米Yahoo!からのパスワード流出を考える
(UPDATE1) Yahoo! Voice と Yahoo! Voices は別のサービスらしいので、そこをUPDATEしました。なお、結論は変わりません→ってことは、Yahoo! Voice も気をつけて対処したほうが良いってことですよ…。 米 Yahoo! からパスワードが流出したと大騒ぎである。 米Yahoo!は長らくビジネス的問題を抱えていて、多くの人材が流出していてシステムメンテに手が回らなくなっているので、「あー、ついにやってしまったか」と最初にニュースに接した時には思った。最近は、認証は専門部隊を持っているところに任せましょうという講演をあちこちでして回っているのだが、認証プロバイダ(Identity Provider, IdP) もやっている Yahoo! がこれをやってしまったというのは、個人的にも非常にインパクトが大きい[1]。 実際、この分野に造詣の深い Evolu
Facebook の「いいね」ボタンがあるサイトに行くと、トラッキングされているかに見える件
このブログにも設置しているので大声では言えませんが、実は Facebook の「いいね」ボタンは気持ち悪いなぁと思っています。 いいねボタンがあるサイトに、Facebook にログインしたまま行くと、Facebook に次のような Cookie が送られます[1]。 csm=2; xs=3:2bPC2V….; datar=eVE7TanyekLi2UeCWqCdYaUo; fr=0PBQNPwSEhxk3vCRg.RVUkbgel9qAjCByqVqRQ0lSpntc; lu=The17FfNt9Yc_hqg8eoWG04B; s=Ba98fsjdlw-QWvPeofj.BP_Wqm; c_user=1048138174; act=134500423456/1:0; sub=1; p=16; presence=EM4fsodmnfkds…; wd=1195×859; この c_user と
意味ある同意と情報共有標準ラベル
みなさん、フェースブックやらグーグルやらのサービスを使ったりするときに、サービスの利用規約やプライバシーポリシーをちゃんと読んでますか? 私は読んでません。いや、フェースブックとグーグルは読みました。が、他の殆どは読んでいません。だいたい、そのサービスが使いたくてそこに行ったのに、何十ページもある規約なんか、読めるわけ無いですよね。 顧客がそれらを読まないことは、サービス提供者側も十分承知なはずで、この場合の同意に意味があるかどうかは大いに疑問なのであります。 こうした状況は、サービス提供者にとってもユーザにとっても不幸なことです。 この課題に対する一つの回答として Kantara Initiative の Information Sharing Work Group で検討されている仕様に、Standard Information Sharing Label (情報共有標準ラベル)という
プライバシーって何?
洋の東西を問わず、プライバシーという単語はあやふやな理解の上で議論されることが多い単語です。 そこで、ここではちょっと時間をとって、プライバシーとは何かということを考えてみたいと思います。 1. プライバシーの語源 Online Etymology Dictionary によると、privacy は15世紀に出現した単語で、private + -cy からなっています。「-cy」は語幹を名詞化する語尾ですね。つまり、プライバシーとは「private」の名詞形。 「Private」 は14世紀後半に出てきた単語で、ラテン語の「privatus」(他から分離して、自身に帰属させた。公共の「publicus」、共同体の「communis」と対比される。)という語から来ています。つまり、自分のみで決定できるという意味で、したがって「プライバシー」とは、自分自身や自分の所有物など「自己決定可能なもの
単なる OAuth 2.0 を認証に使うと、車が通れるほどのどでかいセキュリティー・ホールができる
In some of the feedback I have gotten on the openID Connect spec, the statement is made that Connect is too complicated. That OAuth 2.0 is all you need to do authentication. Many point to Identity Pro… 英語読みたくないという人のために簡単に解説すると… OAuth 2.0 の implicit flow を使って「認証」をしようとすると、とっても大きな穴が開きます。 カット&ペーストアタックが可能だからです。 OAuth 認証?は、図1のような流れになります。 図1 OAuth 認証?の流れ 一見、問題なさそうに見えます。しかし、それはすべてのサイトが「良いサイト」ならばです。 Site_A
本人確認と保険証~元オウム信者・斎藤容疑者の偽名保険証取得を考える
元オウムの平田容疑者を匿っていた斎藤明美容疑者(49)が、偽名で保険証を取得し、さらにそれを身分証明書として銀行口座を開設していたことが話題になっています[1]。これを受けて、私の twitter のタイムラインにもいろいろな声が出ています。その多くは、報道等と同様に、身分証明書が偽名で作れてしまったということを問題視していますが、一方ではそれは違うんでないの、という声もあります。そこで、ちょっと時間をとって整理しておきたいと思います。 今回問題になっているのは、斎藤容疑者が、大阪の整骨院で働くときに使っていな名前「吉川祥子」名義の健康保険証を取得し、これを使って銀行口座などを開設していたことです。 吉川祥子名義健康保険証。これは、協会けんぽのものだが、最初は政管健保の保険証として2000年8月に発行されている。 報道等によると、この健康保険証が最初に取得されたのは2000年8月[2]との
非技術者のためのOAuth認証(?)とOpenIDの違い入門【2023年版】
