単なる OAuth 2.0 を認証に使うと、車が通れるほどのどでかいセキュリティー・ホールができる
In some of the feedback I have gotten on the openID Connect spec, the statement is made that Connect is too complicated. That OAuth 2.0 is all you need to do authentication. Many point to Identity Pro… 英語読みたくないという人のために簡単に解説すると… OAuth 2.0 の implicit flow を使って「認証」をしようとすると、とっても大きな穴が開きます。 カット&ペーストアタックが可能だからです。 OAuth 認証?は、図1のような流れになります。 図1 OAuth 認証?の流れ 一見、問題なさそうに見えます。しかし、それはすべてのサイトが「良いサイト」ならばです。 Site_A
[Rails]はじめてのRailsでWebサービス作ってみた - ギークに憧れて
Twitmemo ここ一ヶ月ほど某社でRailsの勉強をさせて頂いていて、なんか作れーって言われたのでWebサービス作ってみました。 Twitterユーザーへフォローした理由やメモを追加できるサービスで、Twitmemoといいます。過度な期待はせず使ってみてください。 作った理由2/4現在、自分のフォローは1030人弱。300人くらいまでは良かったが、さすがにこの人数になると「あれ?こいつフォローしたっけ…」って奴が出てくる。最近はイベントにいってもメールアドレス教えるのがダルくてとりあえずTwitterアカウントを教える、というパターンが多いので、ある程度は把握しとかないとリアルに支障が出るかなーという危機感があった。そういうのを良い感じにメモできるサービスが欲しかったので作った。プラス、自分がどういう評価されてるか知れたらFavstarっぽくてうけるかなーという感じ。 以下、サービスを
広すぎる「通信の秘密」、セキュリティ面で再考も
ITや通信関連に詳しい弁護士の高橋郁夫氏。高橋氏は「ネット中立性の問題は海外では幅広い分野にまたがって議論がされているが、日本では“通信の秘密”を前提として大部分が論じられており、ネット中立性で議論される範囲が狭い」と語る。ただ日本では当然と考えられている“通信の秘密”そのものにこそ、もう一度議論すべき点があると訴える。 海外では、日本の主な論点である利用と対価の公平性にとどまらず、どこまでパケットの中身を見てよいのか、有害トラフィックに関する考え方、著作権侵害に関する考え方、インターネットプロバイダーのボトルネック的役割と公平競争の考え方など、幅広いテーマで議論されている。 ただ日本では、利用と対価の公平性以外の論点は、電気通信事業法の第4条にある「通信の秘密」によって既に論じられているテーマでもある。 「通信の秘密」とは、(1)積極的知得の禁止、(2)窃用の禁止、から成り立つ。その解釈
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
日本ツインテール協会公式サイト
