セッションIDのみの認証はセキュリティレベルが低いのか - 岩本隆史の日記帳(アーカイブ)
はてなブックマークモバイル版の脆弱性 昨日、はてなブックマークモバイル版の脆弱性に関する報告が公開されました。 「はてなブックマーク モバイル版」の脆弱性を利用した不正アクセスに関するご報告 - はてなブックマーク日記 - 機能変更、お知らせなど キャッシュ機構の不備により、セッションID付きのURLを含むコンテンツページがキャッシュされてしまい、悪意のあるユーザが他人になりすます(セッションハイジャック)ことができたというものです。 セッションIDのみの認証なんてありえない? 報告記事に対する下記のブックマークコメントを目にしたとき、私は違和感を覚えました。 セッションIDのみの認証なんてありえない。そもそもセッションIDは認証に使うべきではない。せめて各種完了処理のときくらいはUID(NULLGWDOCOMO)もしくはFOMAカードor端末の製造番号(icc〜、ser〜)を使って認証し
高木浩光@自宅の日記 - 対策にならないフィッシング対策がまたもや無批判に宣伝されている, 追記(26日)
■ 対策にならないフィッシング対策がまたもや無批判に宣伝されている 「PCからオンライン取引、ケータイで認証」−ソフトバンクBBの新発想・認証サービス, Enterprise Watch, 2007年9月20日 「同サービスはまったく新しい認証の手段だ。暗号化技術にも依存しないので、クラッカーとのいたちごっこにもならず、これまでの認証の問題を一挙に解決することが可能。本当の意味でIT革命が起こせると期待できるサービスだ」と意気込みをあらわにしながら説明を行った。(略) 「PCを標的にしたハッキングやDoS攻撃を受ける可能性がゼロになる」(中島氏)。また、偽サイトとはシンクロしないため、フィッシング詐欺を100%防止することも可能だ。 ソフトバンクBB、携帯活用認証システムでWebサイトログイン対応に, ケータイWatch, 2007年9月20日 今回の新機能は、安全・簡便・低コストで、そう
NRI、「OpenStandiaソリューション / 統合ID管理」を提供 | IT Leaders
本サービスは、要件定義、サーバ構築、および導入後の障害対応も含めた保守サポートといったすべてのフェーズにおいて、NRI OpenStandiaのサポート窓口がワンストップでサポートする。同社は、今後もオープンソース・ワンストップサービス「OpenStandia」を通じて、企業の情報システムにおけるオープンソースの活用を推進し、今後3年間で50社への本サービス導入を目指す。 OpenStandiaには、すでにOpenSSOを活用したシングルサインオン・ソリューションがあり、企業内のID管理の異なる複数の情報システムにおいて、一度だけの認証で複数システムを利用できる仕組みを実現している。今回のサービスは、ユーザーの利便性を考慮したシングルサインオンに加え、システム管理者の負荷を軽減する、統合ID管理が可能になる。さらに、オープンソースのOpenSSOと低コストなLDAP Managerとを連携
Authentication and Authorization - Apache HTTP Server Version 2.2
Authentication is any process by which you verify that someone is who they claim they are. Authorization is any process by which someone is allowed to be where they want to go, or to have information that they want to have. For general access control, see the Access Control How-To. Related Modules and Directives There are three types of modules involved in the authentication and authorization proc
社内システムとGmailにシングルサインオン、日本HPなど3社が提供
