単なる OAuth 2.0 を認証に使うと、車が通れるほどのどでかいセキュリティー・ホールができる
In some of the feedback I have gotten on the openID Connect spec, the statement is made that Connect is too complicated. That OAuth 2.0 is all you need to do authentication. Many point to Identity Pro… 英語読みたくないという人のために簡単に解説すると… OAuth 2.0 の implicit flow を使って「認証」をしようとすると、とっても大きな穴が開きます。 カット&ペーストアタックが可能だからです。 OAuth 認証?は、図1のような流れになります。 図1 OAuth 認証?の流れ 一見、問題なさそうに見えます。しかし、それはすべてのサイトが「良いサイト」ならばです。 Site_A
日本のTV報道がいかに腐っているか
日本のマスコミがいかに腐っているかと言うことを専門家が論じている朝日ニューススターの番組。もともと腐っているとは思ったが、なるほど、そういう構造的問題が原因になっていたのかと、納得させられるものが多い。ぜひ皆さんもご覧になっていただきたい。 その1 ▼扇情的・視聴率獲得的映像の連呼 犯罪や事故報道を事細かに放送するのは意味が無いし異常 調査報道の履き違え。事細かに調べることが調査報道ではない。 ジャーナリスティックに重要なディテールではなく、感情的フックに なりそうなディテールをやたら持ち上げてくる。これは、視聴率を とるのには安直で簡単だが、煽動であり、マスコミとしての責務からは 遠い。 ばらばら殺人を25分も報道する価値なし。 数字は取れるけど。 ▼安全な映像・絵になる映像によりかかりすぎ 戦争などの残虐性を表さない「消毒された映像」ばかり。 そのために、戦争に対して嫌悪感を抱かなくな
Facebook の「いいね」ボタンがあるサイトに行くと、トラッキングされているかに見える件
このブログにも設置しているので大声では言えませんが、実は Facebook の「いいね」ボタンは気持ち悪いなぁと思っています。 いいねボタンがあるサイトに、Facebook にログインしたまま行くと、Facebook に次のような Cookie が送られます[1]。 csm=2; xs=3:2bPC2V….; datar=eVE7TanyekLi2UeCWqCdYaUo; fr=0PBQNPwSEhxk3vCRg.RVUkbgel9qAjCByqVqRQ0lSpntc; lu=The17FfNt9Yc_hqg8eoWG04B; s=Ba98fsjdlw-QWvPeofj.BP_Wqm; c_user=1048138174; act=134500423456/1:0; sub=1; p=16; presence=EM4fsodmnfkds…; wd=1195×859; この c_user と
OpenIDの歴史 (1)
ちまたには、OpenIDは2005年に Brad Fitzpatrick が作ったとされています。しかし、ちょっと調べると、それ以前に openid.net があったことがわかります。 OpenID.net が最初に登録されたのは2001年6月27日水曜日です。David Lehn氏によって登録されました。そして、アーカイブに残っている最初のサイトは、以下のような非常に簡単なページでした。 ご覧のように、このサイトからは3箇所にリンクされていました。 一つ目が、SourceFourge のOpenIDプロジェクトサイトです。David Lehn氏のプロジェクトです。これは、以下のようになっていました。 ここで、はっきりと OpenID が何者であるかが述べられています。 OpenID is a project to research and develop a system to shar
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
