単なる OAuth 2.0 を認証に使うと、車が通れるほどのどでかいセキュリティー・ホールができる
In some of the feedback I have gotten on the openID Connect spec, the statement is made that Connect is too complicated. That OAuth 2.0 is all you need to do authentication. Many point to Identity Pro… 英語読みたくないという人のために簡単に解説すると… OAuth 2.0 の implicit flow を使って「認証」をしようとすると、とっても大きな穴が開きます。 カット&ペーストアタックが可能だからです。 OAuth 認証?は、図1のような流れになります。 図1 OAuth 認証?の流れ 一見、問題なさそうに見えます。しかし、それはすべてのサイトが「良いサイト」ならばです。 Site_A
OpenID & OAuth 仕様書を日本語に翻訳しました - 京の路
昨年末にOpenIDファウンデーション・ジャパン参加企業の有志数名で翻訳・教育 Working Groupというのを立ち上げて、現在は主にドキュメントの翻訳を行っています。 現在4本のドキュメントの日本語版を翻訳・教育 Working Group のサイトで公開しています。(この記事の末尾にリンクあり) 翻訳後のドキュメント以外に、githubレポジトリも公開しています。forkもpull requestも大歓迎!原文との比較がしやすいように、各翻訳版のXMLファイルにはコメントアウトの形で原文も残されています。 翻訳版ドキュメントへのコメント・質問は翻訳・教育 Working Group のサイトのコメント欄にどうぞ。 OpenID Authentication 2.0 OpenID Attribute Exchange 1.0 OpenID Simple Registration Ex
OpenIDでクレジット決済まで可能に、GMOペイメントゲートウェイが年内開始
GMOペイメントゲートウェイ(GMO-PG)は10月7日、IDやパスワードに加えて、クレジットカード情報も共通利用できるOpenIDを活用した決済サービスを年内に開始すると発表した。このサービスにより、異なるECサイトであっても、ログインから商品の決済までの一連の手続きをひとつのIDだけで完了できるという。 利用者がOpenID取得時にクレジットカード情報などを入力した場合、GMO-PGのOpenID決済サービスに対応しているECサイトであればどこでも、購入時にこれらの情報を入力せずに買い物ができる。EC事業者にとっては、利用者のクレジットカード情報などの入力の煩わしさによる機会損失を減らせるほか、クレジットカード情報を保持せずに済むため、外部からの不正アクセスに対する防御や内部の漏えい対策に関する負荷を減らせる利点があるとのことだ。 またGMO-PGの連結子会社であるイプシロンは、GMO
オンライン匿名性の終焉--単一IDが与える影響を考える
今、われわれはインターネットの新しい時代を迎えようとしているようだ。匿名で顔のないIPアドレスの代わりに、ソーシャルコンピューティングや変化し続けるテクノロジによって、「現実」世界と「仮想」世界の境界が不鮮明になってきている。Web 2.0は、あるサイトでは写真を投稿し、別のサイトではStumbleUponでブックマークを登録し、さらにTwitterやDiggに参加するなど、自分の生活の断片をネット上で共有することで、自分のアイデンティティが部分的に少しずつ公開されて行く世界を造り出した。しかし、ソーシャルメディアの登場は、新しいウェブを急速に形作る変化の1つにすぎない。 近い将来のウェブでは、もはや匿名性は存在しない。匿名性はすでに存在しないという主張も成り立つかもしれないが、それは完全に正しいわけではない。今でも、例えばTwitterなどのソーシャルネットワークサイトで、他人の名前やブ
mixi openidに対応したファイルあぷろだの作り方 - labolo
mixi openidプラットフォームを利用すると、通常のユーザ認証作業を代行してくれるだけでなくて、マイミクのみ認証をしたり、指定のコミュニティーに入っている人だけ認証を実施したりできる。 mixi OpenIDとは そこで今回は、指定のコミュニティーに所属している人だけがファイルのアップロード・ダウンロードが可能なwebサービスを作ってみる。本気でサービス化する気は無いので、ひどい完成度です。 まずこのリンクをクリックしてみてください、いきなりmixiに飛ばされると思います。 ニコニコ動画コミュに参加している人だけが使えるあぷろだ mixiでは、mixiアカウントを持っていて且つニコニコ動画のコミュニティーに参加している人だけが認証が通るようになっています。 ここで「認証を許可する」を選択すると元のページに戻ってきて認証が完了し、ファイルのダウンロードとかアップロードができたりするよう
nobilog2: mixiのOpenID対応:小さいニュース、大きな一歩
【最初、ボケていて、わざわざ難しいログイン方法を紹介してしまったので訂正】 昨日、mixiで発表会があった。 既に多くのIT系ニュース媒体が報じているが「なんだかよくわからない」という人も多いだろう。 それでいい。 mixiのSNSとしての魅力は「パソコン、よくわからない」という人でも「安心して使える、わかりやすさ」にこそある。 昨日の発表は大半のmixiユーザーにとって当面の間は「どうでもいい」もの。 インターネットでビジネスをしている人たち、開発者の人たちにとってのニュースであって、 一般のmixiユーザーにとっては、まだそれほどのニュースではない。 ただ、一般のユーザーにとって、まったく恩恵がないニュースかというとそうではない。 これからはmixiの会員は余計なパスワードを覚える回数が減るはずだ。 説明しよう。 インターネットにはおもしろいサービスがたくさんある。 ただ何が面倒かとい
速報、1500万人が使える mixi OpenID の技術面を解説するでござるの巻 - Yet Another Hackadelic
と言う訳でついに来ましたね。 http://mixi.jp/openid.pl mixi OpenID << mixi Developer Center (ミクシィ デベロッパーセンター) 中の人、お疲れ様でした。 実はさっきまで mixi に行って技術的な意見交換などしてきました。mixi OpenID の技術的な側面なんかを簡単に紹介したいと思います。 ミクシィ認証 これは普通の OpenID Provider の挙動と同じです。僕のアカウントは http://mixi.jp/show_profile.pl?id=29704 なので僕の OP Local Identifier は、 https://id.mixi.jp/29704ここでお気づきの方も居るかと思いますが、OP Local Identifier 自体も https で提供されています。さて最初の html の内容を確認して
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
shiori.cc