Kazuho@Cybozu Labs: RSS Feed と認証
« mod_webdev | メイン | フィードビジネス・カンファレンス リンク集 » 2005年12月08日 RSS Feed と認証 本日 (12月8日) フィードビジネス・カンファレンス (FBS カンファレンス) で RSS Feed の拡張について話しました(資料は後ほどカンファレンスのページで公開されると思います)。カンファレンスでは Podcasting を始めとするさまざまな RSS の拡張を紹介したのですが、本エントリでは、その中で説明した RSS Personalization について書きたいと思います。 I. 背景 RSS は今日、現在ブログやニュースといった、主に公開情報を配信するために使われています。しかし今後は、Eコマースや社内ソフトウェア、SNS といった認証やパーソナライゼーションが必要な分野でも使われていくだろうと考えられます。 現時点でも Basic
AOLのOpenAuthがチャレンジング過ぎて - snippets from shinichitomita’s journal
AOLのOpenAuthという認証APIがあります。YahooのBBAuthだったり、Google Account Authentication、日本で言うならはてな認証、livedoor Authなどに代表される、最近流行のサービスプロバイダによる認証APIの一種なんだと思います。ただ、少なくともAOL IDを使うことはほぼないから、アナウンスは聞いてもとりあえずスルーしてたのだけど、たまたま仕様を読んでいたらかなりびっくりした。なんと通信経路にJSONPを使って認証トークンをやり取りできてしまう。JSONPはパブリック情報の配信以外に使うな、ってのが常識になりつつあった人たちから見たら、これはたぶん衝撃。 でも、これがセキュリティ的にヤバいかっていうと、決してそうではなくって、OpenAuthではいわゆる「リファラによるサイト制限」を実装しているところがポイント。つまり、JSONPリク
snippets from shinichitomita’s journal - AOL WebAIM APIを注目すべき5つの理由
AOL OpenAuthがすごいとか、JSONPによる認証だとか騒いでたけど、もう去年の11月にAOL Web AIM APIが公開されていたということについて、なんで気づいてなかったのか。一年近くもこれを正当に評価してこなかったことは、恥ずべきことだ。 Web AIM APIは、以下の理由で画期的、あるいはちょっとネガティブな側から見れば問題児なAPIである。そして、これからWebサービスAPIを設計/開発する人、およびWebのセキュリティを考える人にとっては、少なくとも現在こういったWebサービスの実装が存在していることについては、ちゃんと注視しておかなければならない。 1. サーバレスでメッセンジャーアプリを構築できる これがとりあず一番目に重要なポイント。これはAPIリクエストとしてJSONP形式のバインディング(運搬方法)を採用していることによる。サーバレスでアプリが作れることの
Google Identity | Google for Developers
Sign In with Google SDKs Credential Manager for Android Sign In with Google for Web (including One Tap) Google Sign-In for iOS and macOS Industry standards Passkeys OpenID Connect Legacy Sign In One Tap sign-up/sign-in for Android Google Sign-In for Android Google Sign-In for Web Call Google APIs Authorizing for Android Authorizing for Web Authorizing for iOS/macOS Using OAuth 2.0 Share data with
ここギコ!: mixiのOpenID実装はタイアップソリューションにID認証を開放する前触れではないか
http://mixi.jp/issue_ticket.pl は OpenID server だったよ -知らないけどきっとそう。- openid.assoc_handle がついてるから、smartモードで最初に鍵の交換が必要だと思うんだけれど、塞がれてるのか… mixiがOpenID技術を内部的に使っているけど、鍵交換の口等が塞がれているので利用できないっていうことなんだけど。 これって、逆に言うと、その口をmixi側が個別に開けば、そのサイトとmixiとは、OpenIDで取り合えるってことだよね。 mixiは、無差別にオープンにするのではなくて、mixiにとって相乗効果で利益を生み出せるソリューションとの間で、個別に契約ベースでこの口を開いていくことを考えているんじゃないかなと思った。 単に自社のサブドメイン間のセッション情報取り合いとしては、OpenIDは一つの解かもしれないけ
あなたのサイトをOpenID対応にしている2行の意味 ― @IT
