OAuthのセッション固定攻撃について(翻訳) - ものがたり(旧)
Explaining the OAuth Session Fixation Attackという文章が興味深いものだったので翻訳してみた。何か解決策を思いついた人はOAuthのメーリングリストに送ってあげると良いと思う。って僕は参加してもいないのだけど。あと誤訳とかはコメントしてもらえれば対応します。ワタクシ実のところOAuthなんて使ったこともなかったりして。 (原文はリンク先にもある通り、Eran Hammer-Lahav氏からcc-by 3.0 usで提供されている。) 追記: 日本でもニュースになっていた: http://www.atmarkit.co.jp/news/200904/23/oauth.html 追記2: 元記事の画像がアップデートされていたので、追従して更新 以下翻訳: 先週、われわれが発見して対応したOAuthのプロトコルセキュリティ問題には語るべきことが多くある。
「OAuth」プロトコルに脆弱性--Twitterがサポートを一時停止
UPDATE ユーザーのログイン情報を利用する「補助キー」として機能するオープンソースプロトコル「OAuth」にセキュリティホールが発見され、「Twitter」や「Yahoo」などのサービスがOAuthのサポートを一時的に取りやめざるを得なくなったことが、米CNET Newsの調べでわかった。 Twitterが実装されたばかりのOAuthのサポートを取りやめたことに、一部の開発者は当惑していた。ブロガーのJesse Stay氏は自身のブログ記事で、Twitterの開発者向けアプリケーションプログラムインターフェース(API)に課された他のさまざまな制約について取り上げた上で、OAuthのサポート中止は、マイクロブログサービスのTwitterが最近になっていかに「開発者の足をすくって」きたかを示す数多くの事例の1つだと述べている。 CNET Newsでは、インターネットの安全性を守る見地から
OAuth: 2009.1 OAuth Security Advisory
OAuth Security Advisory: 2009.1 23-April-2009 A session fixation attack against the OAuth Request Token approval flow (OAuth Core 1.0 Section 6) has been discovered. Impact All standards-compliant implementations of the OAuth Core 1.0 protocol that use the OAuth authorization flow (also known as ‘3-legged OAuth’) are affected. Details The attack starts with the attacker visiting the (honest) Consu
Idea : OAuth User Authentication Extension - r-weblife
Idea : OAuth User Authentication Extension twitterがOAuthで"Sign-in with Twitter"っていうあいまいなことをやりだしたので、どうせならこんな拡張を作ればいいんじゃないかと思い書いてみました。 最初は"OAuth OpenID Extension"ってのを考えていたんですが、Hybridのやり方も嫌いじゃないのでもっと汎用的な仕様ということで考えてみました。 実装アイディアなんかもあったりしますが、とりあえずやりたいことを書いてみます。 ■ 目的 本拡張の目的はシンプルです。 OAuth SPがConsumerに対してUser Identifierを返すしくみを提供 OAuthではUser Identifierの渡し方が定義されていないため、ほとんどのSPは独自の実装で提供しています。 Yahoo : Access T
Facebook Connect vs. Sign in with Twitter: Fight!
On the surface, this has striking similarities to Facebook Connect, the Facebook version that allows users to access 3rd party websites using a Facebook account, as well as import their Facebook information and friends. So how does Sign in with Twitter work, and how does it compare to Facebook Connect? How To Log In with Applications that Use FB Connect or Twitter Sign In Sign in with Twitter: Sig
OAuth CrossDomain JavaScript Proxy を作った - snippets from shinichitomita’s journal
サービス: http://xdoauthproxy.appspot.com/ ソースコード: http://xdoauthproxy.googlecode.com/ 何ができるか OAuth(3-legged)のAPIがJavaScriptクライアントから簡単に呼べるようになります。 プログラム的には非同期の呼び出しのみで記述でき、面倒な手続き(トークンのやり取り、同意画面の表示など)はプロキシ側で完了します。 プロキシサービスはGoogle App Engine上で動いてます。 コード例 http://xdoauthproxy.googlecode.com/svn/trunk/assets/example.html <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/ht
OAuth everywhere!
