認証レベルの概念を取り入れたパスキー導入とユーザーへの影響 - r-weblife
おはようございます 自称パスキー👮♂です。 様々なサービスでパスキー対応が進む中で、今回は特定機能の保護を目的とした導入とユーザーへの影響について取り上げます。 きっかけ ここ最近、🚔パスキーに関するパトロール🚔をしている中で、メルカリのパスキー導入についてこんなTweetを見つけました。 まずは1つ目です。 機種変更をしたら、メルカリのビットコインで取り引きできなくなってしまった。 ヘルプとかみて、認証情報を追加するとよさげなことが書いてあったので、試して見たけど、パスキーがないといわれて、登録することができない。つんだ。 事務局に問い合わせ中。#メルカリ #ビットコイン #パスキー pic.twitter.com/NoEKo8Hn5l— よっしー🖊 (@GateYossi) 2023年6月26日 新しいパスキーを追加しようと思ったがパスキーがない。 事務局で認証情報をクリアし
RFC7662として発行されたOAuth Token Introspectionとは - r-weblife
こんばんは、ritouです。 今回紹介する仕様は、RFC7662 OAuth Token Introspectionです。 RFC 7662 - OAuth 2.0 Token Introspection ざっくり言うと Token Introspectionとかいうと、Token置換攻撃対策としてのClient-AuthZ Server間のAccess Token検証を想像する方もいるかもしれませんが、この仕様はそれとはあまり関係ありません。 この仕様はOAuthのProtected Resourceのための仕様です。 RFC 6749 - The OAuth 2.0 Authorization FrameworkのRoleのところには、resource serverがprotected resourceをホストしていて、 access tokenを用いたリクエストを受ける、とあります。
RFC7636として発行されたOAuth PKCEとは - r-weblife
おひさしぶりです、ritouです。 今日は家で風邪治してましたが、TLに流れてきた次世代なんちゃらの話題に乗っかって、ざっくりとした仕様紹介です。 ベンダー個別のパスワード管理には課税せよ!? 次世代Webカンファレンス『identity』 #nextwebconf #nextwebconf407 - Togetter OAuth PKCEがRFC7636として発行されました。 | @_Nat Zone RFC 7636 - Proof Key for Code Exchange by OAuth Public Clients 一言でいうと この規格はOAuth 2.0 [RFC6749]のPublic Client の Code Interception Attack 脆弱性に対応するもので、ephemeral keyを生成して、これを使ったProof of Possession of
YAPC::Asia Tokyo 2014にてソーシャルログインの話をしました - r-weblife
おはようございます ritou です。 去年 に引き続き、今年も話す機会をいただいたので行ってきました。 2回目っていうのと、私が師と仰ぐlyokato氏が一日目にMQTTからなんやらかんやらの話でオーディエンスにツッこむ隙を与えない非常に良い雰囲気を醸し出していたのを見ていたので、わりと落ち着いて望むことができました。 内容 OAuth/OpenID Connectを用いてID連携を実装するときに気を付けること - YAPC::Asia Tokyo 2014 ソーシャルログイン実装の際の細かい話 パスワード認証してるとこが導入する際に考えること というか、考えたこと あ、OpenID Connectの話はしなかったですね。 反応はあんまり聞いてないんでわかりませんが、延々とシーケンスとパラメータの説明よりは身近な感じになったのではと思ったりしてます。 スライド OAuth/OpenID
Yahoo!ウォレット Fastpayのようなクレカ情報をやりとりするしくみに対する懸念 - r-weblife
こんにちは、ritouです。 Y!Jが今後出そうとしてるFastPayってやつの開発環境が提供されてるみたいです。 Yahoo!ウォレット FastPay 決済をシンプルにしたいという思いは重要だと思います。しかし、クレジットカード情報を決済サービス - マーチャント間でやりとりするしくみについて、いくつか懸念があります。 懸念1 : マーチャントからのカード情報流出など (ここでは一旦、「クレカ情報入力するのは便利は便利だよね」という前提で進めます。) 現在、クレジットカード情報の大規模流出事故が報じられています。ここから得られる教訓としては"信頼できるところ以外にカード情報を保持させてはならない"という感じでしょう。 マーチャントにカード情報を直接取り扱わせるしくみでは、どうしてもリスクが発生します。 もちろん、監査などさまざまな仕組みでそのリスクを減らすこともできるでしょうが、意図せ
