RE: はてな認証 API の改善案 - ナンセンス不定記
Kazuho@Cybozu Labs: はてな認証 API の改善案 1) ちゃんとした MAC を使う注2 1.1) HMAC_SHA1 を使うべき 1.2) パラメータの結合方法を修正すべき注3 1.3) 実行している機能の識別子も MAC に含める 2) コールバック URL の cert を暗号化する F(cert, 秘密鍵) を auth.json の引数にする、ということ注4 3) コールバック URL にも MAC をつける 4) サードパーティアプリケーション(TPA)に、認証リンクのパラメータとしてユーザーのセッション情報を特定する情報を入れるよう要請する (ライブラリレベルで対応?) 追記:3, 4 が満たされれば、サードパーティアプリケーション側でセッションのトレースができるので 2 は不要でしょうか。 前提:cookie がもれない限り安全な認証 API 1について
Kazuho@Cybozu Labs: Re: 攻撃してください→はてな認証の仮想セッション
« はてな認証 API への攻撃シナリオ | メイン | はてな認証 API の改善案 » 2006年05月11日 Re: 攻撃してください→はてな認証の仮想セッション 先のエントリについて、tociyuki さんが、「セッションを開始しておけば、第三者にそのセッション ID が漏れない限りハイジャックするのは難しいのでは?」ということで、 セッションを作るときは下のようにするのが通常のやりかたです。これに対して「攻撃者がステップ 10 および 11 から cert のみを取得でき、被攻撃者のクッキーを読めない」という前提で、攻撃のシナリオはどうしたら良いのでしょうか? 攻撃者と被攻撃者のクッキーのセッション ID は異なるとします。 (攻撃してください→はてな認証の仮想セッション) というエントリを書いていらっしゃいます。 そもそも、tociyuki さんが書いてらっしゃるような対策コー
Kazuho@Cybozu Labs: はてな認証 API への攻撃シナリオ
« 秘密鍵を後置している MAC の危険性 | メイン | Re: 攻撃してください→はてな認証の仮想セッション » 2006年05月09日 はてな認証 API への攻撃シナリオ 少し方向を変えて、 cert の漏洩に関する話です。 はてな認証 API における cert の使用法においては、 条件A) cert が第三者に漏洩しない 条件B) cert を最初に使うのがサードパーティアプリケーションである のいずれかが満たされれば良いです。 しかし、実際のところ cert が漏洩した場合に条件 B を破る (攻撃者の ?cert=... リクエストが、正規ユーザーのリクエストよりも先に処理されるようにする) ような攻撃を構築することは可能なので cert が漏洩する=セッションハイジャックが可能注3になる、と考えなければなりません。 じゃあ、どういう場合に、cert が漏れるか、というこ
Kazuho@Cybozu Labs: はてな認証 API の改善案
« Re: 攻撃してください→はてな認証の仮想セッション | メイン | 目指せバイナリアン (C-0.06) » 2006年05月11日 はてな認証 API の改善案 だんだん自分の中でも認証 API の問題が整理できてきたように思うので、改善案を書こうと思います。 まず、そもそも認証 API に何を期待するのか、という点について。 従来の各サイト毎にパスワードを入力する方式は、 ・パスワード管理が面倒 ・HTTPS じゃないので、パスワードがネットワーク上を平文で流れる ・メールアドレスが漏洩するかも (スパム襲来) といった不便さや懸念がありました。しかし、外部の認証 API を使用するウェブアプリケーションについては、これらの問題が解消できるはずです。具体的には、cookie がもれない限り安全な認証 API注1があればベストでしょう。 で、はてな認証 API は、以下の各点を修正
インデックスを作ってくれるメールクライアントが欲しい - KoshigoeBLOG
フィードを購読するのに、メーラーを使わない理由は2つ。 購読リストの共有ができない 概要連続斜め読みが出来ない メーラーとの付き合いがあまり深くないので、『出来るけど知らない』だけかもしれない。けど、知らないから出来ない。 Bloglines + Plagger でメール送信すればデータ共有は可能。サーバから削除しないとか、Web メール(とかIMAP)使えばいい。問題は、『全アイテムの見出しと概要を1画面に表示して、めぼしい物だけをあさる事が出来る』ってことがメールクライアントで出来るのかってこと。メールは基本的に『Subject+Body』な訳で、『Titlte+Description with URL』なメールにしてそれっぽい事は出来るけど、読み込みのタイムラグとかが嫌。 (受動的な)仕事関係メールだとちゃんと読まなきゃだから斜め読みってのは(大抵の場合)必要ないけど、(能動的な)情
