FacebookやGoogleのOpenIDを使ったログインのぜい弱性に対処するには
OpenID およびOAuthは、「Facebookでログイン」「Googleで認証」などのボタンを使ってログインや認証を行うときに使われるプロトコルです。これを悪用可能とするぜい弱性がみつかりましたが、慌てる必要はありません。対処法を見ていきましょう。 Heartbleedバグの発見からまだ数週間ですが、私たちインターネット民は、またしても大規模な影響が見込まれ修正の難しい問題に直面することになりました。シンガポールのNanyang Technological Universityの博士課程に籍を置く学生、Wang Jing氏が先日公表した「Covert Redirection」(密かにリダイレクト、の意味)バグがそれです。問題は、一般的に使われているインターネットプロトコルであるOpenIDおよびOAuthの内部に見つかりました。OpenIDは、GoogleやFacebookやLink
OpenIDをとりまくセキュリティ上の脅威とその対策 - @IT
前回はConsumerサイトを実際に作る際のプログラミングに関してお話ししましたが、今回はOpenIDに関するセキュリティについて考えてみます。 今回取り上げるトピックとしては、 などを段階的に説明していきます。IdPの構築方法を知る前にOpenIDプロトコルのセキュリティに関して熟知しておきましょう。 OpenIDプロトコルにおける通信経路のセキュリティ ここまで詳細に解説してきませんでしたがOpenID認証プロトコルのフェイズにおいて、どのようにセキュリティ上の安全性を担保しているかを解説しましょう。 まずはassociateモードを正常に実行するSmartモードの場合です。 ConsumerはユーザーからのClaimed Identifierを受け取ると、associateのキャッシュが存在しない場合は新規にIdPに対してassociateモードのリクエストを行います。第3回で「as
OpenID や OAuth の役割と、既存のシングル・サインオンとの違い:Goodpic
This shop will be powered by Are you the store owner? Log in here
OpenIDを使ってみた ― @IT
2007/12/26 これまで@ITでは何度かOpenIDについて取り上げてきました。解説記事を始め、はてなやlivedoorなど日本の大手サイトがOpenIDを採用したというニュースもお伝えしてきました。国内外で、そろそろ実際にOpenIDを使えるサービスがそろってきたので、ここでは実際に使ってみて、使用感をレポートしてみたいと思います。 使ってみて初めて感じられる利便性 この原稿を書く1時間前までは、実はOpenIDのレポートを書くつもりはありませんでした。とある韓国のWeb 2.0系サービスを使っていて、その結果としてOpenIDの便利さを実感して書かずにいられなくなった、というのが正直なところです。 早速、OpenIDを使うと何が起こるのかを、その韓国企業のサービスを例にして見てみましょう。 記者が試したのは、オンラインゲーム「リネージュ」などで知られる韓国企業、NCsoftの開発
livedoorなど他のアカウントではてなスターが使えるようになりました - はてなスター日記
本日、livedoorなどの外部のアカウントを用いて、はてなスターの☆をつけられるようになりました。これは、OpenIDという認証システムを用いてはてなサービス以外のユーザーアカウントではてなスターが利用できるようになる仕組みです。 たとえばlivedoor blogではてなスターが設置されている場合に、はてなのアカウントを持っていないユーザーでも、livedoorアカウントで☆をつけることができます。 今回対応を行った外部サービス(OpenIDプロバイダ)は、以下のとおりです。 livedoor LiveJournal TypeKey Vox OpenIDについて詳しくははてなでOpenIDを、OpenIDでログインして☆を付けた時の挙動などはスターのヘルプをご覧ください。 はてなでは、今後も対応外部サービスを増やすとともに、皆さんの利用状況を見ながら、外部アカウントで利用可能なはてなサ
Xlune::Blog: sfOpenIDPlugin がバグってて困った
Symfony で OpenID を使う時は sfOpenIDPlugin ・・・らしいので、早速追加した。 symfony plugin-install http://plugins.symfony-project.com/sfOpenIDPlugin これでプラグインフォルダにインストールされた。 設定ファイルをいろいろいじる #settings.yml all: .settings: enabled_modules: [default, sfOpenIDAuth] sfOpenIDAuthを有効にする。 #routing.yml openid_siginin: url: /openid/siginin param: { module: sfOpenIDAuth, action: signin } openid_finishauth: url: /openid/finish par
koress.jp: OpenIDの襲来に備えよ!
追記: OpenID対応サービスまとめを作りました。 たぶん、2008年のインターネット(Webサービス)業界はOpenIDによるWebサービスのID体系の統一の荒波に揉まれることになると思う。日本のサービスプロバイダは、OpenIDの襲来に備えるべき。 海の向こうではすでにDigg, Wikipedia, Yahoo, Microsoftなどが導入や支持を発表しているほか、多くの小さなネットサービスはOpenIDに頼ったアーリーアダプタの取り込みに積極的になってる。日本国内ではどうかと言えば、niftyのaboutmeなどを除いて大手のWebサービスは未だ様子を見ている状態。リサーチレベルでは重要性が把握されつつある一方、経営レベルでは「なにそれ」的な状態が多そう。いかん、いかんよ。 2008年、YahooかAmazonかGoogleかわからないけれど、ほぼ間違いなくどこかの日本の大手の
あなたのサイトをOpenID対応にしている2行の意味 ― @IT
OpenIDが知られるようになり、自分のURLにおいたHTMLヘッダに、link rel="openid.server"……から始まる2行を追加することで、自分のURLをIDとして利用ができる、ということを知っている方も多いかと思います。今回はヘッダに書かれた2行が、OpenIDの仕様ではどのように定義され、利用されているのかを解説します(編集部) 第1回ではOpenIDの基礎知識を取り上げ、登場する用語について説明していきました。今回は動作の概要として、具体的にClaimed IdentifierがVerified Identifierとなるための手続きについて説明します。前回紹介した用語をもう一度復習しながら読んでみてください。 Claimed Identifierの宣言 まずはOpenIDの動作概要について説明します。End UserがどのようにしてConsumerに対して自分のCl
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Critical Holes in OAuth, OpenID Could Leak Information, Redirect Users
イベント開催支援ツール アテンド : ATND