HTTPS でも Full URL が漏れる?OAuth の code も漏れるんじゃね?? - OAuth.jp
なんですかこれは! New attack bypasses HTTPS protection on Macs, Windows, and Linux DHCP につなぐと PAC ファイルがダウンロードされて HTTPS であろうとアクセス先の Full URL は漏れるですって? Web Proxy Autodiscovery ですって? チョットニホンゴデオネガイシマス ってことで、まぁこれが実際どれくらい簡単に実現できる攻撃パターンなのかは他のセキュリティ業界の方々に後で聞くとして、この記事でも触れられてる OpenID Connect とか OAuth2 への影響について、ちょっとまとめておきましょうか。 Authorization Request & Response が漏れる response_mode=form_post なんていうのも一部ありますが、基本 OAuth2 /
TwitPic API v2で画像のアップロード: ふと思う--ちょっと考える (いたずら編)
Twitterの写真投稿先として一番使われているサイトは、TwitPicです。ここはTwitterのユーザであれば、TwitPicにユーザ登録すること無く写真を投稿できます。これは、Twitterのユーザ名とパスワードを本人確認をしているためです。 しかしどんなに魅力的なサービスであったとしても、ユーザにとってパスワードを登録することに躊躇します。そこで、Twitterを中心にパスワードがなくても本人確認できるOAuthという認証方式が策定されました。 外部サービスで本人確認をする方法 ユーザ確認で一番単純な方法は、パスワードです。パスワードが正しいければ、サービスを使おうとしている人が本人である認めます。OAuthは、パスワードの代わりにTwitterとサービスを提供するアプリだけが知っている秘密の鍵を使って確認します。では、外部サービスであるTwitPicは、どのようにユーザ確認をする
OAuthプロトコルの中身をざっくり解説してみるよ - ( ꒪⌓꒪) ゆるよろ日記
「おーおーっすっ!」 てなこって、TwitterのAPIのBASIC認証も6月末に終了してOAuth/xAuthに移行するというこの時期に、あらためてOAuthについて勉強してみたんですのよ? OAuth認証を利用するライブラリは各言語で出そろってきてるのでそれを使えばいんじゃまいか? というと話が終わるので、じゃあそのライブラリの中身はなにやってんのよってことを、OAuthするScalaのライブラリ作りながら調べたことをまとめてみました。 間違っているところもあると思うのでツッコミ歓迎です>< OAuthってそもそもなんなの? ものすごくざっくりというと「API利用側が、ユーザ認証をAPI提供サービス側にやってもらうための仕様」って感じでしょうか? BASIC認証の場合、API利用側が認証に必要なアカウントやパスワードを預かる必要があるわけです。悪意のあるAPI利用側が「なんとかメーカー
ウノウラボ Unoh Labs: PECL::oauthでxAuth
yamaokaです。 TwitterのBasic認証によるユーザー認証が6月に廃止されるようですね。 認証はOAuthで行ってください、とのことなのですが OAuthの認証画面を表示するためにブラウザを起動するのがふさわしくないケースや、 そもそも貧弱なブラウザでうまく利用できないケースもあります。 そうした場合の解決方法として、xAuthという仕組みがTwitterに実装されています。 詳しくは次に紹介するweb上の記事を参照してください。 s-take Blog.: Twitterによる簡易版OAuth: "xAuth" OAuthでデスクトップアプリがブラウザを経由させたくないときのxAuth - Codin' In The Free World the.hackerConundrum: Sneak peek at Twitter's browserless OAuth creden
tzmtk / OAuthCore10aJP
OAuth Core 1.0 Revision A 日本語訳 はじめに OAuthはウェブサイトやクライアントアプリケーションなどのConsumerに対して、ユーザー自身のID・パスワードを渡すことなく、サService Providerの持つユーザー単位で保護されたリソースへアクセスする権限のみを譲渡することができます。OAuthは認証が必要なリソースへのAPI経由でアクセスする際の、自由度、利便性を提供します。 例として、1つの写真プリントサービス「printer.example.com」(Consumer)があり、あるユーザーが写真ストレージサービス「photos.example.net」(Service Provider)に保存している自分のプライベートな写真データ(リソース)をこの「printer.example.com」に渡したいとします。OAuthを使えば、ユーザーは「pri
The OAuth 1.0 Protocol
The OAuth 1.0 Protocol draft-hammer-oauth-10 Abstract OAuth は、リソースオーナー (別のクライアントやエンドユーザー) に代わって、サーバーリソースにアクセスするための方法を、クライアントに提供するものである。また、リダイレクトを利用することで、エンドユーザーはクライアントにユーザ名やパスワードを共有することなく、サーバーリソースへの第三者アクセスを認可することができる。 Status of this Memo This Internet-Draft is submitted in full conformance with the provisions of BCP 78 and BCP 79. Internet-Drafts are working documents of the Internet Engineering T
OAuthコンシューマの仕組みと実装 〜 Ruby編 - しばそんノート
