OAuth/OpenID Connectを用いてID連携を実装するときに気を付けること #yapcasiaYAPC::Asia Tokyo 2014 で話したスライドです。 http://yapcasia.org/2014/talk/show/cc57f3ca-01b8-11e4-b7e8-e4a96aeab6a4
事務局ブログ:「Covert Redirect」についての John Bradley 氏の解説(追記あり)
追記 (5/7 20:30): 本文中に「まともなブラウザーであれば、そのフラグメントを URI の一部にするようなことはないから、オープン・リダイレクターには送られない。」とありますが、少なくとも Chrome と Firefox はリダイレクト時に URI フラグメントをそのまま保つ (i.e. 不十分な redirect_uri チェック & オープン・リダイレクター & インプリシット・フローの場合、アクセス・トークン入りの URI フラグメントを、ブラウザーがそのままリダイレクト先へのリクエストに用いる) とのことです。続報があり次第追記します。 追記2 (5/7 23:50): John Bradley 氏自身によるフォローアップを訳しました。 Covert Redirect and its real impact on OAuth and OpenID Connect を、と
OAuthとOpenIDに深刻な脆弱性か--Facebookなど大手サイトに影響も
OpenSSLの脆弱性「Heartbleed」に続き、人気のオープンソースセキュリティソフトウェアでまた1つ大きな脆弱性が見つかった。今回、脆弱性が見つかったのはログインツールの「OAuth」と「OpenID」で、これらのツールは多数のウェブサイトと、Google、Facebook、Microsoft、LinkedInといったテクノロジ大手に使われている。 シンガポールにあるNanyang Technological University(南洋理工大学)で学ぶ博士課程の学生Wang Jing氏は、「Covert Redirect」という深刻な脆弱性によって、影響を受けるサイトのドメイン上でログイン用ポップアップ画面を偽装できることを発見した。Covert Redirectは、既知のエクスプロイトパラメータに基づいている。 たとえば、悪意あるフィッシングリンクをクリックすると、Faceboo
「OpenID Connect」を理解する
OpenIDの最新仕様「OpenID Connect」とは 前回はOpenIDについて振り返りました。続く第4回では、OpenIDの最新仕様として策定が進められている「OpenID Connect」(注1)について、 設計思想 仕様一覧 フロー紹介 実装状況と今後 という軸に沿って紹介します。 OpenID Connectの3つの設計思想 OpenID Connectの設計思想として、次の3点があります。 簡単なことは簡単に 難しいことも可能に モジュラーデザイン 以下、その設計思想が仕様にどのように反映されているかを簡単に説明します。 簡単なことは簡単に OpenIDにおける最低限の要件とは、「OP(OpenID Provider)-RP(Relying Party)間で認証結果と属性情報(クレーム)の受け渡しができること」です。OpenID ConnectはOAuth 2.0をベースと
Google AppEngine でOpenIDプロバイダから取得できる値リスト - dokusho-logの日記
Google AppEngine, 読書ログ, OpenID読書ログでOpenID対応を実施する際に収集した、OpenIDプロバイダから取得できる値のリストをまとめておきます。・XXXの箇所は伏字部分ですので、実際には個人毎の情報が入ります。・OpenID URLは取得できる情報では無くリクエスト先のURLです。 Yahoo! JapanOpenID URLyahoo.co.jpAuthDomainhttps://open.login.yahooapis.jp/openid/op/authEmail-FederatedIdentityhttps://me.yahoo.co.jp/a/XXXNickname-UserIdXXXHatenaOpenID URLhttp://www.hatena.ne.jp/XXX/AuthDomainhttp://www.hatena.ne.jp/openid
OpenID ファウンデーション・ジャパン - Event Report 【OpenID Tech Night Vol.6】
OpenIDファウンデーション・ジャパン(OIDF-J)主催の技術セミナー第6弾「OpenID Tech Night Vol.6」が、2010年5月28日、株式会社野村総合研究所より会場のご提供をいただき開催されました。 ◆はじめに◆ 勝原 達也(株式会社野村総合研究所) IdentityやWeb Identity Technology、OpenIDとOAuthの歴史、認可と認証についてご紹介頂きました。 ※講演資料:http://www.slideshare.net/kthrtty/open-id-technightvol6kthrttyslidesharever ◆OpenIDセッション◆ 真武 信和(セレゴ・ジャパン株式会社) OIDF-J翻訳・教育WGリーダーより、今回のイベント告知にも使われた「ATND」を例にOpenID及び拡張仕様をご紹介いただきました。 ※講演
Openid technight6 02