「UI as Commons」という発想を図にしてみました - Accept Things
naoyaさんとmiyagawaさんが面白い議論をされていたので、僕もちょっと考えてみました。 バックエンドアプリケーションの API インタフェースを規定するフロントエンド特化型アプリケーション API, UI as Commons お二人の議論を参考に図にしてみると、こんな感じになるのかなと思いました。 こうして図にしてみると、以下のようなアイデアが出てきました。 データソースは、RSSやAtomフィードよりも知的な感じがする(ロジックが組み込まれるため) ユーザーが定義したデータソースもfeed的に扱って、データソースのランキングができると面白いかも (データソースはURIで一意に選択できるため、データソースをfeed的に扱うことは可能だと思います) 異なるドメインに配置されたデータソースにアクセスするためのGatewayをLivedoorで用意しなければならない (XMLHttpR
汎用的かつ拡張可能な機能を持ち、かつ洗練されたユーザインターフェースって - Ogawa::Memoranda
Posted by: Hirotaka Ogawa @ May 10, 2006 04:35 PM | 「汎用的かつ拡張可能な機能を持ち、かつ洗練されたユーザインターフェース」とか言ってると、また自己反映計算の亡霊が…。亡霊じゃないか…。 subtechグループ - Bulknews::Subtech - Web API と MVC LDR ハックが画期的なのは、デベロッパーがM+Cを利用してVを作るんじゃなく、Vを利用してCを実装することで、Mは自分の好きなものを使えるってこと。LDR のサービスが提供しているイカした View を利用させてもらうわけ。もちろん、Ajax (XMLHttpRequest) と GM があるからこれができる。Controller は LDR API を再実装、Model は Plagger でとってこれるものならなんでもいい。 ControllerがLDR
Bridge Word
This shop will be powered by Are you the store owner? Log in here
Webのユーザーインターフェイス - 戯れ言日記
なんだか、Webのユーザーインターフェイスについての話題(?)が盛り上がってるみたいで追ってみた。 難しい。 疲れた。 みんな頭良すぎ。。orz 結局、そんな小難しく考えなくてもいいんじゃないのかね? と・シンプルなσ(ー_ー;)の脳ミソからはそんな考えしか浮かばんのですヨ。。。 で、そのシンプルな考えってのは「AquaUI for the web」でいいじゃないかということ。よく考えられて作られた仕組みがあるんだからそれを再利用でいいじゃん! とごくごくシンプルに思うんだよね。 「ありゃObjective-Cだろ?」ってなツッコミが入りそうだけど、どの言語で実装されてるかは問題ではなく「仕組み」の事ネ。 って、ほとんど読まれてないブログだからツッコミも入らないとは思うけど・・・(^^;イチオーネ で、その仕組みってのがAquaUIでのViewの決まりごとに従ったControllerを実装
Kickstart my heart: APIとUIはともにIである
こんなおいしそうな議論をしていたとは、さっき飯食ってたときはぜんぜん知らなかったな(苦笑)。アンテナが下がってる。 naoyaさんの文章を読んでいてふと疑問に感じたのが、APIというときのIと「インタフェース」と書いたときとで、それぞれ異なる意味で言葉を使っているように読めるってこと。miyagawaさんのエントリのタイトルが「API, UI as Commons」と2つのIを並列して書いているのと並べて読むと、そこんとこを深読みしちゃうなぁ。 Catalyst の View::JSON とかは渡したデータ構造が勝手に JSON になって Web API になりますよ、というものだけども、これだけだとまだ開発者は「どういう API を持たせて、どういうデータ構造を返して」というのを自分で考えないといけない。なのでインタフェースに制約が欲しい。 APIというのはアプリケーションに対してサービ
はてなグループの終了日を2020年1月31日(金)に決定しました - はてなの告知