日本ヒューレット・パッカード、エクスジェン・ネットワークス、サイオステクノロジーの3社は2009年4月8日、Gmailをはじめとするグーグル製SaaS「Google Apps」のIDを社内システムのIDと統合管理するソリューションを発表した。社内システムと同様に「Google Apps」にシングルサインオンできるようになる。ID/パスワードの管理負荷やセキュリティリスクが減る。同日から提供を始める。 日本HPのシングルサインオン・ソフト「IceWall SSO」とエクスジェンのID管理ソフト「LDAP Manager」、サイオスのGoogle Apps用シングルサインオン・ソフトの連携で実現する。サイオス製品だけでも社内システムとGoogle Appsへのシングルサインオンは可能だが、その場合はIDとパスワードをすべて統一する必要があった。このため企業への導入は現実的ではなかった。そこでシ
TechCrunch | Startup and Technology News
Welcome to Startups Weekly — Haje‘s weekly recap of everything you can’t miss from the world of startups. Sign up here to get it in your inbox every Friday. Well,…
日本HPとNTTコム、社内システムのIDでSalesforce CRMが使えるSSOサービス
日本HPとNTTコム、社内システムのIDでSalesforce CRMが使えるSSOサービス:Force.comからも利用可能に 企業内の情報システムにログインすると「Salesforce CRM」も使えるようになるシングルサインオンサービスを日本HPとNTTコミュニケーションズが共同で提供する。 日本HPとNTTコミュニケーションズは、1度の認証で、異なるシステムやアプリケーションにアクセスできるシングルサインオン(SSO)のサービスを共同で提供すると発表した。企業内で使う業務アプリケーションにアクセスするIDやパスワードを使って、セールスフォース・ドットコムのCRM(顧客関係管理)アプリケーション「Salesforce CRM」にアクセスできるようになった。 同サービスは、日本HPのSSOサービス「HP IceWall SSO」やNTTコミュニケーションズのSaaS(サービスとしてのソ
国内最大のゲーム情報ポータル「ワザップ!」が「はてなID」に対応
株式会社イーストビーム(東京都渋谷区、社長:マイヤー瓜生 ティモ、以下:イーストビーム)は、イーストビームが運営する国内最大のゲーム情報ポータル「Wazap!(ワザップ!)」が「はてなID」に対応した事を発表致しました。 これにより「はてなID」をすでに持っているユーザーは、ワザップ!に会員登録することなく、ワザップ!へログイン出来るようになりました。基本的にはワザップ!の全機能を利用することが出来ますが、メールアドレスが必要とされる機能(各種アラート機能など)を利用する場合は別途、ワザップ!に登録されている情報の補完が必要になる事があります。 今後ワザップ!はOpenIDを初め、各大手ポータルサイト・SNSのIDに対応致すつもりです。 【ワザップ!について】 http://jp.wazap.com/ ゲーム裏技・攻略など、あらゆるゲーム情報の交換ができるコミュニティサイトで、ゲーム情報ポ
mixi にアップロードした画像ファイルが認証なしに閲覧可能な件について - 葉っぱ日記
先日書いた、mixi の画像の話の詳細。IPAとのやりとりの抜粋です。 mixiのメインコンテンツは mixi.jp ドメインで提供されているけれど、画像は img1.mixi.jp ドメインで提供されているため、正常に Cookie が飛ばないといったあたりがネックになって、なかなか改善に至らないのではないかと思います…が、いろいろやり方はあるだろうにと思います。 2005年5月9日 IPAへWebアプリケーションの脆弱性として届け出。 []2. 脆弱性関連情報[] 1) 脆弱性を確認したウェブサイトのURL [] ソーシャル・ネットワーキングサイト [mixi(ミクシィ)][] []http://mixi.jp/[] 2) 脆弱性の種類 mixiに参加していない人への画像の表示、非公開画像の公開 3) 脆弱性の発見に至った経緯 []ソーシャルネットワーキングサイト mixi.jp では
サードパーティー製認証モジュール!
