単なる OAuth 2.0 を認証に使うと、車が通れるほどのどでかいセキュリティー・ホールができる
In some of the feedback I have gotten on the openID Connect spec, the statement is made that Connect is too complicated. That OAuth 2.0 is all you need to do authentication. Many point to Identity Pro… 英語読みたくないという人のために簡単に解説すると… OAuth 2.0 の implicit flow を使って「認証」をしようとすると、とっても大きな穴が開きます。 カット&ペーストアタックが可能だからです。 OAuth 認証?は、図1のような流れになります。 図1 OAuth 認証?の流れ 一見、問題なさそうに見えます。しかし、それはすべてのサイトが「良いサイト」ならばです。 Site_A
OpenID & OAuth 仕様書を日本語に翻訳しました - 京の路
昨年末にOpenIDファウンデーション・ジャパン参加企業の有志数名で翻訳・教育 Working Groupというのを立ち上げて、現在は主にドキュメントの翻訳を行っています。 現在4本のドキュメントの日本語版を翻訳・教育 Working Group のサイトで公開しています。(この記事の末尾にリンクあり) 翻訳後のドキュメント以外に、githubレポジトリも公開しています。forkもpull requestも大歓迎!原文との比較がしやすいように、各翻訳版のXMLファイルにはコメントアウトの形で原文も残されています。 翻訳版ドキュメントへのコメント・質問は翻訳・教育 Working Group のサイトのコメント欄にどうぞ。 OpenID Authentication 2.0 OpenID Attribute Exchange 1.0 OpenID Simple Registration Ex
オンライン匿名性の終焉--単一IDが与える影響を考える
今、われわれはインターネットの新しい時代を迎えようとしているようだ。匿名で顔のないIPアドレスの代わりに、ソーシャルコンピューティングや変化し続けるテクノロジによって、「現実」世界と「仮想」世界の境界が不鮮明になってきている。Web 2.0は、あるサイトでは写真を投稿し、別のサイトではStumbleUponでブックマークを登録し、さらにTwitterやDiggに参加するなど、自分の生活の断片をネット上で共有することで、自分のアイデンティティが部分的に少しずつ公開されて行く世界を造り出した。しかし、ソーシャルメディアの登場は、新しいウェブを急速に形作る変化の1つにすぎない。 近い将来のウェブでは、もはや匿名性は存在しない。匿名性はすでに存在しないという主張も成り立つかもしれないが、それは完全に正しいわけではない。今でも、例えばTwitterなどのソーシャルネットワークサイトで、他人の名前やブ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