Welcome This is just one entry in the weblog Blogging Roller. You may want to visit the main page of the weblog Related entries Below are the most recent entries in the category Social Software, some may be related to this entry. Thoughts on ActivityPub, Mastodon, etc. Apache Rave: A new social mashup engine! The meaning of the Facebook like button Understanding Google's new privacy policy Scott M
Yahoo! Updates on iGoogle - r-weblife
■ 本日の概要 今日は、この記事について、まとめます。 http://developer.yahoo.net/blog/archives/2009/03/igoogle_open_updates.html 「Yahoo!のSocial Profileのアクティビティを表示するiGoogleのガジェット作った! Yahoo!はGoogleに対してもOpenなんだぞ!」って話ですね。 ガジェットはおそらく、以前Digg?で行われたOpen Stack mtgでAllen Tomがデモしたものっぽいですね。 http://www.viddler.com/explore/redgee/videos/38/ ■ Yahoo! Updates API Updates API - YDN Updates API Demo - YDN ■ iGoogle and OAuth Proxy 誰がOAuthして
第1回 OAuthとは?―OAuthの概念とOAuthでできること | gihyo.jp
今回から始まった「ゼロから学ぶOAuth」。全4回の特集にて、これからのWebサービスを開発する上で不可欠な技術「OAuth」について取り上げます。初回は、OAuthの概念について取り上げます。 はじめに はじめまして、iKnow!改めsmart.fmの真武です。現在smart.fmでは、OAuthやOpenID、OpenSocial、Semantic WebやActivity Streamなどといった新しい技術の導入を積極的に行いサイトを活性化させるとともに、smart.fm APIを通じて我々の技術を外部のデベロッパの方々にも提供しています。 smart.fmは日本最大のOpenID Relying Partyであるだけでなく、国内では数少ないOAuth Consumer(後述)およびOAuth Service Provider(後述)を兼ねるサービスとなっています。こういった背景
Never Share Your Twitter Password Again
Uploaded with plasq’s Skitch! A few hours ago Twitter’s OAuth private beta was launched and Inuda was one of the lucky 150 users to be chosen to test it. OAuth is an open protocol that allows secure API authorisation in a simple and standard method from desktop and web applications. What it does is allow you to connect your Twitter account to a third party service without you having to share your
Tender Surrender » OpenSocialのOAuthまとめ
OpenSocialでは、コンテナが外部サーバーとの通信を行う際、または外部サーバーがコンテナと通信を行う際、OAuthを使用して認可を行います。今回はOpenSocialにおけるOAuthについて、現段階でのまとめを書いてみます。 ※追記(2008/10/20):2008/10/4に書いたコチラの記事も必読です。 OAuthって何だったっけ? OAuthはユーザー、コンシューマ、サービスプロバイダの3者間でデータのやり取りを行うとした場合、ユーザーがコンシューマにクレデンシャル(IDやパスワード)を渡すことなく、ユーザーが所有するサービスプロバイダ上のリソースにコンシューマをアクセスさせるためのものです。 例えばユーザーがGoogle(サービスプロバイダ)のアドレス帳(リソース)をMySpace(コンシューマ)上で利用するシーンを思い浮かべてください。OAuthがなければ、MySpace
バナナ研究所:mod_auth_opensocial をリリースしました ブログ
mod_auth_opensocial 0.1.0 をリリースしました。 mod_auth_opensocial は、OpenSocial アプリからサーバに届いた署名付きリクエストの検証(Verification)を行うための Apache 2.0, 2.2 用のモジュールです。 署名付きリクエストとは、OpenSocial の makeRequest 関数 (AUTHORIZATIONパラメータにSIGNEDを指定) により生成され、コンテナにより署名されたリクエストです。 mod_auth_opensocial が署名の検証に成功すると、リクエストは通常通り(HTMLの取得や、PHP、Servlet Containerへのアクセスなど)に処理されます。 検証に失敗すると、HTTPエラーをリクエストの送信者へ返します。 バックエンドが受け取るリクエストは全て署名の検証に成功
第2回 iKnow!デベロッパーカンファレンス開催―将来は自分の知能をすべて管理するためのサービスに/iKnow! API KICK OFF結果発表 | gihyo.jp
まずはじめに真武氏から、iKnow!の認証に関してOAuthおよびOpenIDの利用状況、また、iKnow!でのOAuth実装やFacebookコネクトに関する発表が行われました。とくにOAuthに関しては、日本の各Webサービスの対応がこれからということもあり、非常に貴重な資料となりました。プレゼンテーション資料については、後日SlideShareで公開されるとのことです。 日本ではまだ実装例が少ないOAuthについて、Provider/Clientの両面から語った。 続いて、William氏からはiKnow!ブックマークレットの機能拡張について、Wikipedia(英語版)上での利用を元にした内容が発表されました。現在は、英語←→日本語、英語←→中国語に対応しています。この事例は、iKnow!が持っている翻訳精度の高さなどがうまく活用されている機能と言えるでしょう。 iKnow! Bo
iKnow! API KICKOFF 結果発表! - 京の路
ちょっとタイミングを逃しましたが、今週月曜日に iKnow! API Developer Conference があり、そこで iKnow! API KICKOFF の結果発表が行われました。 心配していた応募数も最終的には30を超え、第1回としてはまずまずのスタートを切れたかなと思います。 このイベントの最初の挨拶では、人生初の通訳を体験しました。CTO の Kirk の挨拶を置いてかれないように必死に聞いて、なんとか流れは理解はできたのですが、その後の日本語が全く出て来ない。。あれはもっと修行せねば!! その後は Team iKnow! の開発陣からのプレゼンテーションがあり、僕もトップバッターとして iKnow! API の OAuth についての簡単なプレゼンテーションをさせていただきました。僕のプレゼンは「iKnow! では OpenID 利用率が高く Basic 認証では対応で
Nick Floyd: RESTful thoughts - OAUTH and statelessness
Sunday, December 14, 2008 RESTful thoughts - OAUTH and statelessness I keep a copy of Roy Fielding's 162 page dissertation in my laptop bag, yeah I know - ich bin ein nerd, but hey it only adds another 2~3 lbs to my bag and I like rules and architecture - "form follows function" as Fielding puts it. I am facing an architectural paradox right now where form seems to be tripping over function - clie
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
TechCrunch | Startup and Technology News
Net-OAuth-0.28
OAuth for the iKnow! API
サービス終了のお知らせ
http://www.machu.jp/posts/20090123/p01/
