「Thunderbird 91.8.0」が公開、「Gmail」でOAuth 2.0への自動移行を実施【4月7日追記】/9件の脆弱性も修正
単なる OAuth 2.0 を認証に使うと、車が通れるほどのどでかいセキュリティー・ホールができる
In some of the feedback I have gotten on the openID Connect spec, the statement is made that Connect is too complicated. That OAuth 2.0 is all you need to do authentication. Many point to Identity Pro… 英語読みたくないという人のために簡単に解説すると… OAuth 2.0 の implicit flow を使って「認証」をしようとすると、とっても大きな穴が開きます。 カット&ペーストアタックが可能だからです。 OAuth 認証?は、図1のような流れになります。 図1 OAuth 認証?の流れ 一見、問題なさそうに見えます。しかし、それはすべてのサイトが「良いサイト」ならばです。 Site_A
OAuth for Native Apps | GREE Engineering
GREE Advent Calendar 9日目は @nov が担当します。 僕は GREE ではセキュリティ部に所属しており、社外では OAuth や OpenID Connect などの Identity 関連技術についての翻訳や講演などを行ったりもしています。 今日は GREE Advent Calendar ということで、Native App コンテキストでの OAuth の話を少し書いてみようと思います。 はじめに Native App を開発していると、Backend Server とのやりとりや Facebook Login や Google Sign-in などで、必ずと言っていいほど OAuth 2.0 というのが出てきます。 OAuth 1.0 と異なりリクエストに署名が不要だったり、Client Secret (a.k.a Consumer Secret) 無しでも
Personal Identity Portal (PIP) - Download the Seatbelt
What is the SeatBelt Extension? SeatBelt is a Firefox plug-in that assists you when signing in to OpenID sites with your PIP URL. Typically, if you are not signed into your PIP account when you access a sign in page using OpenID, you need to access your PIP account and sign in. Since you must do this within the same browser window, you have to navigate away from the page you wish to sign in to.
OAuth 2.0 の脆弱性 (!?) "Covert Redirect" とは - OAuth.jp
訂正 リダイレクト時の fragment の扱いを勘違いしていたため、本記事全体訂正します。 細かく訂正いれてると分けわかんなくなってきたんで、新しい記事書きました。 ゴールデンウィークまっただなかに Twitter で海外の ID 厨から袋だたきにあってたので、もうこの問題は片付いただろうとすっかり油断してた「Covert Redirect」の件ですが、日本でもゴールデンウィーク明けてバズりだしたので、一旦問題を整理した方がよさそうですね。 事の発端 Wang Jing さんていうシンガポールの大学院生が、こんなサイトを公開すると共に CNet はじめ各種メディアが取り上げたのが、バズりだした発端のようです。 前提知識 OAuth 2.0 や OpenID Connect だけでなく、OAuth 1.0 や OpenID 1.0/2.0 や SAML なんかでも、2つのサービスの間でリダ
YAPC::Tokyo 2013にてOpenID Connectについて話しました - r-weblife
こんばんは, ritouです. タイトルの通りです. 普段発表とかしてる idcon に来る方々と別の層にも知ってもらいたいという思いからトーク申し込んだのですが, 基本的に出不精なので, かなりアッウェーイ感が漂う感じでしたがなんとか行ってまいりました. スライドはこちらです. YAPC::Tokyo 2013 ritou OpenID Connect from Ryo Ito 内容はこんな感じです. OpenID Connectの紹介 「OpenID Connect」を理解する (1/2):デジタル・アイデンティティ技術最新動向(4) - @IT みたいな話 Self-Issued OPについて OpenID ConnectのSelf-Issued OPの話 - r-weblife についての話 OIDC::Liteについて PerlのOpenID Connect用ライブラリOIDC:
