twitter の OAuth で思ったより豪快に認可してしまっている件 - 知らないけどきっとそう。
忘れたころに追記 API で _twitter_sess は発行されているようですが、web の UI にアクセスはできなくなったみたいです(つまり豪快さは解消されてます) OAuth コンシューマが twitter API にアクセスすると、ブラウザでログインしたときと同様のセッションクッキーが発行されている模様です GET https://twitter.com/account/verify_credentials.xml Authorization: OAuth realm="", oauth_consumer_key="***", oauth_nonce="***", oauth_signature="***", oauth_signature_method="HMAC-SHA1", oauth_timestamp="1253358338", oauth_token="***",
BASIC 認証でログアウトを可能にする方法 - kazuhoのメモ置き場
Cookie でログイン状態を管理すればいいんじゃいのかな。 まず、ログインボタンを押した時「だけ」is_logged_on を真にする。 HTTP/1.1 Authorization Required Set-Cookie: is_logged_on=1 WWW-Authenticate: Basic realm="Hoge123456" ...サーバ側では、Basic 認証のパスワードがあり、かつ、is_logged_on の値が真であることをチェックすればいい。 GET / HTTP/1.1 Cookie: is_logged_on=1 Authorization: Basic ... ... HTTP/1.1 200 OK ...で、ログアウトの際には、Cookie を消す。 HTTP/1.1 200 OK Set-Cookie: is_logged_on=0 ...そして、is_
はてなグループの終了日を2020年1月31日(金)に決定しました - はてなの告知
はてなグループの終了日を2020年1月31日(金)に決定しました 以下のエントリの通り、今年末を目処にはてなグループを終了予定である旨をお知らせしておりました。 2019年末を目処に、はてなグループの提供を終了する予定です - はてなグループ日記 このたび、正式に終了日を決定いたしましたので、以下の通りご確認ください。 終了日: 2020年1月31日(金) エクスポート希望申請期限:2020年1月31日(金) 終了日以降は、はてなグループの閲覧および投稿は行えません。日記のエクスポートが必要な方は以下の記事にしたがって手続きをしてください。 はてなグループに投稿された日記データのエクスポートについて - はてなグループ日記 ご利用のみなさまにはご迷惑をおかけいたしますが、どうぞよろしくお願いいたします。 2020-06-25 追記 はてなグループ日記のエクスポートデータは2020年2月28
OpenIDとRails:Authentication 2.0:CodeZine
はじめに OpenIDは、ユーザー認証および識別サービス分野に大きな変革をもたらすサービスであり、フレームワークであり、プロトコルでもあります。2004年にBrad FitzpatrickによってスタートしたOpenIDですが、今ではAOL、Google、IBM、Microsoft、VeriSign、Yahoo!などの巨大インターネット組織からサポートされるほどのフレームワークに成長しています。OpenIDは、Webサイトのための信頼性に優れたオープンな分散ユーザー認証を実現する仕組みであり、Web開発者は認証コードを書く手間から解放されます。 本稿ではOpenIDの概要と、Webサイト開発にとってのOpenIDの利点について説明します。また、OpenIDをRuby on Rails 2.0フレームワークに組み込む方法について例を挙げて説明します。必要な環境Rubyバージョン1.8.4以上
こめんと(2008-04-22) - MutualTestFox 公開
■ [Misc] 怒涛 うわー、なんか無茶苦茶忙しかった……。 とりあえず2件の発表を終えました。やること溜りまくりですねぇ。 ■ [Work] Fail-Safe C release 1 公開 というわけで、1つ目の発表は Fail-Safe C の正式版公開 です。 最初に函館で発表したのが2001年のJSSST大会*1 で、かれこれもう7年もかかってしまいましたので、プレスリリースは自分なりの1つの纏めとケジメのつもりです。 協力して頂いた皆様、本当にありがとうございました。 Slashdot をはじめいろいろ連絡とかバグレポとかフィードバックを頂いた皆様、対応が遅れていてすみません。 有難く早急に取り組ませて頂きたいと思います。 Fail-Safe C の研究を始めるに当たって「C言語を対象にする」と決めた時点で、 実用に供するというのは大前提の1つです。これからも Fail-Sa
産総研:パスワード相互認証プロトコルの技術評価用ソフトウェアを公開
