OAuthとOpenIDに深刻な脆弱性か--Facebookなど大手サイトに影響も
OpenSSLの脆弱性「Heartbleed」に続き、人気のオープンソースセキュリティソフトウェアでまた1つ大きな脆弱性が見つかった。今回、脆弱性が見つかったのはログインツールの「OAuth」と「OpenID」で、これらのツールは多数のウェブサイトと、Google、Facebook、Microsoft、LinkedInといったテクノロジ大手に使われている。 シンガポールにあるNanyang Technological University(南洋理工大学)で学ぶ博士課程の学生Wang Jing氏は、「Covert Redirect」という深刻な脆弱性によって、影響を受けるサイトのドメイン上でログイン用ポップアップ画面を偽装できることを発見した。Covert Redirectは、既知のエクスプロイトパラメータに基づいている。 たとえば、悪意あるフィッシングリンクをクリックすると、Faceboo
最新のOpenAMを導入してOpenID Connect ServerとClientを実装する(IdP編) | 天上TENGA唯我独尊
IdP・・・ログインシステムを提供するカッチョイー人のこと。 RP・・・自前でログインシステムを構築することをあきらめた賢明な愚民。 今回は手元にあるレンタルサーバ群でこいつらを構築することにする。本来であればIdP側はgoogleとかfacebookとかtwitterとかを使うと思っていただければ問題あるまい。今回はまぁ、タイトルどおりIdP側を構築してみる、というのが主旨なので。 フェデレーションプロトコルといえば、”SAML”か”OpenID”なのだが、次世代プロトコルであるOpenID ConnectはOAuth2.0のシーケンスで認証連携ができるというものだ。先に中身が知りたい人はどうぞこちらのリンク(OpenIDファウンデーション・ジャパン技術使用:和訳)へ。とっても読みやすい。 構築眺めてなんとなく雰囲気がわかればいいや、という人はどうぞこのまま読み進めてくれ。 ・Ope
事務局ブログ:「OpenID TechNight ~OpenID Connect Launch in Japan ~」 開催レポート
去る、2014/3/7(金) 株式会社ミクシィ様のラウンジをお借りして、 「OpenID TechNight ~OpenID Connect Launch in Japan ~」 を開催いたしました。 初めての方にもわかりやすい OpenID Connectの解説、米国法人 OpenID Foundaiton の崎村氏との @イギリスとの生中継による最新動向解説のほか、実際、OpenID Connectをご採用いただいている 企業様によるライトニングトークなど、盛りだくさんの内容でお届けしました。 おかげさまで、会場もお席が足りないほど多くの方にいらしていただき、 ご来場いただいた皆さんからも、 「充実した内容で、勉強になりました」 「もうすでに実ビジネスとして動いているんですね!」 「とてもわかりやすい内容だった」 と好評をいただきました。ありがとうございます。 当日ご紹介いたしました資
これからのネイティブアプリにおけるOpenID Connectの活用
タイトル: 『これからのネイティブアプリにおけるOpenID Connectの活用』 概要: 近年モバイルアプリケーションの多くはログインを必須としています。自社他社提供のWeb APIの利用にあたりクライアントサイド、サーバーサイドのそれぞれにおいて認証の仕組みを理解し、正しい認証の実装が求められます。 本セッションではユーザーとデバイスの2つの視点でモバイルにおける認証をご紹介します。 ユーザー認証のパートでは、OAuth 2.0ベースのID連携の問題点に触れ、その課題を解決するためのOpenID Connectの仕様について解説します。 デバイス認証のパートでは、スマートフォンやタブレットを識別するための仕様の解説と活用方法について解説します。 Developers Summit 2014 【13-C-5】 Feb. 13, 2014 URL: https://event.shoei
OpenID ABCで使われるSimple Web Discovery(SWD)とは - r-weblife
Simple Web Discoveryとは Simple Web Discovery (SWD) defines a HTTPS GET based mechanism to discover the location of a given type of service for a given principal starting only with a domain name. draft-jones-simple-web-discovery-00 - Simple Web Discovery (SWD) OpenID Auth 2.0(not OAuth 2.0)では、YadisというDiscoveryのしくみを利用しています。 今、策定されているOpenID ABCでは、新たにこのSWDによってOP Endpointやその他のLocationを取得するようになります。 http:
OpenIDをとりまくセキュリティ上の脅威とその対策 - @IT
前回はConsumerサイトを実際に作る際のプログラミングに関してお話ししましたが、今回はOpenIDに関するセキュリティについて考えてみます。 今回取り上げるトピックとしては、 などを段階的に説明していきます。IdPの構築方法を知る前にOpenIDプロトコルのセキュリティに関して熟知しておきましょう。 OpenIDプロトコルにおける通信経路のセキュリティ ここまで詳細に解説してきませんでしたがOpenID認証プロトコルのフェイズにおいて、どのようにセキュリティ上の安全性を担保しているかを解説しましょう。 まずはassociateモードを正常に実行するSmartモードの場合です。 ConsumerはユーザーからのClaimed Identifierを受け取ると、associateのキャッシュが存在しない場合は新規にIdPに対してassociateモードのリクエストを行います。第3回で「as
サン、OpenIDの正式サポートを表明 ― @IT
2007/05/08 米サン・マイクロシステムズは5月7日(現地時間)、URIをユーザーの識別IDとして使う認証システム「OpenID」を正式にサポートすると表明した。同社でWebテクノロジー関連のディレクターを務めるティム・ブレイ氏が自身のブログで明らかにした。米国サンフランシスコで開催中のJavaOne会場でブレイ氏はインタビューに応え、「認証の問題は複雑で解決するのが難しい。だからOpenIDによって、世界が根底が変わるというものではないが、認証にまつわる複雑な問題に対して小さな一歩を踏み出したことにはなる」とコメントした。 OpenIDはシングルサインオンの認証プロトコル。特定の組織がIDを管理するのではなく、あちこちのサーバに分散する形でIDを保存するのが特徴だ。実装が容易でシンプルであることや、プロトコルがオープンで特定のグループのコントロールを受けないなどの特徴によって急速に
OpenIDが熱狂的に受け入れられる理由 ― @IT
2007/04/23 3月15日、米国の全国紙USA Todayの「Tech」セクションの紙面をOpenIDに関する記事が飾った。その記事では、さまざまなインターネットサービスが利用されるようになる中、増加の一方をたどる「IDとパスワード」を記憶する義務からユーザーを解放する新しい技術としてOpenIDが紹介されている。 OpenIDは、URLをIDとして利用する認証プロトコルである。ユーザーはOpenID認証サーバが提供するIDをコンシューマ(OpenIDによる認証に対応したサービスプロバイダのこと)でのログインに利用することができる。コンシューマはOpenIDをもとに認証サーバを発見し、自身で認証する代わりにサーバへ認証を依頼する。ユーザー認証はすべて認証サーバ上で行われるので、ユーザーはOpenIDを1つだけ覚えておけば複数のサービス(コンシューマ)へログインできるようになる。つまり
Bridge Word
This shop will be powered by Are you the store owner? Log in here
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
TechCrunch | Startup and Technology News