Googleが出したOpenID 2.0からOpenID Connectへの移行のプラクティスについての補足 - r-weblife
こんばんは、ritouです。 OpenIDファウンデーションのブログにこんなことが書いてありました。 OpenID 2.0 から OpenID Connect への移行のプラクティス @ Google (追記あり) | 事務局ブログ | OpenID ファウンデーション・ジャパン これについてちょっとだけ補足します。 OpenID 2.0とOpenID Connectの識別子のカンケイ GoogleのOpenID Connectの実装で返されるユーザー識別子は、文字列です。 An identifier for the user, unique among all Google accounts and never reused. A Google account can have multiple emails at different points in time, but this v
mixi Platformが導入したっていうOAuth 2.0のCSRF対策拡張を使ってみた - r-weblife
こんばんはこんばんは!!、ritouです。 木曜に公開されたこの記事を見て実際に試してみた/使ってみたってエントリ、たぶん誰も書いてくれないので自分で書きます。 OAuthのセキュリティ強化を目的とする拡張仕様を導入しました - mixi engineer blog とりあえず上記の記事を読んで、最後の方のシーケンス図を覚えといてください。 では動作確認を始めましょう。 手順0 : サービスを登録してclient_id, client_secretの取得 もしかして、mixi Platformの挙動だけ確かめたい人にとってはここがハードル高いのか。まぁしょうがないです。 開発者登録している人はこちらからサービスを登録できますね。 https://sap.mixi.jp/connect_consumer.pl 例として、とりあえずこんな感じで登録してみます。 client_id : 4f75
YAPC::Tokyo 2013にてOpenID Connectについて話しました - r-weblife
こんばんは, ritouです. タイトルの通りです. 普段発表とかしてる idcon に来る方々と別の層にも知ってもらいたいという思いからトーク申し込んだのですが, 基本的に出不精なので, かなりアッウェーイ感が漂う感じでしたがなんとか行ってまいりました. スライドはこちらです. YAPC::Tokyo 2013 ritou OpenID Connect from Ryo Ito 内容はこんな感じです. OpenID Connectの紹介 「OpenID Connect」を理解する (1/2):デジタル・アイデンティティ技術最新動向(4) - @IT みたいな話 Self-Issued OPについて OpenID ConnectのSelf-Issued OPの話 - r-weblife についての話 OIDC::Liteについて PerlのOpenID Connect用ライブラリOIDC:
【宣伝】エンタープライズとOpenID Connectの関係を知りたい方は9月のイベントをチェックせよ - r-weblife
こんにちは, ritouです。 9月のイベント 下記のエントリにも書いていますが、9月にエンタープライズでIdentityなイベントがあります。 エンプラグレード OAuth 2.0 - OAuth.jp 9/4(水)のOpenID TechNight、参加枠が150人になってます。 Cloud Identity Summitの報告、去年も大人気だった気がします。 その内容もさることながら参加者の状況というか感覚が一年でどう変わっているのかどうかが気になりますね。アンケートとか用意されているのでしょうか。 9/18(水)に大阪, 20(金)に東京でID & IT Management Conference 2013ってのがあります。 ID&IT Management Conference 2013:開催概要 協力しているOpenID ファウンデーションの関係者も参加するようなので、エンプラ
Yahoo! JAPANのワンタイムパスワードアプリを使ったり調べたりした - r-weblife
