事務局ブログ:「Covert Redirect」についての John Bradley 氏の解説(追記あり)
追記 (5/7 20:30): 本文中に「まともなブラウザーであれば、そのフラグメントを URI の一部にするようなことはないから、オープン・リダイレクターには送られない。」とありますが、少なくとも Chrome と Firefox はリダイレクト時に URI フラグメントをそのまま保つ (i.e. 不十分な redirect_uri チェック & オープン・リダイレクター & インプリシット・フローの場合、アクセス・トークン入りの URI フラグメントを、ブラウザーがそのままリダイレクト先へのリクエストに用いる) とのことです。続報があり次第追記します。 追記2 (5/7 23:50): John Bradley 氏自身によるフォローアップを訳しました。 Covert Redirect and its real impact on OAuth and OpenID Connect を、と
OpenID Connect リリース~インターネットのアイデンティティ層
苦節4年半、ワーキンググループを作るところから始めたら、苦節6年、ようやくOpenID Connectをリリースしました。 OpenID Connect は、インターネット上の「アイデンティティ層」をなすものです。ちょっと説明しましょう。 レイヤーとか「層」とかというと、よく使われるものTCP/IPの参照モデルというものがあります[1]。これはIETFによって策定された、インターネット上のホストの持つべき通信機能を階層構造に分割したモデルで、TCP/IP参照モデル、インターネット・プロトコル・スイートなどとも呼ばれ、通信機能(通信プロトコル)を4つの階層に分けて定義しています(RFC1122)。この第4層はアプリケーション層と呼ばれますが、これは、あくまでHTTPやFTP等の通信サービスのことであり、いわゆる「業務アプリケーション」の意味ではありません。実際のユーザが使う「業務アプリケーシ
「FacebookやOpenIDでログイン」に複数の|アクセス制御/認証|トピックス|Computerworld
ネット通販サイトの「Sears」のログイン・ダイアログ。このサイト専用にアカウントを作成しなくとも、FacebookやOpenIDプロバイダー(Yahoo!、Googleなど)のアカウントを使ってログインすることができる 「Facebook」や「Google」などのアカウントを使ってそのほかのWebサイトにログインできる認証システムについて、あるセキュリティ研究グループが複数の弱点を指摘する発表を行った。これを悪用すれば、攻撃者が誰か別人に成りすましてログインすることも可能だったという。 今回、インディアナ大学ブルーミントン校とMicrosoft Researchの共同研究グループは、「OpenID」やFacebookをログイン手段として導入している幾つかの著名サイトを調査した結果、複数の深刻な欠陥を発見した。OpenID認証はWebサービスの標準認証手法であり、OpenID認証を提供する
非技術者のためのOAuth認証(?)とOpenIDの違い入門【2023年版】
昔から、「OpenIDは認証でOAuthは認可だ」などということが言われます。しかし、その言語の意味を取り違えている方が結構多い気がしています。「もうOpenIDなんていらね。OAuthだけでいいじゃん」というような言説がよく流れてくるのがその証拠だと思います。OAuth認証というのもその類ですね。 そこで、今日はOAuthとOpenIDの違いを考えてみたいと思います。 Youtube版 OpenIDは紹介状、OAuthは合鍵 まずはOpenIDの概要の復習です。「OpenIDは認証」という言葉の内容をまずは復習してみましょう。 「認証」とは大変広い言葉でいろいろな場面で使われますが、「OpenIDは認証」という使い方の時は、「OpenIDは、いま来ている人の身元を認証」(ユーザ認証)という意味です。図にすると図1のような流れになります。 この例では、有栖さんがお客としてサービス提供をして
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
