By Steven Crawford - Attack of the rotten oranges(2011) / CC BY-NC-SA 2.0]

• ritou に。
  • OAuthのセキュリティ強化を目的とする拡張仕様を導入しました - mixi engineer blog

• 2年前の寒いエイプリルフールの記事で書いたアイデアを提案しました
  • オーオース２・０におけるＣＳＲＦ対策で認可サーバーができること - 知らないけどきっとそう。

• 当時思っていたことは
  • state を正しく使ってる OAuth Client が少ないな
  • ログイン CSRF で騙されるケース少なそうだしそんなもんかな
  • でも既存のアカウントを Facebook とかでログインできるようになる機能だとリスク大きそう
  • OAuth 1.0a なら CSRF が入り込む余地なかったのに
  • OAuth 2.0 は 1.0a から署名とるだけでよかったわー

• そして Request Token 復活的な発想に至ったのでした

• 今気づいたけど「カスタム URL スキーム上書き Authorization Code 横取り問題」の解決にもなってる？