XAuth is a lot like democracy: The worst form of user identity prefs, except for all those others that have been tried (apologies to Churchill). I've just read Eran's rather overblown "XAuth - a Terrible, Horrible, No Good, Very Bad Idea", and I see that the same objections are being tossed around; I'm going to rebut them here to save time in the future. Let's take this from the top. XAuth is a
WebOS Goodies へようこそ! WebOS はインターネットの未来形。あらゆる Web サイトが繋がり、共有し、協力して創り上げる、ひとつの巨大な情報システムです。そこでは、あらゆる情報がネットワーク上に蓄積され、我々はいつでも、どこからでも、多彩なデバイスを使ってそれらにアクセスできます。 WebOS Goodies は、さまざまな情報提供やツール開発を通して、そんな世界の実現に少しでも貢献するべく活動していきます。 Google 検索はどんどんパーソナライズが進んでいますが、それに伴ってプライバシーへの懸念も大きくなっています。検索キーワードはそれ自身がプライベートな情報ですし、履歴やスターの情報なども含めれば、漏れた時のダメージは Amazon おすすめ商品の比ではありません(笑)。 そのような状況に対応するため、 Google が試験的に SSL で暗号化された Goog
モバイルフォースクエアの開発初期に、OAuthでfoursquareの認証をやろうとしていた時に試した結果です。手元にあったAU,docomoの端末で確認しています。 AU(W61CA)でfoursquareのOAuthをやってみた ログイン画面 承認画面 日本語文字化け… 文字化け&Denyが押せないが、動作はOK! docomo Cookie対応機種(N-07A)でfoursquareのOAuthをやってみたログイン画面 承認画面 デザインは崩れるが、動作はOK! デザインは崩れるが、動作はOK! docomo Cookie非対応機種(SH704i)でfoursquareのOAuthをやってみたログイン画面→表示が崩れ、ログインボタンを押しても同じ画面が繰り返し表示されるだけ…。 ※当時はログインできていた記憶が…、サーバ側の実装が変わったかもしれないです まとめCookie対応機なら
The purpose of this document is to summarize security issue CVE-2009-3555 (a man-in-the-middle vulnerability in the TLS/SSL protocol) which applies to SSL/TLS/https/etc., to describe what action has been taken in Mozilla, and to describe what action other parties should take. Background In 2009, a flaw was discovered in the SSL/TLS protocol which is widely used in Internet applications, for exampl
パスワードを忘れちゃった時などに。 Firefox3.5+, Safari4+, Google Chrome, Opera10.10+ で動きます。IE9でも動くかもしれません 76byte javascript:document.querySelector("input[type=password]").type="text";void 0
my name's isaiah. i run YourHead Software. we make Stacks and other nice things. xAuth is a new twist on the OAuth athentication system. It allows desktop applications to use the OAuth with and alternate workflow. The new flow is specifically designed for desktop and mobile and does not require that the applicaton open a web browser. 1. xAuth isn’t for everyonexAuth was designed specifically to im
基本は喰ってるか飲んでるかですが、よく趣味でカラオケ・PKI・署名・認証・プログラミング・情報セキュリティをやっています。旅好き。テレビ好きで芸能通 少し前にウェブブラウザがHTTPS通信する際のCipherSuiteを調べてみようと思って表を作ってありました。今日、ちょっと時間があったので対象ブラウザを新しいものにして表を更新したので、公開しようと思います。 以下のブラウザについて調べています。 Microsoft Internet Explorer 8.0 / Windows XP SP3 Microsoft Internet Explorer 7.0 / Windows Vista Firefox 3.6 / Windows XP SP3 Firefox 3.6 / Windows Vista Opera 10.10 / Windows XP SP3 Opera 10.10 / Wi
はてブiPhoneアプリでログインしてはいけない を読んで。 もしかしたら開発者じゃない人には UIWebView の事ってあんまり知られてないんじゃないかなあと思ったので書いてみます。 PCとかのソフトでもそうなんでしょうけど、野良ブラウザアプリを使ってる場合は、いま見てるページが本物かどうかを見分ける方法は無いです。 iPhoneアプリの中には URL を入力してウェブページを表示するいわゆるブラウザアプリが多くありますが、ブラウザアプリに限らず、ウェブページを表示する場合は UIWebView というUIコンポーネントを利用してまして、Safari と同じような表示が簡単に出来ます。この UIWebView には単にHTMLページを表示するだけの機能しかなく、表示中のページの URL を画面に表示する機能は存在しません。 なもんで、アプリ内にアドレスバーっぽいものが出てても、それが本
