正式なドキュメントは英語版であり、この日本語訳はAI支援翻訳により作成された参考用のものです。日本語訳の一部の内容は人間によるレビューがまだ行われていないため、翻訳のタイミングにより英語版との間に差異が生じることがあります。最新かつ正確な情報については、英語版をご参照ください。

機密性の高いシークレットまたはトークンであるTwitch OAuthクライアントシークレットの公開

説明

Twitch OAuthクライアントシークレットのパターンに一致するコンテンツが応答bodyに含まれていることが確認されました。OAuthクライアントシークレットは、サービスがTwitchユーザーに代わって機能を実行できるようにするために使用されます。このクライアントシークレットにアクセスできる悪意のある攻撃者は、サービスを偽装し、そのユーザーに代わって機能を実行できます。この値を公開すると、攻撃者がこのトークンによって許可されたすべてのリソースにアクセスできるようになる可能性があります。

修正

セキュリティインシデントにおける、漏洩したキーの取り扱いに関する一般的なガイダンスについては、GitLabドキュメントの認証情報のインターネットへの公開を参照してください。

OAuthクライアントシークレットをローテーションするには:

  • Twitchアカウントにサインインして、https://dev.twitch.tv/consoleにアクセスします
  • 識別されたキーを使用する拡張機能を見つけます
  • 「Extensions」セクションで、拡張機能名の横にある「Manage」を選択します
  • 右上隅で、「Extension設定」を選択します
  • 「Twitch API Client設定」セクションで、「Twitch API Client Secret」の「Generate Secret」を選択します
  • プロンプトが表示されたら、ダイアログから「OK」を選択します

詳細については、TwitchのOAuthに関するデベロッパードキュメントを参照してください。

詳細

ID集約CWEリスク
798.118いいえ798パッシブ