前置き 前回の記事でOAuthを使ってTwitter APIにアクセスすることができるようになりましたが、ruby-oauthは内部でNet::HTTPを呼び出しているため、そのままではGoogle App Engine for Java上のJRuby(以下JRuby for GAE/J)で利用できません。 「JRuby for GAE/JでもNet::HTTPが使えるようになる」というrb-gae-supportと組み合わせればOKなのかもしれませんが*1、OAuthの仕様自体はシンプルなものですし、せっかくなので勉強がてら自分で実装してみることにします。 車輪の再発明おいしいです!*2 ちなみにタイトルにRuby編と付いていますが、他の言語編を作成する予定は特にありません。 OAuthの仕様 実装の前にOAuthの仕様や、そもそもの成り立ちについて調べました。既にわかりやすいまとめ記事
第1回 OAuthとは?―OAuthの概念とOAuthでできること | gihyo.jp
今回から始まった「ゼロから学ぶOAuth」。全4回の特集にて、これからのWebサービスを開発する上で不可欠な技術「OAuth」について取り上げます。初回は、OAuthの概念について取り上げます。 はじめに はじめまして、iKnow!改めsmart.fmの真武です。現在smart.fmでは、OAuthやOpenID、OpenSocial、Semantic WebやActivity Streamなどといった新しい技術の導入を積極的に行いサイトを活性化させるとともに、smart.fm APIを通じて我々の技術を外部のデベロッパの方々にも提供しています。 smart.fmは日本最大のOpenID Relying Partyであるだけでなく、国内では数少ないOAuth Consumer(後述)およびOAuth Service Provider(後述)を兼ねるサービスとなっています。こういった背景
APIアクセス権を委譲するプロトコル、OAuthを知る ― @IT
クロスドメインでのデジタルアイデンティティを守る APIアクセス権を委譲するプロトコル、 OAuthを知る 作島 立樹 NRIパシフィック 2008/1/21 マッシュアップと呼ばれる仕組みで、既存のWebサービスが次々とつながり、新たなサービスが登場している。しかし、メールアドレスなど重要な個人情報が意図せずに「つながれてしまう」可能性もある。そこで登場したのがアクセス権の「委譲」を目的としたプロトコル、OAuthである。本記事ではOAuthの仕組みとともに、なぜそれが登場したのかという背景にも触れる(編集部) マッシュアップの犠牲になるユーザーのアイデンティティ GETなどのHTTPメソッドをもちいてURLへリクエストする、いわゆる「RESTful」【注1】なWeb APIを使ったアプリケーション同士の交流は、いままさに隆盛を極めている。「マッシュアップ」と呼ばれているこのサービス形態
rubyでOAuthを使ってみる
Google, twitter, mixiアプリなどのAPI認可のためのOAuth(オース)という プロトコールが利用されています。 今回は、マッシュアップなWebサービスを作る上で必要になってくるOAuthの簡単な概念とrubyでの使用例を紹介したいと思います。 ■ OAuthとは? デスクトップアプリやwebアプリケーションなどにセキュアなAPI認証の 標準的な手段を提供するオープンプロトコルです。 OAuth利用することによって、ユーザのgoogleアカウント情報(ID,Password)を保持しなくてもgoogleのアドレス帳などを参照するwebサービスを作ることができます。 ■ OAuthが必要になった背景 OAuthがなかった場合、先程の例のようなgoogleのアドレス帳を参照するサービスを作ろうとした場合、ユーザのgoogleアカウント情報をもとにアクセスすることになります。
OAuth認証でTwitterを使う: ふと思う--ちょっと考える (いたずら編)
パスワードを教えることなくユーザーの権限を与えられるOAuth認証は、便利だけど結構複雑なプロトコール。しかしライブラリーが公開されているので、それを使って簡単にOAuth認証機能をアプリケーションに組み込むことができた。ここでは、その例を示す。 OAuth認証とは ユーザー毎のWebサービスを提供するには、アクセスしてきたユーザーが本人であるか、他の人であるかを識別する必要があります。そのためには、ユーザー名とパスワードの組み合わせが広く使われています。しかし、この方法は、ユーザーにとってはサービス毎にユーザー名とパスワードを考えなければならず、面倒なの色々な所で同じパスワードを使いまわしてしまうと言う危険性を招きます。また、Webサービス提供側も、パスワードの管理に特別な注意が必要となります。 このユーザー管理を便利にするためのプロトコールが、OpenID認証です。このプロトコールを使
Maraigue風。:[Ruby][Twitter] OAuthのアクセストークンを、ブラウザなしで、Twitterのユーザ名およびパスワードのみを用いて取得する(通称:xAuth)ためのRubyのコード
2010年02月15日 [Ruby][Twitter] OAuthのアクセストークンを、ブラウザなしで、Twitterのユーザ名およびパスワードのみを用いて取得する(通称:xAuth)ためのRubyのコード タイトル長めですが、大事なことなので全部書きました。 コードはこちら: メインのライブラリ/タイムラインを取得するサンプル gist: 304123 - GitHub(最終更新:2010.02.15 11:26) 発言を投稿するサンプル(上記ライブラリと組み合わせてご利用下さい) gist: 306853 - GitHub(最終更新:2010.02.18 3:09) 概要 Twitterでは、OAuthという認証のシステムが利用できる。 従来は、(ユーザ認証を伴う)TwitterのAPIを利用する際、APIの呼び出しのたびにユーザ名・パスワードを送信する必要があった。一方OAuthでは
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Twitpic