At last. What started as an "I need an overview of best practise in SSL/TLS configuration" type of idea, ended in a 3 month code, reverse engineer and writing effort. I really hope this comes in handy for you and was worth the effort. This is the "Release candidate" version of the paper, should no errors be found it will be the final version. What SSL/TLS configuration is state of the art and cons
Cross-Origin Resource Sharing (CORS) is a mechanism that uses additional HTTP headers to tell browsers to give a web application running at one origin, access to selected resources from a different origin. A web application executes a cross-origin HTTP request when it requests a resource that has a different origin (domain, protocol, or port) from its own. An example of a cross-origin request: the
$200K 1 10th birthday 4 abusive ads 1 abusive notifications 2 accessibility 3 ad blockers 1 ad blocking 2 advanced capabilities 1 android 2 anti abuse 1 anti-deception 1 background periodic sync 1 badging 1 benchmarks 1 beta 83 better ads standards 1 billing 1 birthday 4 blink 2 browser 2 browser interoperability 1 bundles 1 capabilities 6 capable web 1 cds 1 cds18 2 cds2018 1 chrome 35 chrome 81
First of all, here's the root certificate to be used for testing - import this into your client (at least temporarily) to get rid of warnings about an unknown certificate issuer. Unfortunately, your client [Hatena::Crawler/0.01] did not send a TLS server name indication extension (RFC 4366) in its ClientHello (negotiated protocol: TLSv1), so you're probably getting warnings about certificate name
基本は喰ってるか飲んでるかですが、よく趣味でカラオケ・PKI・署名・認証・プログラミング・情報セキュリティをやっています。旅好き。テレビ好きで芸能通 Black Hat USA 2009でDan Kaminskyがタイトルはよくわかんないんだけど、SSLサーバー証明書関連で講演してちょっと話題になっているそうだ。 最初読んだときは(MD2やMD5の証明書の問題とからめて本人も混乱してるんじゃん?と思うような記事を書いちゃうひとに騙されて)攻撃方法がよくわかんなかったので、釈然としないままでいたんだけど、わかった〜〜〜と思ってブログに書こうかなぁと思いつつも、忙しくて時間がとれなくて、もうFireFoxから修正(3.5.2)が出ていた。 今流れている文章も誰のどこが悪いのか歯切れの悪い文章が多いために、すっきりしないので、ちょっと整理しようと思う。 NULL証明書攻撃 SSLサーバー証明書は
DoCoMoのこの夏モデルから、iモードブラウザ2.0というより高機能なiモードブラウザが搭載されるようになりました。 CookieやCSS,JSなど、大きな違いがありますので、実際に実機で確認をしてみます。 端末は、N-06A を使用します。なんか、発売停止なんてなってますが。。 Cookie まずは、Cookieについて。 以前、以下のような調査をしたことがあったので、同じ調査をしてみました。 auのSSLでのCookieの挙動がおかしい - maru.cc@はてな au,SoftBankでSSLでCookieセッションを使用する場合の問題点 - maru.cc@はてな 結果は、問題なく使えます。http<->httpsでの動作、secure属性の挙動も問題ありません。 これを使えば、Cookieセッションでセキュアなサイトがちゃんと作れそうです。 setcookie()の httpo
Firefoxメモリコラプション脆弱性 2009年07月14日22:42 ツイート sean_sullivan ヘルシンキ発 by:ショーン・サリバン 完全にセキュアなブラウザなど一つも無いが、今日、この事実を示すさらなる証拠がもたらされた。任意のコード実行を可能にするFirefoxエクスプロイトが登場したのだ。現行バージョンのFirefox(3.5)が影響を受けるが、より以前のバージョンも影響される可能性がある。 Firefox 3.5のこの脆弱性は、JavaScriptコード処理を行う際のエラーに起因する。詳細については、我々の脆弱性情報を参照して頂きたい。SBerryが発見したこのエクスプロイトは、昨日、よく知られたエクスプロイト・サイトに投稿された。 Browsing Protectionリサーチャーの一人であるヨシュアが、エフセキュアのExploit Shieldテクノロジに対
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く