OpenIDが知られるようになり、自分のURLにおいたHTMLヘッダに、link rel="openid.server"……から始まる2行を追加することで、自分のURLをIDとして利用ができる、ということを知っている方も多いかと思います。今回はヘッダに書かれた2行が、OpenIDの仕様ではどのように定義され、利用されているのかを解説します(編集部) 第1回ではOpenIDの基礎知識を取り上げ、登場する用語について説明していきました。今回は動作の概要として、具体的にClaimed IdentifierがVerified Identifierとなるための手続きについて説明します。前回紹介した用語をもう一度復習しながら読んでみてください。 Claimed Identifierの宣言 まずはOpenIDの動作概要について説明します。End UserがどのようにしてConsumerに対して自分のCl
認証方式の多様化に対するアカウント・アグリゲーション・サービス「Agurippa」の今後の取り組みについて
エヌ・ティ・ティ・ビズリンク株式会社(”以下、「NTTビズリンク」という”、本社:東京都文京区、代表取締役社長:稲村美一郎)は、NTTコミュニケーションズ株式会社(本社:東京都千代田区、代表取締役社長:和才博美)が実施している次世代ネットワーク(NGN)のフィールドトライアル「ひかり認証サービストライアル」の協力企業としての参画を通じて蓄積した技術・ノウハウを活用して、NTTビズリンクが提供する『アカウント・アグリゲーション・サービス「Agurippa」(*1)』のセキュリティ強化と利便性向上に取り組んでまいります。 1..サービス提供状況について 「Agurippa」は、利用者が持っている複数の銀行やクレジットカード等の取引を一括表示することにより資産状況などをリアルタイムに一括管理できる便利なサービスとして2002年11月よりサービスを開始しました。 現在では、国内最大級のアカウン
NTT Com - ひかり認証サービス
2024年7月17日 AIレコメンドにより充実した旅体験を提案する実証実験 第2弾を実施 2024年7月17日 NTT Comとトランスコスモス、AI活用時代のDigital BPOソリューション領域において戦略的事業提携を締結 2024年7月16日 北海道内初の産官学連携による教職員向け生成AI合同研修会を開催(北海道) 2024年7月16日 太陽生命、デジタル技術を活用した営業端末を開発 2024年7月12日 【八丈島スマートアイランド化の推進】「八丈島公式観光アプリ」および「データ利活用基盤」の導入について 2024年2月29日 【注意】NTTコミュニケーションズを名乗る不審な電話にご注意ください(お知らせ)
はてなグループの終了日を2020年1月31日(金)に決定しました - はてなの告知
はてなグループの終了日を2020年1月31日(金)に決定しました 以下のエントリの通り、今年末を目処にはてなグループを終了予定である旨をお知らせしておりました。 2019年末を目処に、はてなグループの提供を終了する予定です - はてなグループ日記 このたび、正式に終了日を決定いたしましたので、以下の通りご確認ください。 終了日: 2020年1月31日(金) エクスポート希望申請期限:2020年1月31日(金) 終了日以降は、はてなグループの閲覧および投稿は行えません。日記のエクスポートが必要な方は以下の記事にしたがって手続きをしてください。 はてなグループに投稿された日記データのエクスポートについて - はてなグループ日記 ご利用のみなさまにはご迷惑をおかけいたしますが、どうぞよろしくお願いいたします。 2020-06-25 追記 はてなグループ日記のエクスポートデータは2020年2月28
「匿名性」と「ほめてほしい人だけ見て」の同居は難しいかも - www.textfile.org
その後、mixiやVoxなどのようにアクセス制限技術は発達してきたんだから、こういう思考を持っている人にはそこそこ住みやすくなったと思うんだけど、現状では特定個人を許諾しないといけないので匿名性が低い。だから、もっと匿名性の高い閲覧制限システムが望まれているのかもしれない。 ひっそり書いているんだから言及されても…という人 - ARTIFACT@ハテナ系 かのせさんによる。「私を誉める人だけサイトを見てほしい人」だけがアクセスしてくるWebサイト、というものの需要について。 ここには「認証」に関して重要なことが含まれているような気がする。自分にとってうざくない人だけにアクセスしてもらうためには、適切なフィルタリングが必要になるから、アクセス者の(広い意味での)匿名性の確保は難しくなる。人数が少ないうちにはうまいバランスがあり得るが、サイトのアクセス数が多くなって(あるいはそのサービス全体の
using API; - Twitterライクな「Timelog」API