はてなグループの終了日を2020年1月31日(金)に決定しました 以下のエントリの通り、今年末を目処にはてなグループを終了予定である旨をお知らせしておりました。 2019年末を目処に、はてなグループの提供を終了する予定です - はてなグループ日記 このたび、正式に終了日を決定いたしましたので、以下の通りご確認ください。 終了日: 2020年1月31日(金) エクスポート希望申請期限:2020年1月31日(金) 終了日以降は、はてなグループの閲覧および投稿は行えません。日記のエクスポートが必要な方は以下の記事にしたがって手続きをしてください。 はてなグループに投稿された日記データのエクスポートについて - はてなグループ日記 ご利用のみなさまにはご迷惑をおかけいたしますが、どうぞよろしくお願いいたします。 2020-06-25 追記 はてなグループ日記のエクスポートデータは2020年2月28
はてなグループの終了日を2020年1月31日(金)に決定しました - はてなの告知
はてなグループの終了日を2020年1月31日(金)に決定しました 以下のエントリの通り、今年末を目処にはてなグループを終了予定である旨をお知らせしておりました。 2019年末を目処に、はてなグループの提供を終了する予定です - はてなグループ日記 このたび、正式に終了日を決定いたしましたので、以下の通りご確認ください。 終了日: 2020年1月31日(金) エクスポート希望申請期限:2020年1月31日(金) 終了日以降は、はてなグループの閲覧および投稿は行えません。日記のエクスポートが必要な方は以下の記事にしたがって手続きをしてください。 はてなグループに投稿された日記データのエクスポートについて - はてなグループ日記 ご利用のみなさまにはご迷惑をおかけいたしますが、どうぞよろしくお願いいたします。 2020-06-25 追記 はてなグループ日記のエクスポートデータは2020年2月28
はてなグループの終了日を2020年1月31日(金)に決定しました - はてなの告知
はてなグループの終了日を2020年1月31日(金)に決定しました 以下のエントリの通り、今年末を目処にはてなグループを終了予定である旨をお知らせしておりました。 2019年末を目処に、はてなグループの提供を終了する予定です - はてなグループ日記 このたび、正式に終了日を決定いたしましたので、以下の通りご確認ください。 終了日: 2020年1月31日(金) エクスポート希望申請期限:2020年1月31日(金) 終了日以降は、はてなグループの閲覧および投稿は行えません。日記のエクスポートが必要な方は以下の記事にしたがって手続きをしてください。 はてなグループに投稿された日記データのエクスポートについて - はてなグループ日記 ご利用のみなさまにはご迷惑をおかけいたしますが、どうぞよろしくお願いいたします。 2020-06-25 追記 はてなグループ日記のエクスポートデータは2020年2月28
Google Maps API のボタンを日本語にする方法 | 秋元@サイボウズラボ・プログラマー・ブログ
via Google Maps API 公式ブログ 4月27日のブログで、ヨーロッパ主要各国の地図が追加されたのと同時に、API 経由で描いた地図のコントロールを日本語(や他の主要言語)にする方法も書かれていた。 Google Maps API のライブラリを呼び出す際に、以下のように “hl=ja” をつければ、 <script src=”http://maps.google.com/maps?file=api&v=2&hl=ja&key=キー”> これまで英語だったコントロールボタンが、日本のGoogle Maps と同様、「マップ」「サテライト」「デュアル」になる。 # それとも、Google Maps のほうも英語ボタンだったっけ? 覚えてない… 解説では version 2 が指定されている(v=2)けれど、API version 1 でも同じように指定すればコントロールが日本語
はてな認証APIを使う - こども(てれび)
LoginGeneratorをそのまま使って、コントローラーをちょっと変える。 require 'hatena/api/auth' class AuthController < ApplicationController API_KEY = '...' SECRET = '...' def login hatena_auth = Hatena::API::Auth.new(:api_key => API_KEY, :secret => SECRET) if params.has_key?(:cert) begin user_info = hatena_auth.login(params[:cert]) session[:user] = User.find_or_create_by_name(user_info['name']) redirect_back_or_default index_
Kazuho@Cybozu Labs: Re: はてな認証 API