サードパーティー製認証系モジュールの探し方 「第2回:組み合わせ可能な認証系モジュール(http://www.thinkit.co.jp/article/120/2/)」では、Apacheの認証系モジュールの仕組みを紹介しました。フロントエンドを担当するモジュールと、バックエンドを担当するモジュールの組み合わせで、バリエーションに富んだ認証方式を実現でき、その一例としてBasic認証や、DBMファイルを使ったユーザー情報管理、匿名ユーザー(anonymous)でのアクセスなどを取り上げました。 「第2回:組み合わせ可能な認証系モジュール(http://www.thinkit.co.jp/article/120/2/)」で取り上げた認証系モジュールはApacheに標準で採用されているモジュールでしたが、今回はサードパーティー製モジュールを取り上げ、概要やインストール方法を紹介します。 認証系
組み合わせ可能な認証系モジュール
Apache 2.2で変更された認証モジュールの仕組み 「第1回:モジュールのインストール!(http://www.thinkit.co.jp/article/120/1/)」の後半で、Apacheの認証系モジュールについてふれました。認証系モジュールはApache 2.2で大きく変更された点の1つです。Apache 2.0で使用できたモジュールファイルや設定内容でも、2.2ではそのまま使用できない場合があります。また2.2では役割や機能でモジュールを組み立てられるよう改善されています。 今回は最初にBasic認証のインストールを例に、3タイプのモジュールの基本的な役割を解説します。後半ではモジュールの組み合わせで認証システムのバリエーションを増やす方法を紹介します。 Apacheで利用な可能な認証方式には、「ホストベース認証」と「パスワード認証」があります。ホストベース認証はIPアドレス
MODULE.JP - ユニバーサルなHTMLフォーム認証
前から作ろうと思いつつ放置していたApache側でHTMLフォーム認証を行うモジュールを書いてみた。これでPHPだJava ServletだCGIだ関係なく、共通でフォーム認証が利用できます。 というわけでmod_auth_formモジュールです。mod_auth_form-0.0.1.tar.gzこれをApacheに組み込むと、静的なHTMLや画像から、動的なCGI・PHP・Java Servletなどなど、Apacheが取り扱う全てのコンテンツに対してHTMLフォームベースのユーザ認証を行うことができます。 ユーザの情報は普通のBasic認証の場合と同じようにhtpasswdコマンドのパスワードファイルを使用します。なので既存のBasic認証からの移行も簡単。設定例はこんな感じです。 <Directory /path/to/directory> AuthForm On AuthForm
2008-09-04
railsでユーザ認証を行うためのモデルを実装してみました。データベース上では、パスワードは平文ではなく、MD5で暗号化したかたちで格納されるよう実装しました。 モデルの生成 railsのgenerateスクリプトでUserモデルを生成します。 % ruby script/generate model User テーブル定義と生成 生成されたmigrationのソースにテーブルの定義を行います。入力される平文パスワードのカラムは用意せず、暗号化したパスワードのカラムとsaltのカラムを用意します。 class CreateUsers < ActiveRecord::Migration def self.up create_table :users do |t| t.column :name, :string, :limit => 32, :null => false t.column :c
Rails 2.2の国際化(i18n)を試す(2) restful_authentication #1 - N7 - sandbox
前回のエントリーでRails2.2の国際化(i18n)フレームワークを試しましたが、今回は実際に国際化フレームワークを用いて、ユーザー認証(ログイン)機能を日本語化してみます。 前回までの記事一覧 Rails 2.2の国際化(i18n)を試す(1) イントロダクション restful_authenticationプラグインの取得 まず、restful_authenticationをgitで取得します。 technoweenie's restful-authentication at master http://github.com/technoweenie/restful-authentication/tree/master もし、gitがシステムに入っていない場合、MacPortsで導入しておきます(Mac OS Xの場合)。 $ sudo port install git-coreプロ
シングルサインオン(Single Sign On)の仕組みとSSOサーバの役割 - Rubyで販売管理