昔から、「OpenIDは認証でOAuthは認可だ」などということが言われます。しかし、その言語の意味を取り違えている方が結構多い気がしています。「もうOpenIDなんていらね。OAuthだけでいいじゃん」というような言説がよく流れてくるのがその証拠だと思います。OAuth認証というのもその類ですね。 そこで、今日はOAuthとOpenIDの違いを考えてみたいと思います。 OpenIDは紹介状、OAuthは合鍵 まずはOpenIDの概要の復習です。「OpenIDは認証」という言葉の内容をまずは復習してみましょう。 「認証」とは大変広い言葉でいろいろな場面で使われますが、「OpenIDは認証」という使い方の時は、「OpenIDは、いま来ている人の身元を認証」(ユーザ認証)という意味です。図にすると図1のような流れになります。 この例では、有栖さんがお客としてサービス提供をしているサイトである伊
OpenID Working Groups と OpenID Connect
ちょっと openid.net のメーリスも混乱しているので整理しておきます。 現段階で計画されている working groups は以下のとおりで、v.Next と総称されています。これらは、2010/4/6 に決定されています。 · Core Protocol – Chair: Dick Hardt – Scope: active client, message verification, AX/CX/AB, OAuth, non-browser · Discovery – Co-chairs: Allen Tom / Mike Jones – Scope: URL, acct: (e-mail address OpenIDs), active client (discovery about OP and RP) · Attribute Schema – Chair: Joseph
Draft: OpenID Artifact Binding 1.0 - Draft01
Abstract OpenID Authentication 2.0 defines the method to move Authentication and associated extension requests among the User, Relying Party, and the OpenID provider through HTTP POST or GET, i.e., it defines the POST and GET binding for OpenID messaging. This specification defines the Artifact Binding that sends the OpenID message directly from the Relying Party to the OpenID Provider and passes
OpenID Artifact Binding 1.0d04
昨日の夜からようやく Artifact Binding 1.0 draft 04 に着手。 22:00-02:00 に書いて、03:30 まで仮眠、その後、北軽井沢から東京へ車で移動(03:50-07:20). 朝食、風呂のあと、10:00 まで加筆。とりあえず、bitbucket に push して、openid-specs-ab 宛にメール。Breno と会話。OAuth2.0 にあわせて、Response は JSON に統一。(その結果、Key-Value Form Encoding が無くなった。)その後、Johnと会話。Magic Signature の Padding がなぁ、という話。 ちなみに、現行ドラフトの最新版のHTMLコピーは、こちら。正式なレポジトリは、http://bitbucket.org/openid/ab/ 。 draft 04 のポイント 全体の構成を変
OpenIDは認証のための仕様では無い
2010/4/29 現在の日本語版Wikipediaには、OpenIDについて、以下のような説明がある。 「OpenID(オープンアイディー)とはウェブサイトによらず使用できる認証システムの標準、およびそこで使用される識別子である。 ひとつのOpenIDがあれば、複数のOpenIDシステム対応サイトを利用できる。」(出所:Wikipedia日本語版/OpenID) 違うんだよね〜、と個人的には思う。 OpenID の ID は、Identity の IDです。 なので、理解するには、まず Identity あるいは Digital Identity のなんたるか、を理解しなければなりません。 これが、普通の人には案外難しいらしい。たぶん我々の言葉の使い方の問題なんでしょうね。 われわれ専門家は、Digital Identity について、こんなふうな説明をします。 Entity/Subje
なんでしないのかな、e投票
霧雨の降るなか、今日、衆院選に行って来ました。神の国選挙とか、小渕元首相、梶山元官房長官、竹下元首相の弔い選挙とか、いろいろ言われる選挙ですが、投票に行かなかった人とか、はたまた100年後にこのページをご覧になる人のために書いておくと、投票所で行われる投票のプロセスとは、おおむね以下のような経過を取ります。 受付で、郵送されてきた投票はがきを提示、衆院選小選挙区用投票用紙を受け取る。この際、投票用紙を受け取ったことを、投票はがきのバーコード(だったかな)をパソコンでスキャンして記録し、二重投票を防ぐ。 受け取った投票用紙に、鉛筆で、投票したい人の名前を書いて、ジュラルミンケースの頭にスリット(細長い穴)をあけた投票箱に入れる。 次の受付で、比例区の投票用紙と、最高裁裁判官の罷免用紙を受け取る。比例区の投票用紙には、鉛筆で、自分の投票する政党の名前を、罷免用紙には、裁判官の名前が書いてあるの
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
バグダッドは燃えているか?
自分の死後に送信される『あの世からの電子メール』サービス登場