1. yuku_t

    注意点をついきした

    yuku_t
Changes in body
Source | HTML | Preview
@@ -32,12 +32,13 @@
3. プロキシアプリに認証情報が渡され、プロキシアプリは Review Apps にその認証情報を渡す。
4. Review Apps は受け取った情報を格納する。
以下の点に注意が必要。
-- 2 の時点でプロキシアプリは認証を要求している Review Apps が誰なのか記憶する必要があるが、リダイレクト先を直接外から指定できるようにするとオープンリダイレクタ脆弱性になるので注意が必要
-- 3 はクエリパラメータで情報をやり取りするので、パラメータを暗号化するか HTTPS を使わないといけない
+- 2 の時点でプロキシアプリは認証を要求している Review Apps が誰なのか記憶する必要があるが、リダイレクト先を直接外から指定できるようにするとオープンリダイレクタ脆弱性になる
+- Heroku はたとえ example というアプリが存在していても example-pr-10 みたいなアプリを登録することができる。そのような第三者のアプリに 4 で情報を渡さないように、 2 の時点で Review App か確認しなければならない
+- 3 はクエリパラメータで情報をやり取りするので、パラメータを暗号化するか HTTPS を使
- 4 の時 Review Apps は渡された認証情報が第三者によって偽装されていないことを確認しなければならない。
### 実装例
簡単な実装イメージ。これがそのまま動くわけではない。ここでは簡単のため omniauth gem を使って Qiita の OAuth だけを行う前提で書く。