あまり良く分かっていなかったシングルサインオン(以下SSO)についてのまとめ。 そもそもSSOとは、IT用語辞典によると ユーザが一度認証を受けるだけで、許可されているすべての機能を利用できるようになるシステム。 のことだ。つまり、 図1のようにアプリが1つの場合には不要である。また 図2のようにアプリが複数でも認証情報(Session)を共有する場合には、SSOサーバは必要ない。各アプリの依存度が高い場合や、負荷分散のための複数プロセス構成のケースではこれで充分。そもそもRailsを使うのならSessionの内容はCookieのなかだし(デフォルトでは)。 独立性の高い各アプリの間で認証情報を共有したい場合にSSOサーバは初めて有効となる。 ここで認証画面を各アプリで持つことも可能であるが、SSOサーバに任せた方が実装の手間も省けるし、セキュリティ的にもパスワードを取得するサーバが一箇所
Mozilla Re-Mix: フォーム記入情報を時間軸で遡ってリカバリーできるFirefoxアドオン「Lazarus: Form Recovery」
ブログやコメント、BBSなど、Webページ上のテキストフォームにテキストを入力するような機会は多いものです。 こうした記入時に、もし、FirefoxやPCがフリーズ・クラッシュなどした場合、既に記入済みのテキストはオジャンになってしまい、入力したテキストが長ければ長いほど、その喪失感は大きいものです。 Firefoxには、このような場面で、入力した情報を復旧するようなアドオンがいくつかありますが、その中でも、強力なものの一つが「Lazarus: Form Recovery」です。 「Lazarus: Form Recovery」は、Firefox上でフォームに入力した各種テキスト情報を、毎回自動的にバックアップし、上記のような入力情報消失時に、簡単に復旧することができるアドオンです。 アドオンをインストール後、フォーム部で右クリックすると、以下のように[Recover Form]というメニ
ログインを優れたものにする11の方法 | エンタープライズ | マイコミジャーナル
SitePoint - 11 Expert Tips For Enhancing The User Login Process WebサービスやWebアプリケーションをローンチしたときは開発者もやる気に満ち溢れ、初期ユーザからもいいフィードバックがもらえる。ユーザは自分の意見がストレートにサービスに反映されることを嬉しく感じ、デベロッパも開発に手応えを感じ熱心に改善する。しかし時が半年も経つといつのまにかユーザが遠のいている。よくある話だ。 Webサービスは導入までの敷居が低いため、ユーザはちょっとでも不便なUIがあると使う気が失せて別のサービスを探すようになる。たとえばそれがログイン部分であったら致命的だ。ログインしてもらわないことにはまず使ってもらえない。ログイン処理はセキュリティであったりユーザ体験であったりもっとも重要な部分だ。 Gary Barber氏がSitePointに11
Facebook Connect をブログにセットアップする簡単チュートリアル動画 - snippets from shinichitomita’s journal
すばらしくわかりやすい。 HOW TO: Add Facebook Connect to Your Blog in 8 Minutes via How to Add Facebook Connect to Your Blog in 8 Minutes – Adweek HTMLにタグを書くだけでできる。この簡単さはヤバい(実際は JavaScript 書いてるところも結構あるけど、まあ無視)。 注意すべき点として、上記の作業だけでは実は何も認証になってない、ということ。なぜって、アイデンティティ情報の取得になにもサーバを絡ませてない(ブラウザ <=> Facebookのダイレクトクロスドメイン通信)ので、コメントのポストで送られてきた情報が正しいかどうかなんて検証のしようがない。なのでコメントをFacebookの友達だけに限定したい、とかいった用途に使える訳じゃない。あくまで名前入力を簡単
オンライン匿名性の終焉--単一IDが与える影響を考える
今、われわれはインターネットの新しい時代を迎えようとしているようだ。匿名で顔のないIPアドレスの代わりに、ソーシャルコンピューティングや変化し続けるテクノロジによって、「現実」世界と「仮想」世界の境界が不鮮明になってきている。Web 2.0は、あるサイトでは写真を投稿し、別のサイトではStumbleUponでブックマークを登録し、さらにTwitterやDiggに参加するなど、自分の生活の断片をネット上で共有することで、自分のアイデンティティが部分的に少しずつ公開されて行く世界を造り出した。しかし、ソーシャルメディアの登場は、新しいウェブを急速に形作る変化の1つにすぎない。 近い将来のウェブでは、もはや匿名性は存在しない。匿名性はすでに存在しないという主張も成り立つかもしれないが、それは完全に正しいわけではない。今でも、例えばTwitterなどのソーシャルネットワークサイトで、他人の名前やブ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
PAM認証
