AOLのOpenAuthがチャレンジング過ぎて - snippets from shinichitomita’s journal
AOLのOpenAuthという認証APIがあります。YahooのBBAuthだったり、Google Account Authentication、日本で言うならはてな認証、livedoor Authなどに代表される、最近流行のサービスプロバイダによる認証APIの一種なんだと思います。ただ、少なくともAOL IDを使うことはほぼないから、アナウンスは聞いてもとりあえずスルーしてたのだけど、たまたま仕様を読んでいたらかなりびっくりした。なんと通信経路にJSONPを使って認証トークンをやり取りできてしまう。JSONPはパブリック情報の配信以外に使うな、ってのが常識になりつつあった人たちから見たら、これはたぶん衝撃。 でも、これがセキュリティ的にヤバいかっていうと、決してそうではなくって、OpenAuthではいわゆる「リファラによるサイト制限」を実装しているところがポイント。つまり、JSONPリク
認証情報の受け取りにJSONPを利用する - snippets from shinichitomita’s journal
これ、ほんとうにだめなのかな? http://kokogiko.net/m/archives/002062.html 2007年09月07日 kazuhooku kazuhooku security 実装みてみないとわかんないけど、危ない橋のにおい。別のガジェットからiframeされたらどうなるのとか、Consumerの身元をどうやってユーザーに提示するの、とか はてなブックマーク - ここギコ!: MappletやiGoogleのガジェット等でOpenIDやはてな認証等を使う方法を思いついた もしConsumerの身元保証が難しいというのがネックなら、自前サーバとmapplet間はServer to Server でやるのではなく、JSONPをつかってフロントで情報を渡すというのは、どうか。 受け渡しをフロントでやることで、正当なConsumerかどうかをHTTPリファラレベルでチェック
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