« はてな認証 API | メイン | Hash ≠ MAC » 2006年05月06日 Re: はてな認証 API naoya さんありがとうございます、ということで、「認証APIのメモについてのレス」への返答です。 2006/5/7 追記: 1) で述べた MD5 による api_sig の偽装が可能であることを確認しました。この偽装を用いた攻撃は、auth.json および auth.xml については、1) に述べたとおり成功しません。認証リンクについては、仕様として任意のパラメータをハンドリングできる必要があるので、攻撃が成立してします (攻撃者がパラメータを追加することができる)。 よって、認証リンクの署名機能は壊れている、と言わざるを得ないように思います。 3) パラメータ指定の手法について 先にこちらから。 パラメータ指定は先日サポートしました。http://auth.ha
はてなグループの終了日を2020年1月31日(金)に決定しました - はてなの告知
はてなグループの終了日を2020年1月31日(金)に決定しました 以下のエントリの通り、今年末を目処にはてなグループを終了予定である旨をお知らせしておりました。 2019年末を目処に、はてなグループの提供を終了する予定です - はてなグループ日記 このたび、正式に終了日を決定いたしましたので、以下の通りご確認ください。 終了日: 2020年1月31日(金) エクスポート希望申請期限:2020年1月31日(金) 終了日以降は、はてなグループの閲覧および投稿は行えません。日記のエクスポートが必要な方は以下の記事にしたがって手続きをしてください。 はてなグループに投稿された日記データのエクスポートについて - はてなグループ日記 ご利用のみなさまにはご迷惑をおかけいたしますが、どうぞよろしくお願いいたします。 2020-06-25 追記 はてなグループ日記のエクスポートデータは2020年2月28
Kazuho@Cybozu Labs: はてな認証 API
« Lingua::JA::Summarize 0.03, 0.04 | メイン | Re: はてな認証 API » 2006年05月06日 はてな認証 API はてな認証 APIについて、気になったことを、忘れないうちにまとめておこうと思います。同様の指摘が既にあるかもしれませんが。 1) シンプルで美しい 安全性の評価は、一般的な Challenge-Response 型のプロトコル (cert の値が Challenge に相当) と考えればいいんでしょうか。でも、なぜ MD5 なの? 2) ログイン用リンクに署名は不要 毎回同じ api_sig になるので、存在意義がないと思います。 3) コールバック URL が固定 パラメータを指定できたほうが良いと思います。固定のままでも、サードパーティアプリ側で Cookie を使えば、パラメータ指定と同等のことはできますが、処理が煩雑にな
2006-05-05
寒かったころには、考えられないほどの暑さに逆に嫌気がさすこの頃です。 さて、はてなでこの頃、公開されたはてな認証APIですが、試してみました。 すでに多くの方が試されてソースも公開されているようです。 インスパイアして、テスト実装を試してみました。 ユーザー名などを実装側で取得できるというものです。 説明はこちら.2018年10月31日(水) をもって、はてな認証APIの提供を終了します。それに伴い、OAuthへ移行をお願いいたします - はてなの日記 - 機能変更、お知らせなど テスト実装 : http://hetena.com/auth ゆくゆくはしっかり書いて、もしくは正式に頂いて? 'Services_Hatena'パッケージにマージしたいと思います。 認証API自体はけっこうおもしろいなと思いました。 今後、いろいろな使い方が考え出されてアプリケーションがでてくると思うと 楽しみ
カヤック、動画変換サービス「モビゾー」をリニューアル。API公開も
カヤックは、動画変換サービス「モビゾー」のリニューアルを4月26日に実施。あわせて、同サービスのAPIを公開する。 モビゾーは、携帯電話などで撮影した動画をFlash形式に変換し、任意のWebサイトやブログで公開できるサービス。今回のリニューアルでは、プレイリストの作成機能や、同社のブログツール「iam」を利用したプロフィール公開機能が追加される。また、スタッフがムービーを配信するコーナー「モビゾーTV」の新設や、プレイリストやモビゾーTV単位で再生できるブログツールの公開なども行なう。 このほか、カヤックはモビゾーのAPI公開を開始する。カヤックでは、同APIの利用サイトを年内に30件まで拡大することを目標として、ユーザ規模の拡大を図るとしている。
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