Googleがパスワードジェネレーターを開発中 - うさぎ文学日記
古くからあり、未だに絶えることのないパスワード攻撃ですが、それでもユーザーが強いパスワードを作って、それを使ってくれることは期待できません。 Googleは長期的にはOpenIDを広めたいようですが、それが叶うのはまだ先の話だということで、Chromeブラウザーの新機能として開発中なのが、パスワードジェネレーターです。passwordフォームに小さなUIを追加して、クリックするとパスワード候補を提案してくれるというものです。 強いパスワードが使われる一手になるといいですね。とは思いますが、提案されたパスワードが難しすぎたら、ユーザーは簡単なパスワードを付けそうだけど…。 Password Generation - The Chromium Projects
そろそろちゃんと理解したい!OpenID と OAuth ( ラボブログ )
スパイスラボ神部です。 OpenSocial をやってるとちょこちょこ顔を出す OpenID と Auth。これについてちゃんと理解するためのいろいろを調べてみたいと思います。 -シングル・サインオンが好きだ! - Favorites! OpenID まわりについて -OpenID や OAuth の役割と、既存のシングル・サインオンとの違い:Goodpic これは目から鱗。シングルサインオンとシステムの類似性があるわけだから、そこから理解するのがいいのかもね。 OpenID については要は「本人確認を取り除いた低コストな認証システム、ということなのかなあ。 その他の参考エントリ: -OpenIDの使いどころ - Yet Another Hackadelic -たけまる / OpenID に向いている認証と向いてない認証 -ID管理と OpenID について - まちゅダイアリー(2
APIアクセス権を委譲するプロトコル、OAuthを知る ― @IT
クロスドメインでのデジタルアイデンティティを守る APIアクセス権を委譲するプロトコル、 OAuthを知る 作島 立樹 NRIパシフィック 2008/1/21 マッシュアップと呼ばれる仕組みで、既存のWebサービスが次々とつながり、新たなサービスが登場している。しかし、メールアドレスなど重要な個人情報が意図せずに「つながれてしまう」可能性もある。そこで登場したのがアクセス権の「委譲」を目的としたプロトコル、OAuthである。本記事ではOAuthの仕組みとともに、なぜそれが登場したのかという背景にも触れる(編集部) マッシュアップの犠牲になるユーザーのアイデンティティ GETなどのHTTPメソッドをもちいてURLへリクエストする、いわゆる「RESTful」【注1】なWeb APIを使ったアプリケーション同士の交流は、いままさに隆盛を極めている。「マッシュアップ」と呼ばれているこのサービス形態
10分でわかるOpenIDの概念と用語集 - livedoor ディレクター Blog(ブログ)
こんにちは、livedoor AuthやOpenID、EDGEを担当している櫛井です。 皆さんはOpenIDというものをご存じですか?今回は10分でわかるOpenIDの周辺情報をまとめてみたいと思います。 OpenIDとは、1つのIDで色々なサイトにログインできる仕組みのことで、対応サイトに対し、ユーザーの認証IDとしてURLまたはXRIを使用することが出来る分散型の認証システムを指します。最近ではOpenIDを発行しているサイトや、OpenIDでのログインに対応しているサイトも増えてきています。認証の遷移イメージとしてはlivedoor Authの図が参考になるかと思います。 ■用語 ・OP OpenID Provider (オープンID プロバイダ)の略で、OpenIDとして利用できるIDを発行しているサイトやサービスを指します。OPが発行しているOpenIDの数は数千万とも数億ともい
Windows Live ID の OpenID を試してみたよ - Yet Another Hackadelic
先月末から Community Technology Preview と言う形で Windows Live ID が OpenID Provider サービスを提供しているので試しに使ってみました。 ちなみに 2.0 のみ対応と言う形式みたいです。 まずは取得 最初にテストアカウントを作らねばならないみたいです。https://login.live-int.com/ に飛んで Sign Up しないとダメっす。一通りサインアップが終わったら https://login.live-int.com/beta/ManageOpenID.srf で自分の OP Local Identifier の alias を定義します。とりあえず僕の場合は、http://openid.live-int.com/zigorou としました。 XRDS を見てみる OP Identifier である "openi
mod_auth_openid - Trac
