"OpenID: Single Sign-On for the Internet" を読んだ (1) - 日向夏特殊応援部隊
BlackHat USA (2007) で Eugene Tsyrklevich さんと Vlad Tsyrklevich さんがプレゼンした資料がオンラインで見れます。 OpenID: Single Sign-On for the Internet (PDF) で既に日本語でも紹介記事があります。 自分でも読んでみたので、逐一解説してみたり考えを書いてみたいと思います。 幾つかあるんで一個ずつピックアップしていきます。 Downloading an OpenID URL 通常 RP では OpenID を使った認証を提供する際に、ユーザー向けに何らかのフォームを用意します。ここは本来、そのユーザーが所有する Claimed Identifier あるいは OP Identifier を入力するべきフォームですが、そうではない文字列を入力した際に問題があるかもよと言う話です。 まぁこれはパ
OpenID に対する中間者攻撃のデモ - 日向夏特殊応援部隊
いわゆる man-in-the-middle attack って奴ですが精巧にデモを作った人がいました。 デモサイト 紹介記事 予め言っておきますが、デモサイトはフィッシングのデモなので素人は正しいパスワードは決していれない事。あるいは使わない事。*1 試したけど、idtheft.fun.de と言うドメインは変わらない物の、入力した Identifier に応じた OpenID Provider そっくりの画面が出て来た。myopenid.com, claimid.com で確認しました。 素人さんはこれは気づかないんじゃないのかなー。 ちなみに以前紹介した Sxipper の Firefox 拡張 を使えば見事にフィッシング検出されました(ぉ ちゃんと読んで無いと先に断っておきますが、紹介記事は多分パスワード認証よりCardSpaceみたいのがいいよねって感じを暗に訴えてるように思える
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