こんにちは、ritouです。 昨年、EmailによるOTP送信機能の提供を始めたYahoo! JAPANがいよいよiOS/Android向けのアプリを出したようです。 ワンタイムパスワード(OTP) - Yahoo! JAPAN IDガイド ヤフーがソフトウェアトークンによるOTPをはじめた 記憶+所持の組み合わせが目的ではあるものの、携帯メールではないWebメールへのOTP送信だと記憶+記憶になってしまう、たしかにそうですね。 あと以前見たGoogleの論文みたいなのには、海外などネット環境によってメールが受け取れないときもあるよね+そういうときアプリ使えると便利みたいなことも書いてありました。 設定手順 設定をするにはワンタイムパスワードの設定画面にいく必要があるのですね。 PC/スマートフォンのワンタイムパスワード設定画面を訪問 メールとアプリのどちらを利用するかを選択 ここで既存の
なんとなくOAuth怖いって思ってるやつちょっと来い - r-weblife
こんばんは、ritouです。 Twitterの問題が発覚した際、こんなgistも書きました。 gist:5053810 · GitHub 今朝、こんなTweetしました。 https://twitter.com/ritou/status/317429458657222657:twitter:detail:left gistに書いた通り、私の考える今回の問題の本質はoauth_callbackの管理、その一言に尽きます。他に2legged OAuthが入るとごちゃごちゃするので、OAuth 1.0の実装のポイントについてまとめてみました。 なんとなくOAuth怖いって思ってるやつちょっと来い from Ryo Ito もちろんこれだけではわけがわからないと思うので、説明が聞きたければどこかで話してもいいです。ぜひ声をかけてください。 普段は秋田にいますが、唯一この勉強会にはよく参加しているの
Truliooはもっと前に出るべきではないか - r-weblife
【3/21追記】 なんかちょっと新しくなっててリンク切れしてます。プロダクトの説明などはこちらからよしなに調べてください。https://trulioo.com/en/ こんばんは、ritouです。 @phr_eidentityさんがJICS 2013のときにブログエントリに書いていたTruliooのプロダクトについて考えたことを少し。 ◆まとめ こんな感じです。 ・ソーシャルIDでサービスを利用してもらう、というのはハウスリスト拡充の意味でも、サービス内でのアクティビティ向上の意味でも有意義である ・しかし、Fake Accountが多発するといった課題も抱えているのが実情である ・そこでアカウントの真贋レベルを確認するTruliooのようなサービスを使うのも一手である ・しかし、真贋を確認するために必要な情報の取得が発生するため、利用者に分かりやすい形での同意の取得を検討すべきである
idcon 15thで発表した認証プロバイダの紹介 - r-weblife
こんばんは、ritouです。 2/1(金)にidcon 15thが行われました。 内容の紹介については今回も @mad_p さんに甘えさせていただきます。 idcon15レポート - mad-pの日記 200人ぐらいの前で話すのはしんどいんだろうなと思いましたが、今までのidconでの発表と同じ程度には空気読まずにできたかなと思います。 自分の発表資料はここにおいておきました。 #idcon 15th ritou 2factor auth from Ryo Ito 後半で、追加認証に特化した認証プロバイダを作ってみた話をしました。 RPのURLとか載せるの忘れてたのでちょっと紹介します。 アカウント登録 https://2ndauth.openidconnect.info/ の Sign upから登録できます。 簡単なフローを紹介します。 1. Y/G/Fのいずれかを用いて確認済みメールア
2/1のidcon 15thで発表をするのですが、全体的に面白そうなので参加すべき - r-weblife
こんばんは, ritouです。 雪の日が続いてますね。あー、こっちだけですか。 2/1に15回目のidconが開催されます。 #idcon 15th ~ YConnect & Future of Authentication ~ - Identity Conference #idcon | Doorkeeper イベントのタイトルのとおり、ホストはヤフー株式会社です。 定員は200名です。まだ120人ぐらいは空いてます。 この機会にYConnectを知ろう たぶん一番最初はYConnectについて中の人からのお話が聞けます。 OAuth 2.0, OpenID Connectの実装の表の話から裏話まで聞けるかもしれないしそうで もないかもしれません(雑 下記の記事や仕様を見て予習していくと良いでしょう。 YConnect(OAuth2.0/OpenID Connect)をリリースしました!