2. RP 別 Y!OpenID 利用ランキング (1) gameleon.jp (2) fansaka.info (3) jlw.gilt.jp (4) smart.fm (5) lievo.jp (6) www.gilt.jp (7) aucfan.com (8) lifemile.jp (9) sportsnavi.com (10) tenki.jp (11) photomemo.jp (12) wazap.com (13) natalie.mu (14) atnd.org (15) pointi.jp (16) fiizo.com (17) cmizer.com (18) commu.nosv.org (19) listpod.tv (20) dendou.jp ※ 2010 年 5 月某日データ 3. RP 別 Y!OpenID 利用ランキング gameleom.jp fansa
Yj openid tech_night_v6
2. 自己紹介 近藤 裕介 (@konfoo) ヤフー株式会社 R&D 統括本部 プラットフォーム開発本部 仕事 OAuth OpenID ログインまわり ←イマココ OpenID Foundation Japan 翻訳・教育 Working Group 3. Yahoo! JAPAN の OpenID 2008 年 1 月 リリース( OpenID 2.0 対応) 2010 年 3 月 Attribute Exchange 1.0 対応 UI Extension 1.0(draft) 対応 iPhone UI 対応 4. OP のサーバ構成 サーバ構成 open.login.yahooapis.jp x 3 open.login.yahoo.co.jp x 3 me.yahoo.co.jp x 2 属性情報 Y! プロフィールの専用 DB (ソーシャル DB ) 5. OpenID Fl
リアルビジネスと融合するOpenID - @IT
2009/01/28 ブログやソーシャル系サービスなど、Web2.0的サービスのシングル・サイン・オン技術(SSO)として登場したOpenIDだが、米国をはじめとするグローバルな市場での受容と、日本での受容には大きな違いがあるようだ。1つは、OpenIDの認知度や利用率が日本では突出して高いこと。もう1つは、Webサービス系の連携のフレームワークとしてよりも、インターネットサービスではない“非Web系”の連携ツールとして、OpenIDがリアルビジネスと結びつく形での普及の兆しが見えてきたことだ。 野村総合研究所(NRI)は1月28日にセミナーを開き、日本のID関連ビジネスの動向やOpenIDを使った事例紹介、同社の戦略について説明した。 ネットのデファクト、5億個のOpenID 「利用者への普及という点では、日本は世界的にも突出している」。こう語るのは、自らもOpenIDの仕様策定に加わる
[Tech night]rakuten
2. OpenID導入経緯・背景 導入経緯・ 導入経緯 導入前の 導入前の パートナー向 け認証機能は楽天オリジナル パートナー向け認証機能は楽天オリジナル パートナー向 認証機能は楽天オリジナル パートナー向 認証機能は楽天オリジナル パートナーサイドでの導入の敷居も 高く、ごく パートナーサイドでの導入の敷居も高く、ごく パートナーサイドでの導入 の敷居も パートナーサイドでの導入 敷居も での導入 での導入の 限定的な展開しかできなかった 限定的な展開しかできなかった 限定的な展開しかできなかった 限定的な展開しかできなかった 2 3. OpenID導入経緯・背景 導入経緯・ 導入経緯 × 外部サイトにて楽天IDでのログインが可能と 外部サイトにて楽天IDでのログインが可能と 外部サイトにて楽天IDでのログイン が可能と 外部サイトにて楽天IDでのログイン 可能と サイトにて楽天ID
![[Tech night]rakuten](https://cdn-ak-scissors.b.st-hatena.com/image/square/f240518fc1ed668c2500d470752e3b3d5e806c95/height=288;version=1;width=512/https%3A%2F%2Fcdn.slidesharecdn.com%2Fss_thumbnails%2Ftechnightrakuten-100527231711-phpapp02-thumbnail.jpg%3Fwidth%3D640%26height%3D640%26fit%3Dbounds)
OpenID ファウンデーション・ジャパン - News Release:OpenIDファウンデーション・ジャパン、「資金決済に関する法律」に伴う、業界ガイドラインの策定に向けワーキング・グループ立ち上げ〜��
最新配信 RSS RDF ATOM 最新ニュース&トピックス - News Release:OpenIDファウンデーション・ジャパン、「資金決済に関する法律」に伴う、業界ガイドラインの策定に向けワーキング・グループ立ち上げ〜“簡単“かつ”安全“な 送金・決済サービス事業の促進を目指し14社で発足〜 カテゴリトップ » news News Release:OpenIDファウンデーション・ジャパン、「資金決済に関する法律」に伴う、業界ガイドラインの策定に向けワーキング・グループ立ち上げ〜“簡単“かつ”安全“な 送金・決済サービス事業の促進を目指し14社で発足〜 カテゴリ : news 執筆 : staff 2009-12-8 11:00 インターネットにおけるユーザー認証技術のひとつである「OpenID」の国内普及・国際化を支援している、一般社団法人OpenIDファウンデーション・ジャパン
asahi.com(朝日新聞社):[CNET Japan] OpenIDでクレジット決済まで可能に、GMOペイメントゲートウェイが年内開始 - CNETジャパン ニュース(提供:朝日インタラクティブ) - デジタル