Introduction : The Apache OpenID Module mod_auth_openid is an authentication module for the Apache 2 webserver. It handles the functions of an OpenID consumer as specified in the OpenID 2.0 specification. See the FAQ for more information. Download the current release from the the releases page. Example Most people want to see an example first: http://coop.butterfat.net/~bmuller/mod_auth_openid/ot
http://mixi.jp/issue_ticket.pl は OpenID server だったよ - 知らないけどきっとそう。
mixiのURLにOpenIDっぽいパラメータがくっついてる件 http://blog.fkoji.com/2007/08051128.html OpenID大好きなので、少し調べてみました 結論から言うと、news.mixi.jp とか video.mixi.jp とかの、mixi.jp と別ドメインにセッションを引き渡すために使ってるぽい このあたりの話のあと、cookieのdomain指定をやめたのかもしれない http://kaede.to/~canada/doc/mixi-and-cookie リクエストのやりとりはこんな感じ ログインしてcookieもらう(domain指定なしなので mixi.jp にしか渡されない) POST /login.pl HTTP/1.1 Host: mixi.jp HTTP/1.x 200 OK Set-Cookie: BF_SESSION=***
mixi Developer Center » mixi OpenID
仕様 mixi OpenID は mixi 内のユーザー情報を外部サイトでの認証に使用するためのサービスです。この文章では mixi OpenID の仕様について説明します。 FAQ mixi OpenID について、よくある質問とその答えをまとめました。 mixi Platform用素材利用ガイドライン ユーザーに簡単にわかりやすくログインできるようにするために、専用ログインボタンを配布しています。また、利用ガイドラインに沿ったボタンの利用をお願いしています。 ガイドライン mixi OpenIDを導入いただくにあたってのガイドラインとなります。本記載内容に沿った対応サイトを作成いただくことで、ユーザーにメリットのあるコミュニケーションがもたらされることを望んでいます。
OpenIDの推進団体が日本でも発足へ
複数のWebサイトで利用できる共通IDの認証技術「OpenID」の普及と推進を目指す組織が日本国内での設立に向けて動き出した。米国で2006年7月に発足したOpenID Foundationの日本支部という位置付けである。日本語で関連技術の情報を発信するほか,日本の法制度に合わせた仕様提案などを目指す。 ユーザー登録をしていないWebサイトに,共通IDを使ってログイン可能にする認証技術「OpenID」を,国内で普及させることを目指す団体が2008年4月に発足する。OpenID関連技術の仕様策定,管理などを推進する米国のOpenID Foundation(OIDF)の日本支部として「OpenIDファウンデーション・ジャパン」(仮称)が,活動を開始する計画である。 2月28日には,野村総合研究所,シックス・アパート,日本ベリサインの3社が設立発起人として,OpenIDの導入を検討する企業などに
Yahoo!が「OpenID」に対応,「Yahoo! ID」で外部サイトを利用可能に
米Yahoo!は米国時間1月17日,シングル・サインオン(SSO)技術「OpenID 2.0」に対応すると発表した。これにより,同社の各種サービス向けID「Yahoo! ID」でさまざまなOpenID対応Webサイトにログインできるようになる。 まず1月30日にベータ運用を開始し,外部サイトでYahoo! IDを利用可能とする。その後,OpenID対応サービスを拡充していく。全世界で発行アカウント数2億4800万個のYahoo! IDがOpenIDに対応すると,OpenIDアカウント数は現在の3倍に相当する3億6800万個に増える。 外部のOpenID対応Webサイトで認証を受ける際,電子メール・アドレスやインスタント・メッセージング(IM)ユーザー名などの情報を入力する必要はない。また,Yahoo!ユーザー向けセキュリティ機能「sign-in seal」も併用できるので,フィッシング・サ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
YAPC::Tokyo 2013 ritou OpenID Connect
OpenIDでログインしたユーザーはスターの引用機能を利用できなくなりました - はてなスター日記