OpauthでmixiとYConnect用のstrategyを作ってみた - r-weblife
こんばんは、ritouです。 PHPの話です。 この記事見てて思い出したのですが、 mixiへの認証を行ってくれる「OmniAuth-mixi」を公開しました - mixi engineer blog OpauthっていうOmniAuthのPHP版みたいなのがあって、【実験的に】mixiとYahoo! JAPANのYConnect用のstrategyを作ったりしたことを残しておきます。 Opauthとは Inspired by OmniAuth for Ruby, Opauth provides a standardized method for PHP applications to interface with authentication providers. Opauth as a framework provides a set of API that allows develo
Yahoo! JAPANのOAuth 2.0&OpenID Connect実装を試してみた! - r-weblife
こんばんは、ritouです。 今回のY!Jの新機能は気のせいじゃなさそうだ! ということで、今回のエントリは長いので気をつけてください。 何が起こった ここにいろいろ書いてあります。 http://developer.yahoo.co.jp/yconnect/ 名称はYConnect OAuth 2.0の仕様に準拠した OpenID Connectもサポート "準拠"と"サポート"の使い分けが気になりますがまぁ進めましょう。 OAuth 2.0 OAuth 2.0準拠といえばmixiですね。 YConnectでは2種類のClientからの利用を想定しています。 サーバーサイド クライアントサイド それぞれConfidential/PublicなClientのことですね。 早速登録してみました。 誰かも言ってましたが、redirect_uriの設定はいったん登録した後に編集しないといけないと
Qiita APIが第3者のアプリケーションに提供されるときにはOAuth 2.0で実装されることを願う - r-weblife
こんばんは、ritouです。 今日はTwitterでQiita APIにつっかかりそうになったのでその中で考えたことを残しておきます。 QiitaAPIを公開しました! - Qiita Blog Qiita API v2 documentation - Qiita:Developer Qiita APIの仕様に対する懸念点 - Togetter(10/10 22:18追記) はじめに思ったこと 個人の投稿の作成/更新/削除までさせるんだな さすがにその時はTokenを使うんだな Tokenはユーザーの識別子(Twitter/Github)とパスワード(Qiita上で設定)で取得か で、 なぜOAuthでやらないのか という感じです。 仕様確認 んで、TLで中の人じゃない人と話して仕様について以下のような指摘を受けた。 QiitaにログインするのはTwitter/GithubのOAuthであ
Yahoo! JAPANがワンタイムパスワードを実装したようです - r-weblife
こんにちは, ritouです. この前は気のせいかと思っていたのですがリリースされていたようです. Yahoo! JAPAN IDを守る「ワンタイムパスワード」がついに登場 - Yahoo! JAPAN Tech Blog ワンタイムパスワード(OTP) - Yahoo! JAPAN IDガイド スマートフォンからの使い方がブログで説明されているようですので、PC画面の方を試してみました。 ワンタイムパスワードの説明 さっそくログインして上記URLにアクセスします. すると説明画面が出てきました. ワンタイムパスワードは毎回メールで送る 確認済みメールアドレスのうちのどれかを設定できる PC/スマートフォンからのログインに対応 というように書いてあります. 名前にログインなんちゃらというネーミングをつけないところも新鮮! Cookieが普通に使える環境が対象ということでしょう. メール周り
Y!Jのイイねでポイントあげる方法 - r-weblife
おはようございます, ritouです。 http://web.valuetoss.yahoo.co.jp/valuetoss/promotion ここで説明する使い方も書いてあります。 そして、Y!ブログで使えるって書いてありました。 押してみたくなったので このブログの前身がY!ブログにあります。イイね! Web Life!!! - Yahoo!ブログ ということで、2009年3月ぐらいの"はてなダイアリーに引っ越します。"エントリにイイねを付けたいと思います。 じゃあ別のユーザーで 諸事情により、気づいたら私は2つのアカウントを持っていました。 長年のYBBユーザーとして以前500円受け取ったこともあるアカウント 社会人になった勢いで作ったアカウント 一人で複数アカウントが利用規約違反かと思いましたが利用規約には書いてないように見えました。 なにより2つ目のアカウントは某社に作れって言
OAuthなプラットフォームの中の人が椅子を投げたくなるアプリの実装 - r-weblife
こんばんは、ritouです. 世の中, OAuthの仕様に沿って提供されているAPIだらけです. モバイル端末で動作するアプリでも, そんなAPIを利用するものだらけです. OAuthなユーザーフロー アプリのOAuth実装となるとそれはそれはこまけぇことでいろいろあります. とりあえず, OAuthなプラットフォームを提供する側は以下のようなユーザーの動きを望んでいます. mixiと連携するボタンを押す 外部のブラウザが立ち上がる 未ログインの場合はログイン画面が表示されるが, 頑張ってHTTPS+ドメイン名とかを確認してログイン アプリによるリソースアクセスに対して同意 アプリに戻って連携完了 やや複雑なものに思えるかもしれませんが, OAuthなプラットフォームを提供している中の人たちからすると, アプリがID(Email)/PWなどを直接扱わないことで意図的な悪用, 意図しない漏え
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
