パスワードリセットに関する佐名木氏と徳丸の会話
tomokisanaki @tomoki0sanaki @ockeghem 盗聴可能な状態というかなり厳しい前提なので、URLを送る場合でも新パスワードを送ってもあまり変わらない気がします。盗聴可能という状態であれば、現実的には利用者タイミングでなく攻撃者タイミングでリセットは行われるだろうと思いますし・・・
非技術者のためのOAuth認証(?)とOpenIDの違い入門【2023年版】
昔から、「OpenIDは認証でOAuthは認可だ」などということが言われます。しかし、その言語の意味を取り違えている方が結構多い気がしています。「もうOpenIDなんていらね。OAuthだけでいいじゃん」というような言説がよく流れてくるのがその証拠だと思います。OAuth認証というのもその類ですね。 そこで、今日はOAuthとOpenIDの違いを考えてみたいと思います。 OpenIDは紹介状、OAuthは合鍵 まずはOpenIDの概要の復習です。「OpenIDは認証」という言葉の内容をまずは復習してみましょう。 「認証」とは大変広い言葉でいろいろな場面で使われますが、「OpenIDは認証」という使い方の時は、「OpenIDは、いま来ている人の身元を認証」(ユーザ認証)という意味です。図にすると図1のような流れになります。 この例では、有栖さんがお客としてサービス提供をしているサイトである伊
reCAPTCHAの無茶振りとその理由 - しろもじメモランダム
CAPTCHA(いわゆる画像認証)の実装の一つにGoogleのreCAPTCHAというものがあるが、今日の昼にこんなものに引っかかった。 ウムラウト付きのcaptchaとか微妙に難易度高いなこれw URL 2011-09-30 11:53:27 via Janetter2 @mashabow 私はbiſhopを出されたことがありますw bishopで通りましたが 2011-09-30 11:56:53 via Tween to @mashabow どうやらreCAPTCHAは、a–zの26文字以外のアルファベットも出してくるらしい。面白そうだったので、更新ボタン(矢印が巴形になっているボタン)を押しまくって変なものが出てこないか探してみた。 reCAPTCHAの無茶振り・初級篇 thouſand。上のツイートにも出てきた ſ はいわゆる長いsで、現代風に表記すれば thousand。古い本
iOSのUDID問題 | 水無月ばけらのえび日記
公開: 2011年8月27日16時25分頃 iOS5以降ではUDIDが段階的に廃止されるらしい、という話に対して、それでは困るという話が出てきて盛り上がっているようですね。 UDIDに依存する人々とたしなめる人々 (togetter.com)iOS 5で、開発者がUDIDにアクセスすることを禁止 (yebo-blog.blogspot.com)UDIDは端末ごとに固有で不変のIDなので、つまりはケータイIDと同じようなものです。ケータイIDの場合には以下のような性質があり、 全てのサイトに同一のIDが送出される (IDは秘密情報ではない)送出するIDを改竄することが難しい (キャリアのゲートウェイを通るため)後者の条件があるため、危険だと言われつつも辛うじて成立しています (それでも、キャリアのゲートウェイを通ってきたことを確認する必要があったり、さまざまな条件があります)。しかしiPho
Firefox、ログインの常識を変える「BrowserID」を発表 | エンタープライズ | マイコミジャーナル
Firefox web browser - Faster, more secure & customizable Webサイトへのログインに新しい流行を作るかもしれない興味深い技術がMozillaから発表された。Mozillaの見込みがうまくいけば、数年後にはこの方式でどのWebサイトにもログインできるようになる可能性がある。発表された技術は「BrowserID」と呼ばれている。 Webサイトにおけるログインというのは、利用するユーザにとっても、開発するエンジニアにとっても面倒なものだ。ユーザはサイトごとに異なるIDとパスワードを入力しなければならないし、開発側はログインシステムをプライバシーの保護にも考慮しながら開発する必要がある。 「BrowserID」はこの双方の問題を解決する。開発側は数行のコードをページに挟みこむだけでログイン処理が実装でき、ユーザはどのサイトでもまったく同じUI
PerlでTwitterのOAuthを使うサンプル - punitan (a.k.a. punytan) のメモ
