして：2018/07/19(木) 14:03:06.35 ID:aBX3kHhS.net

>>4
全てのシステムは自己の挙動を証明できない。

情報科学で一年とかで習う話だ。

13 ：名刺は切らしておりまして：2018/07/19(木) 15:16:40.53 ID:eM5f7OHL.net

マイクソフトから安く購入する為、脆弱性発見協力企業になった会社に東洋のアホジャンキーが生息していただけじゃ無いの？

14 ：名刺は切らしておりまして：2018/07/19(木) 15:43:36.61 ID:NOX5/zSZ.net

賞金ゲットできれば所得税を納めることができるでごわす

15 ：名刺は切らしておりまして：2018/07/19(木) 20:22:12.10 ID:0eG+NP5O.net

>>1
札幌学院大学で導入している Windows Live@edu サービスのアカウント情報が全消去されるトラブル
ttps://it.srad.jp/story/12/04/11/0115218/

> 札幌学院大学は Windows Live@edu サービスを使って学生や教職員向けにメールサービスを
> 提供しているのだが、メール環境として Windows Live@edu Hotmail から Microsoft Live@edu with
> Outlook Live への移行を行う際、なんらかのミスで同大学の Windows Live@edu アカウント自体が
> 削除され、全アカウントでメールが利用できない状況になっているという (同大学の告知 PDF) 。

脆弱性はMSKKにあり。

16 ：名刺は切らしておりまして：2018/07/19(木) 20:26:11.16 ID:iBTvbZdJ.net

こういうのは既に知ってる人から情報を引き出すためのものだよなぁ

17 ：名刺は切らしておりまして：2018/07/19(木) 21:31:55.20 ID:pJXGWTJD.net

そんなの要らんから未だにSAML使ってる老害を排除することに注力しろ
奴らは脳の進化が10年前で止まった害悪

18 ：名刺は切らしておりまして：2018/07/20(金) 01:30:53.60 ID:uWqVxVxP2

これ日本で検証したら犯罪になるんじゃね？