OpenIDを実装したソースコードを読もう (1/3)- @IT
第5回 OpenIDを実装したソースコードを読もう 倉貫 義人 松村 章弘 TIS株式会社 SonicGarden 2009/6/3 優れたプログラマはコードを書くのと同じくらい、コードを読みこなせなくてはならない。優れたコードを読むことで、自身のスキルも上達するのだ(編集部) 前回までは、Ruby on Railsの基本部分についてコードリーディングを行ってきました。 今回からは、より魅力的なWebアプリケーションを実現するために必要なさまざまな技術をRailsで活用したソースコードを読むという、さらに実践的な内容に入っていきます。 今回取り上げる技術要素はOpenIDです。GoogleやYahoo!、mixiなどの大手サービスがOpenIDに対応したことで話題になったので、聞いたことがある方は多いのではないでしょうか。 OpenIDとは、とある1つのIDを持っていれば、複数のWebアプ
OpenIDでの反省から二院制採用、カンターラが目指すもの - @IT
2009/06/26 2009年6月17日に発足した団体「カンターラ・イニシアティブ」(Kantara Initiative)は、従来の“業界団体”とは趣の異なる組織体だ(参考記事)。OpenID、SAML、CardSpace(Information Card)など、アイデンティティ管理技術に関係する団体ではあるが、「新しい仕様、規格を策定する団体ではない」(カンターラ・イニシアティブ ジャパン・ワークグループ議長でNTT情報流通プラットフォーム研究所の高橋健司氏)と明言する。カンターラとはどんな組織なのか、その目的は何なのか。6月23日に東京都内で発足会見を行った同イニシアティブの崎村夏彦氏に話を聞いた。 二院制採用は日本人のアイデア 野村総合研究所上級研究員でカンターラ・イニシアティブ 理事会員の崎村夏彦氏。OpenIDファウンデーション・ジャパンの発起人の1人としてOpenIDの仕様
@IT:Webアプリケーション: 第3回 気を付けたい貧弱なセッション管理
※ご注意 他社および他組織のWebサイトなどへのポートスキャンおよびデータの取得などの行為で得た情報を侵入などに悪用するか、または同じ目的を持つ第三者に提供した時点で違法となります。ご注意ください。 本稿の内容を検証する場合は、必ず影響を及ぼさない限られた環境下で行って下さい。 また、本稿を利用した行為による問題に関しましては、筆者および株式会社アットマーク・アイティは一切責任を負いかねます。ご了承ください。 「第2回 顧客データがすべて盗まれる」は、クロスサイトスクリプティング(XSS)と同様に実際のプログラミングを行うプログラマの責任であるという対策で、最も危険と思われるSQL InjectionとOS Command Injectionについて紹介した。今回は、プログラミング以前の設計段階で潜り込むセキュリティホール――見落としがちなセッション管理の脆弱性について説明していく。 We
「通りすがり」コメントの終焉 - @IT
ブログのコメントシステムに地殻変動が始まっているかもしれない。いま英語圏では任意のブログやWebサービスを対象に、サイト横断的に発言を管理する“コメントトラッキング”と呼ばれるプラットフォームサービスが数多く登場して注目を集めている。互いに顔の見える“ソーシャル”なコミュニケーションが、SNSという閉じた世界に限らず、パブリックなネット全体に広がっていくかもしれない。 「通りすがり」という匿名コメント ブロガーにとっても、その来訪者にとっても、ブログコメントにはいくつか使いづらい点があった。 コメントを残す人にとって最大の問題は、たまたま見かけたエントリに対してコメントを残すインセンティブが小さいことだ。コメントを残したからといってブックマークに登録し、後日再び訪れるということは、まずしない。自分がどこにコメントしたのか、あるいはコメントしたことすら忘れてしまうことが多いだろう。このため「
@IT:連載 ビジネスWebサービス最新事情(3) OASIS WS-SecurityとXKMSの構造を知る
Webサービスをビジネスで利用するために、高度なセキュリティやトランザクション処理、複数のWebサービスの連携などを実現するさまざまな仕様が策定されようとしている。本連載では、これらの仕様を理解するための解説を行っていく。(編集局) 日本アイオナテクノロジーズ(株) 服部 和彦 2003/10/2 ■OASIS WS-SecurityはSOAPのセキュリティを規定する Webサービスでメッセージレベルのセキュリティを実現するには、前回(連載2回「Webサービスのセキュリティ技術を詳解する」)で説明したXML署名および暗号化が施された文書を、SOAPメッセージ内にどのように格納するかを決める必要があります。このための標準がOASIS WS-Securityです。この仕様はまだ策定中(最新版は委員会標準候補)ですが、サポートを表明しているベンダやテスト実装を行っているベンダも多く、この分野での
リアルビジネスと融合するOpenID - @IT
2009/01/28 ブログやソーシャル系サービスなど、Web2.0的サービスのシングル・サイン・オン技術(SSO)として登場したOpenIDだが、米国をはじめとするグローバルな市場での受容と、日本での受容には大きな違いがあるようだ。1つは、OpenIDの認知度や利用率が日本では突出して高いこと。もう1つは、Webサービス系の連携のフレームワークとしてよりも、インターネットサービスではない“非Web系”の連携ツールとして、OpenIDがリアルビジネスと結びつく形での普及の兆しが見えてきたことだ。 野村総合研究所(NRI)は1月28日にセミナーを開き、日本のID関連ビジネスの動向やOpenIDを使った事例紹介、同社の戦略について説明した。 ネットのデファクト、5億個のOpenID 「利用者への普及という点では、日本は世界的にも突出している」。こう語るのは、自らもOpenIDの仕様策定に加わる