自分用メモです。 いろいろなサイトを参考にしましたが、完全なコードが見つからなかったのでとりあえずリンクは省略します。 TwitterのOAuthClientを下記URLから設定 http://twitter.com/oauth_clients consumer_keyとconsumer_secretを取得する。 おおまかな流れ index.html からリンクで sample.pl にアクセスし、TwitterのOAuth許可用のページへリダイレクト。 OAuth許可用のページで許否を設定後、sample.pl で設定した callback_url (ここ重要)へリダイレクトされる(この場合はcallback.pl)。 callback.pl で oauth_token と oauth_verifier を取得し、updateを試みる。 成功であれば、ツイート先へ、失敗であればTwitt
404 Blog Not Found:tips - sshでパスワード無しログイン
2007年09月30日13:30 カテゴリTips tips - sshでパスワード無しログイン 以下に加えて、これも覚えておくといいかも。 odz buffer - SSH の接続を共有する パスワード無しの認証ファイルを作る $ ssh-keygen -d -f ~/.ssh/nopass-dsa -N '' または $ ssh-keygen -d -f ~/.ssh/nopass-dsa -N '' -C you@your.example.com -N ''がポイントです。 前者の場合、ssh commentは$USER@$HOSTになりますが、最近はDHCPでホスト名を決めちゃう場合も多いので、それがいやな場合は後者の方法で決め打ちするのがいいでしょう。 完了すると、~/.ssh/nopass-dsaと、~/.ssh/nopass-dsa.pubの二つのファイルが出来ます。前者は絶
Twitterブログ: ミッション: アプリ認証でのアクセス権
Twitter エコシステムには、数多くのサードパーティによるアプリケーションが登録されており、それらは Twitter 経験を強化するために設計されています。サードパーティアプリでは、ツイートを他のネットワークでも自動的に共有したり、ゲームプラットフォーム上で他のプレイヤーと連携したり、ブログ更新情報を瞬時にツイートしたりできます。 全てのサードパーティアプリは、あなたの Twitter アカウントへのアクセスをアプリに許可する、というユーザー自身によるアプリへの認証プロセスを経て実現します。この認証プロセスにおいて、より明示的な選択肢をユーザーに提供するための重要なアップデートを本日、アナウンスします。 アプリへのアクセス権コントロール 本日より、ユーザーがアプリに付与するアクセス権限をよりコントロールできるようになります。ダイレクトメッセージへのアクセス権を必要とするアプリは、既に認
w3cもケータイ認証には困惑している件 | [ bROOM.LOG ! ]
ニコニコPodder iPhone/iPod/iPad対応ニコニコ動画簡単インポートツール aggregateGithubCommits GitHubレポジトリでのコミット数をAuthor/期間別に集計します probeCOCOATek 新型コロナ接触確認アプリCOCOAが配布するTEKを表示・集計 以前Twitterでもツイートしてたんだけど一部誤解があったのでこちらでまとめてみる。 Global Authoring Practices for the Mobile Web (Luca Passani) http://www.passani.it/gap/ 上記をもって「w3cが個体識別番号に駄目出し」としていたんだけど、多少事情が違った。 実は上記には元になる対象文書がある。それがw3cのベストプラクティスだ。 Mobile Web Best Practices 1.0 http://
Twitterさん、OAuthのアクセス権限の細分化を! : akiyan.com
Twitterさん、OAuthのアクセス権限の細分化を! 2010-09-07 TwitterのOAuth認証を利用するサービスを作ってみたが... 一昨日の日曜日(9/5)に、クックパッドさんのオフィス提供による 『TFJ CodeCamp #2』 という1日開発合宿に行きまして、TwitterのOAuth認証を使ったサービスを初めて作ったんです。ユーザーのタイムラインを読んでいろいろやってくれるタイプのサービスを。で、実際OAuth認証するサービスを公開することを考えてみたんですが、どーにも無視できないリスクがありまして。 まず、TwitterのOAuth認証のアクセス権限レベルって、「全部のデータが読める」or「何でもできる」しかありません。今回のサービスはタイムラインさえ読めればいいのですが、OAuth認証としては全部のデータを読める要求しかできなくて、その認証をしてもらったならば
「OAuth認証が通ると、アプリ作者からはDMも何もかも見放題」という書き方は誤解を招く - aruto's diary
