15.14. オープンリダイレクター
オープンリダイレクターは、検証を行わずにユーザーエージェントをパラメーター値で指定された場所に自動的にリダイレクトするパラメーターを使用するエンドポイントです。攻撃者は、エンドユーザーの認可エンドポイントとリダイレクト URI パラメーターを使用し、認可サーバーのユーザーの信頼を使用してフィッシング攻撃を起動して、認可サーバーをオープンディレクトリーとして使用できます。
Red Hat build of Keycloak では、登録されたすべてのアプリケーションとクライアントで少なくとも 1 つのリダイレクト URI パターンを登録する必要があります。クライアントが Red Hat build of Keycloak にリダイレクトを実行するようリクエストすると、Red Hat build of Keycloak はリダイレクト URI を有効な登録済み URI パターンのリストと照合してチェックします。クライアントとアプリケーションは、オープンリダイレクタ攻撃を軽減するために、可能な限り特定の URI パターンを登録する必要があります。
アプリケーションで http (s) 以外のカスタムスキームが必要な場合は、それを検証パターンの明示的な部分にする必要があります (例 : Custom:/app/*
)。セキュリティー上の理由から、*
のような一般的なパターンは http (s) 以外のスキームをカバーしません。
管理者は、クライアントポリシー を使用して、クライアントが *
などのオープンリダイレクト URL を登録するのを禁止できます。