GMOペイメントゲートウェイ(GMO-PG)は10月7日、IDやパスワードに加えて、クレジットカード情報も共通利用できるOpenIDを活用した決済サービスを年内に開始すると発表した。このサービスにより、異なるECサイトであっても、ログインから商品の決済までの一連の手続きをひとつのIDだけで完了できるという。 利用者がOpenID取得時にクレジットカード情報などを入力した場合、GMO-PGのOpenID決済サービスに対応しているECサイトであればどこでも、購入時にこれらの情報を入力せずに買い物ができる。EC事業者にとっては、利用者のクレジットカード情報などの入力の煩わしさによる機会損失を減らせるほか、クレジットカード情報を保持せずに済むため、外部からの不正アクセスに対する防御や内部の漏えい対策に関する負荷を減らせる利点があるとのことだ。 またGMO-PGの連結子会社であるイプシロンは、GMO
いますぐ使えるOpenID 記事一覧 | gihyo.jp
運営元のロゴ Copyright © 2007-2024 All Rights Reserved by Gijutsu-Hyoron Co., Ltd. ページ内容の全部あるいは一部を無断で利用することを禁止します。個別にライセンスが設定されている記事等はそのライセンスに従います。
OpenIDを実装したソースコードを読もう (1/3)- @IT
第5回 OpenIDを実装したソースコードを読もう 倉貫 義人 松村 章弘 TIS株式会社 SonicGarden 2009/6/3 優れたプログラマはコードを書くのと同じくらい、コードを読みこなせなくてはならない。優れたコードを読むことで、自身のスキルも上達するのだ(編集部) 前回までは、Ruby on Railsの基本部分についてコードリーディングを行ってきました。 今回からは、より魅力的なWebアプリケーションを実現するために必要なさまざまな技術をRailsで活用したソースコードを読むという、さらに実践的な内容に入っていきます。 今回取り上げる技術要素はOpenIDです。GoogleやYahoo!、mixiなどの大手サービスがOpenIDに対応したことで話題になったので、聞いたことがある方は多いのではないでしょうか。 OpenIDとは、とある1つのIDを持っていれば、複数のWebアプ
PHP OpenID Library を使ってみた - F.Ko-Jiの「一秒後は未来」
梅酒.inでOpenIDでのログインに対応したのですが、実装する上で色々と困るところが多かったので少しメモしておきます。かなり内容をかいつまんでいますが、ご了承ください。 PHP用のOpenIDライブラリを入手 OpenIDのログインを実装するにあたって、OpenID Enabled で配布されている PHP OpenID Library を利用しました。2008年10月30日現在でバージョンは 2.1.2 です。 ダウンロードしたファイルを解凍し、Auth ディレクトリを自分のサイトのインクルードパスが通っている適当な場所に丸ごとコピーします。 サンプルコードを読んで理解する このライブラリにはサンプルコードが examples ディレクトリに用意されています。どのような処理を実装すればいいかは、サンプルを見て理解するのがいいです。 情報の格納方法を選択する このライブラリでは、Open
OpenIDを使ってみよう
はじめに OpenIDは最近非常に注目が高まっている認証技術の一つです。ここでは、OpenIDを利用したPerlのサンプルを通じてOpenIDのメカニズムに触れていきたいと思います。 必要な環境 Perl 5.8以上が動作する環境が良いと思います。基本動作の確認はMac OS Xを利用しました サンプルの紹介 早速サンプルコードの「openid-test.cgi」を見ることにしましょう。このサンプルはOpenIDを利用した簡易ログインページです。 #!/usr/bin/perl use strict; use warnings; use CGI; use Net::OpenID::Consumer; #use LWPx::ParanoidAgent; use LWP::UserAgent; my $query = CGI->new; $query->charset('utf-8'); my
OpenID - Wikipedia
OpenID財団では、誰でも参加可能な手順「OpenID Process」を経て、デジタルアイデンティティ関連の標準化を行なっている。現在有効、ないしは策定中の仕様には以下のようなものがある。 2009年にOAuth 2.0の標準化がIETFで始まったことを受けて策定が始まった、次世代の認証・連合アイデンティティシステムの標準。 HTTP上で使う場合にはOAuth 2.0をベースにしながら、HTTP以外のプロトコル(XMPP他)にも拡張可能になっており、スマートフォン上でのアプリの台頭を意識した作りになっている。 セキュリティ的にも、OpenID Authentication 2.0がNIST SP800-63ベースでレベル2程度までしかサポートできないのに対して、最高レベルであるレベル4まで対応できるように設計されている。 これに当たって、別規格としてJSON Web Token(JWT
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
https://jp.techcrunch.com/2009/05/19/20090518facebook-becomes-largest-openid-relying-party/
ポイントが貯まる!使える!楽天ペイ
GMO-PGがOpenID決済サービスを開発、年内に提供開始予定 