署名付きクッキー / Omniauth Strategyを書く / GitLabで独自認証
メリークリスマス! traPの鯖管kazです。 この記事はアドベントカレンダー2016 25日目の記事……なんですが、 「曲がりなりにも東工大の技術系サークルであるtraPのアドベントカレンダー企画にしては技術系の記事少なくない!?」 みたいな声が聞こえたり聞こえなかったりしたので、技術ネタです。 シングル・サイン・オンにあこがれて ちょっとだけ、前座にお付き合いください。 GitLab うちのサークルでは、複数人開発プロジェクトの全てでgitを使っているんですが、 そのリモートリポジトリをホスティングするためにGitLabのCommunityEditionを使っています。 ほかにも これはちょっと(未来の新入部員に向けた)宣伝というか、どうでもいいんですけど、 他にも部内SNSだとか、ファイル共有用にownCloudだとか、ドキュメント共有用のcrowiだとか、 このブログもそうですし、
トークンの置き換えに注意! - くらラボ研究記録
こんばんはーです、ブログはやっぱり続かないなーって実感のくらです。 ここまで2回にわけてOAuth 2.0のAuthorization Code FlowとImplicit Flowの基礎をざっくりお話ししました。今回は「トークンの置き換え」についてお話ししたいと思います〜 トークンの置き換え攻撃って? みなさんが毎日つかっているiPhoneやAndroidのアプリですが、アプリの目的には不要な情報の収集、IDやパスワード抜き盗りなど悪質なアプリがおおくなってきているらしいです。それらの中にはOAuthを悪用してトークンを置き換えて攻撃するアプリもでてきてしまっているようです。悪意をもった開発者が悪いアプリで取得したユーザさんのトークンを悪意のないアプリのアクセストークンと置き換えて認証をいつわっちゃったりするんです。そんなコトされたらこまっちゃいますよね。では、その方法がどんなものなのか
OAuth 2.0 Implicit Flowをユーザー認証に利用する際のリスクと対策方法について #idcon - r-weblife
おはようございます、ritouです。 今回は、一部で先週話題なりましたOAuth 2.0のImplicit Flowについてのエントリになります。 (2012/2/7 いろいろと修正しました。) 単なる OAuth 2.0 を認証に使うと、車が通れるほどのどでかいセキュリティー・ホールができる | @_Nat Zone Thread Safe: The problem with OAuth for Authentication. 今回は以下の内容について整理したいと思います。 OAuth 2.0のどの機能にセキュリティホールがあるのか 誰が攻撃者になれるのか 対策 OAuth 2.0 Implicit Flowとは OAuth 2.0ではサードパーティーアプリケーションが保護リソースへのアクセス権限を得るためのいくつかのフローが定義されています。 (仕様中ではFlowやGrant Type
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