”なる4”の騒ぎの件で、「OAuthの危険性がわかっているのか?twitter関連アプリの作者は何でもできるんだぞ。たとえば、DMは見放題送り放題だ」という意見を良く見かけるのですが、誤解を招く表現なので、twitterクライアント作者の立場から捕捉しておきます。 (TwitterにおけるOAuth認証についての話です。本文の記述から判別できるとは思いますが、念のため。他サービスの場合、事情が異なってくる場合があります) 少なくともデスクトップで動作するアプリは、これらのリスクは(比較的)低い もちろんスパイウェア等は、この限りではありません。 OAuth認証の流れを図にしてみました(あくまで「おおまかな」図です。色々と、端折っています)。 うだうだと書かれていますが、大事なのは「アクセストークン」です。これさえ覚えてもらえれば、他は全て忘れてしまってかまいません。 twitter関連アプ
OAuthプロトコルの中身をざっくり解説してみるよ - ( ꒪⌓꒪) ゆるよろ日記
「おーおーっすっ!」 てなこって、TwitterのAPIのBASIC認証も6月末に終了してOAuth/xAuthに移行するというこの時期に、あらためてOAuthについて勉強してみたんですのよ? OAuth認証を利用するライブラリは各言語で出そろってきてるのでそれを使えばいんじゃまいか? というと話が終わるので、じゃあそのライブラリの中身はなにやってんのよってことを、OAuthするScalaのライブラリ作りながら調べたことをまとめてみました。 間違っているところもあると思うのでツッコミ歓迎です>< OAuthってそもそもなんなの? ものすごくざっくりというと「API利用側が、ユーザ認証をAPI提供サービス側にやってもらうための仕様」って感じでしょうか? BASIC認証の場合、API利用側が認証に必要なアカウントやパスワードを預かる必要があるわけです。悪意のあるAPI利用側が「なんとかメーカー
高木浩光@自宅の日記 - ユニークIDがあれば認証ができるという幻想
■ ユニークIDがあれば認証ができるという幻想 2008年のNTTドコモによるiモードID送信開始以降、ケータイWebの世界に「かんたんログイン」なるエセ認証方式が急速に広がり、その実態は「はてなのかんたんログインがオッピロゲだった件」のように惨憺たるものになっている。こうした欠陥サイトはかなりあると考えられ、すべてを調べて廻ることはできないが、いくつかのメジャーどころのサイトについては、IPAの脆弱性届出窓口に通報して、対策を促す作業をやっている。 各サイトの「かんたんログイン」に欠陥があるかどうかは、実際に他人のIDでなりすましログインしてテストすることは許されない(不正アクセス禁止法違反になる)ので、自分用のアカウントを作成して(会員登録して)、自分のIDについてテストするのであるが、誰でも会員登録できるわけでないサイトがかなりあるようで、そういったサイトはどうしたらよいのか。以下は
2008-01-24
更新通知メールの本文が長い場合は途中で改行するように変更しました 更新通知メールで本文が長い場合、行の途中(990バイト目)で改行されるように変更いたしました。 1行に含まれる文字数が多い場合に文字化けするといったことが報告されていましたが、こちらで改善されたかと思います。idea:17798でご指摘、ご提案いただきありがとうございました。 カウンターログの再集計が完了しました 1/22 より行っておりました、以下のカウンターログの再集計につきまして、本日完了いたしました。 過去2ヶ月分の「リンク元」( http://hatena.g.hatena.ne.jp/hatenacounter/20080122/1200986946 ) 1/21前後の「アクセス数」「ログ」を除く集計結果( http://hatena.g.hatena.ne.jp/hatenacounter/20080122/1
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Mojolicious session cookies
TwitterのOAuthの問題まとめ
Twitterのアカウントがハックされた人が外部アプリの作者にサービスの全停止を要求
mala on Twitter: "小池陸が信頼できない問題、俺にも責任があるだろうから補足。現時点でtwitterのOAuthはその人の発言のread/write権限を委譲するだけではなく、その人から参照出来る非公開情報へのアクセス権も移譲する。「俺はアプリ作者を信頼してる」だけでは本来不十分なのに周知されてない"
ブログが続かないわけ | ログイン処理が簡単と言い切れるか 〜 フィッシング対策も忘れずに
ライブドアブログ|無料で豊富な機能が充実