今をメモする「Timelog」 「Timelog」は、今なにをしているのかをメモしていくだけのシンプルなサービスです。 参考記事: ナノティ、ブログとSNSを組み合わせて近況を一言で伝える「Timelog」 Twitter風のサービス。APIで提供されている機能は以下。 パブリックの発言を取得する 自分とメモフレンドの発言を取得する 自分宛のダイレクトメッセージを取得する 自分の詳細な情報を取得 自分のメモフレンドを取得 新しいメモの投稿 サンプルレスポンス: http://api.timelog.jp/public_msg.asp?cnt=20&fmt=rss Twitterと同じように一部のAPIはBasic認証がかかっている。JSONP対応。 ライブラリ: みのねっとぶろぐ - ダメぽ , TimelogAPI perlサンプル , ジロ第3ステージ 2007年5月25日追記:
高木浩光@自宅の日記 - ログイン成功時のリダイレクト先として任意サイトの指定が可能であってはいけない
■ ログイン成功時のリダイレクト先として任意サイトの指定が可能であってはいけない これが「脆弱性」として合意されるかどうかわからなかったが、脅威と対策をまとめてIPAに届け出てみたところ、受理され、当該サイト(複数)は修正された。以下、この問題がどういうもので、どうするべきなのか、はてなのケースを例に書いておく。 4月にこんな話が盛り上がりを見せていた。*1 ソーシャルブックマークユーザーのIDとPASSをいとも簡単に抜き取る手口, ホームページを作る人のネタ帳, 2007年4月6日 Bボタンフィッシングとは何? 記事の最後には私のブログでもおなじみの、はてなブックマークへ追加ボタンや、バザールのブックマークボタン(Bボタン)を設置しているブログを最近良く見かける。何気なく私はそれを利用したりしている。(略)『あれ?セッションがきれたのかな』と思い、自分のIDとパスワードを入れてログイン。
livedoor Authの運営終了のお知らせ
livedoor Authの運営終了のお知らせ 2021年3月末をもちまして、livedoor Authの運営を終了いたしました。 長きに渡りご愛顧をいただきまして、誠にありがとうございました。 livedoorホームへ戻る
おさかなラボ - 携帯電話のIPアドレス制限神話
珍しく間違った批判をしている高木先生@y-kawazの日記 但し、キャリア毎にIPアドレス制限をする限りにおいて この前提を満たすことが可能なのかどうかについて。 DoCoMo(i-mode) 本情報はあくまでも目安としてご参照ください。iモードセンタ以外から本IPアドレスでのアクセスがない事を保証するものではありません。 SoftBank 本情報はあくまでも目安としてご参照ください。ゲートウェイ以外から本IPアドレスでのアクセスがない事を保証するものではありません。 au(EZweb) 本情報はEZサーバ以外のホストによる上記表のIPアドレスでのアクセスがないことを保証するものではありません。 まるでコピp…いや判で押したような記述だ。つまり、この情報を元にIPアドレス制限を行なっても携帯電話からのアクセスであると保証されるわけではないということだ。これではいわゆる野良
携帯業界の認証事情 - y-kawazの日記
巡回サイトの一つである高木浩光@自宅の日記で以下のようなエントリーがあった。 高木浩光@自宅の日記 - 携帯電話向けWebアプリの脆弱性事情はどうなっているのか ここではいつもの高木氏の口調で、「携帯向けWEBアプリ開発では未だにGETパラメータでセッションIDを渡しており、それはこれまでも何度もいかんことだと言っている。」というような内容が語られている。 確かにWEB+DBの記事に対して高木氏が注釈で言っているように「IPアドレスによる制限に関して書いていない」という点に関してはWEB+DB側の落ち度だと思う。実際これを行わない限り端末IDやユーザID*1による認証が意味をなさなくなってしまうからだ。*2 但し、キャリア毎にIPアドレス制限をする限りにおいては端末IDやユーザIDは偽装不可能*3なので、むしろ他人でも入力可能なパスワード認証よりも強力な認証かもしれません。逆にいえばその認
高木浩光@自宅の日記 - 携帯電話向けWebアプリの脆弱性事情はどうなっているのか
■ 携帯電話向けWebアプリの脆弱性事情はどうなっているのか WEB+DB PRESS誌のVol.37に「携帯サイト開発 実践テクニック 2007」という記事が掲載されているのだが、そこにこんな記述があった。 端末認証 登録が必要なサイトの場合,利用する際にはログインが必要です.ID/パスワードを毎回入力するのでは,携帯の場合では特に面倒です. そこで携帯ならではの認証方法として,現在の端末では取得が容易にできる端末自体の情報(端末ID)を利用します. (略) セッション PCサイトでセッションを使う場合は,通常セッションIDをCookieに保存しますが,携帯ブラウザではCookieにデータを保存することができません.そこで携帯サイトでCookieを使う場合はURLにセッションIDを埋め込むことになります. セッションIDをGETで渡す セッションIDをGETで渡す場合は,PHPの設定ファ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
usingapi.com is available for purchase - Sedo.com
鰆缶 - はてなのアカウントでBasic認証より手軽にひそひそ話
携帯で端末ID詐称は可能かもしれない話
http://d.hatena.ne.jp/astronote/20070224