発表・掲載日:2008/04/22 パスワード相互認証プロトコルの技術評価用ソフトウェアを公開 -抜本的なフィッシング詐欺防止技術の実用化に向けて- ポイント インターネットにおけるフィッシング詐欺を防止できる新しい認証方式を開発。 技術評価用のウェブブラウザとサーバー用拡張モジュールをオープンソースで公開。 ウェブブラウザに標準搭載され、フィッシング被害が減少することに期待。 独立行政法人 産業技術総合研究所【理事長 吉川 弘之】(以下「産総研」という)情報セキュリティ研究センター【研究センター長 今井 秀樹】(以下「RCIS」という)とヤフー株式会社【代表取締役社長 井上 雅博】(以下「Yahoo! JAPAN」という)は、これまでインターネットにおけるフィッシング詐欺を防止する「ウェブでの利用に適したパスワード相互認証プロトコル」の研究開発を進めてきた。このたび、新しい認証プロトコル
OpenAuthで友達リスト取得 - snippets from shinichitomita’s journal
AOL OpenAuthをJavaScriptで使う方法について。以前ちょっと調べてたことが、ちゃんとドキュメントになってた。 Yahoo! で、実はIDだけじゃなくって、AOLの友達リストも取って来れるという話。 こちらにデモが。ソースも上記ドキュメントにダウンロードリンクあり。 http://dev.aol.com/gallery_files/getBL.html 動作としては、まずgetTokenサービスを利用して認証トークンを取得できたら、それを使って友達リストのJSONPサービスを呼び出す。友達リストのJSONPサービスリクエストURLはこんな感じになっている。 http://api.oscar.aol.com/presence/get?f=json&bl=1&k=bs1312tKAjxKsqZY&a=....&c=parsePresence (k: developer key
認証情報の受け取りにJSONPを利用する - snippets from shinichitomita’s journal
これ、ほんとうにだめなのかな? http://kokogiko.net/m/archives/002062.html 2007年09月07日 kazuhooku kazuhooku security 実装みてみないとわかんないけど、危ない橋のにおい。別のガジェットからiframeされたらどうなるのとか、Consumerの身元をどうやってユーザーに提示するの、とか はてなブックマーク - ここギコ!: MappletやiGoogleのガジェット等でOpenIDやはてな認証等を使う方法を思いついた もしConsumerの身元保証が難しいというのがネックなら、自前サーバとmapplet間はServer to Server でやるのではなく、JSONPをつかってフロントで情報を渡すというのは、どうか。 受け渡しをフロントでやることで、正当なConsumerかどうかをHTTPリファラレベルでチェック
第4回 自己流認証 | WIRED VISION
第4回 自己流認証 2007年7月20日 IT コメント: トラックバック (1) 自分を証明するために鍵やカードやハンコなどが広く使われていますが、計算機の上ではパスワードがよく利用されています。指紋や光彩を利用する生体認証も最近注目されていますが、特殊な装置が必要になりますし、偽造も可能な場合が多いので、どこでも使える強力な認証手法としてパスワードの地位に揺るぎは無いようです。 パスワードを用いる認証方式は長年利用されているので、運用に関する多くの知見が存在します。システムを作成するときの注意点はよくわかっていますし、破られにくいパスワードの選び方や、他人に見られることなくパスワードを送る方法などについても深く研究されており、正しい使い方をする限り安全な認証手法であることは証明されています。 歴史が長いため、パスワードを破るためのノウハウも蓄積されており、普通に思いつく固有名詞を単純に
AOLのOpenAuthがチャレンジング過ぎて - snippets from shinichitomita’s journal
AOLのOpenAuthという認証APIがあります。YahooのBBAuthだったり、Google Account Authentication、日本で言うならはてな認証、livedoor Authなどに代表される、最近流行のサービスプロバイダによる認証APIの一種なんだと思います。ただ、少なくともAOL IDを使うことはほぼないから、アナウンスは聞いてもとりあえずスルーしてたのだけど、たまたま仕様を読んでいたらかなりびっくりした。なんと通信経路にJSONPを使って認証トークンをやり取りできてしまう。JSONPはパブリック情報の配信以外に使うな、ってのが常識になりつつあった人たちから見たら、これはたぶん衝撃。 でも、これがセキュリティ的にヤバいかっていうと、決してそうではなくって、OpenAuthではいわゆる「リファラによるサイト制限」を実装しているところがポイント。つまり、JSONPリク
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
http://www.machu.jp/posts/20090801/p01/