グーグルもOpenIDプロバイダに − @IT
2008/10/30 米グーグルは10月29日、グーグルのユーザーアカウントをOpenIDとして利用できるAPIの限定公開を開始した。これまでグーグルはアカウント連携として独自の認証APIを用意していたが、各社Webサービスでの採用で広がりをみせる業界標準のOpenIDにも対応した格好だ。試験サービスの利用にはユーザー登録が必要。 「OpenID 2.0 Directed Identity」プロトコルによる認証と、「OpenID Attribute Exchange 1.0」プロトコルによるメールアドレス情報の交換のサービスを提供する。利用サイトは、これらのプロトコルに準拠したログインボックスを用意することで、グーグル上のユーザーアカウントでログイン認証をすることができる。 OpenIDと合わせて、Google Data APIやOpenSocialのREST API、Portable C
OpenIDに欠けている「評判情報」 ― @IT
2007年12月にOpenID 2.0の最終仕様がリリースされたばかりだというのに、気の早い人がいるもので、すでにOpenIDコミュニティでは「OpenID 3.0」という言い方をする人が出てきている。OpenIDの受容が急速に進んでいる理由の1つは、用途を限定してシンプルにしたことにあるのだろうが、デジタル・アイデンティティが解決すべき課題は幅広い。例えば業界団体のリバティ・アライアンスがこれまでに策定した仕様や取り組んでいる仕様案を見れば、OpenIDが解決しつつある問題が、巨大なパズルの一部分に過ぎないことがよく分かる。リバティでは例えば“Advanced Client”とか“Smart Client”という呼び名で、ネットに接続できないモバイル端末でユーザー認証を行うメカニズム「Liberty Alliance ID-WSF Advanced Client 1.0 Specific
S/MIMEでセキュアな電子メール環境をつくる!
メールでのセキュリティの必要性、そして代表的な2つの通信方式S/MIMEとPGPの仕組みと違いについて、ご理解いただけたでしょうか? 本章では、S/MIMEの仕組みについてさらに踏み込んで解説していきます。 S/MIMEのメールメッセージ作成の手順は下記のようになります。 (1) メールメッセージをMIME化します。つまり、通常のメールのヘッダ部のうち、あて先や送信元のメールアドレスを除いたものをつけます (2) MIME化したメッセージを入力として署名データまたは暗号文データを作成します。このデータのフォーマットはRFC2315 "PKCS #7 : Cryptographic Message Syntax Version 1.5" で決まっています
マイクロソフトが本気モードで進めるクラウド戦略 ― @IT
特集 次世代コンピューティング概説 マイクロソフトが本気モードで進めるクラウド戦略 デジタルアドバンテージ 一色 政彦 2008/10/22 2008/11/08 更新 2008/11/17 更新 今年に入ってから、「クラウド・コンピューティング」(Cloud Computing)という言葉があちこちで見られるようになった。例えば、3月に発表された「Google App Engine」はクラウド・コンピューティングとして大きな注目を集めた。マイクロソフトが2008年10月の最終週に米国ロサンゼルスで開催した開発者向けカンファレンスの「PDC(Professional Developer Conference) 2008」においても、最も多いセッション・テーマは「クラウド・サービス」であった。グーグルが先鞭(せんべん)をつけたクラウド・コンピューティングだが、マイクロソフトも本気でこれに取り
ディレクトリサービスの仕組みと活用 第5回 LDAPアプリケーション入門
今回から2回にわたって、ディレクトリを社内でさらに活用していく観点から、LDAPプログラミングの概要と展開を説明していきます。また、プログラミングを理解する過程で、LDAPディレクトリの構造そのものへの理解も深められることでしょう。 LDAPプログラミングのススメ LDAPを使ったユーザー検索で最もニーズが高いのは、メールアドレスの検索や社員情報の検索でしょう。これはエンドユーザーに向けた社内サービスと言えます。しかし最も不満の残りやすいサービスとも言えます。例えばWindowsに標準で付いてくる「人の検索」やメーラーのアドレス帳といったアプリケーションでは、表示される項目が固定されているため必要とされる詳細な情報が表示されなかったり、日本語でうまく表示されない場合も多々あるからです。 これらの原因は既成のアプリケーションをそのまま社内で流用しようとしているところにあります。もともとこれら
Windows管理者必携、Sysinternalsでシステムを把握する - @IT
Windows管理者必携、Sysinternalsでシステムを把握する:Security&Trust ウォッチ(43) SysinternalsというWebサイトをご存じだろうか? 何となくそこにたくさんのツールがあるのは知っていても、Webサイトが英語版しかないので全部読む気がしない。また、いくつかのツールは使っているけど、ほかにどういったユーティリティが提供されているのか細かく見ていないという人がいるのではないだろうか。 筆者もその1人で、「Process Explorer」などの有名なツールは使っていたが、全ぼうは把握していなかった。 Windowsを使っているシステム管理者や技術者の方ならば、Sysinternalsという名前を知っている方は多いはずだ。SysinternalsはWindows標準のツールでは管理できないシステム情報などを扱うツールを数多く提供している。 このSys
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
