YAPC::Asia Tokyo 2014 で話したスライドです。 http://yapcasia.org/2014/talk/show/cc57f3ca-01b8-11e4-b7e8-e4a96aeab6a4
![OAuth/OpenID Connectを用いてID連携を実装するときに気を付けること #yapcasia](https://cdn-ak-scissors.b.st-hatena.com/image/square/5258ef0b89d9d4f2b3f5c29986726256d5790e09/height=288;version=1;width=512/https%3A%2F%2Ffiles.speakerdeck.com%2Fpresentations%2Fc8f0f10012420132ea3636ee7b6c2ab8%2Fslide_0.jpg%3F3452637)
OpenSSLの脆弱性「Heartbleed」に続き、人気のオープンソースセキュリティソフトウェアでまた1つ大きな脆弱性が見つかった。今回、脆弱性が見つかったのはログインツールの「OAuth」と「OpenID」で、これらのツールは多数のウェブサイトと、Google、Facebook、Microsoft、LinkedInといったテクノロジ大手に使われている。 シンガポールにあるNanyang Technological University(南洋理工大学)で学ぶ博士課程の学生Wang Jing氏は、「Covert Redirect」という深刻な脆弱性によって、影響を受けるサイトのドメイン上でログイン用ポップアップ画面を偽装できることを発見した。Covert Redirectは、既知のエクスプロイトパラメータに基づいている。 たとえば、悪意あるフィッシングリンクをクリックすると、Faceboo
米OpenID Foundationは2014年2月26日、さまざまなWebサイトやモバイルアプリケーションの間で、適切な相手にデジタルアイデンティティ情報を流通させるための技術である「OpenID Connect」の仕様を最終承認した。これに合わせてOpenIDファウンデーション・ジャパンは、OpenID Connect仕様群の日本語訳を公開している。 Webサービスやモバイルアプリケーションの普及に伴い、多様で便利なサービスを利用できるようになった半面、管理すべきIDとパスワードも増加した。その結果、エンドユーザーがさまざまな煩雑さを強いられたり、パスワードの使い回しによるセキュリティリスクが増大するといった課題も浮上している。 OpenID Connectは、こうした課題の解決を目指し、OAuth 2.0をベースにして策定されたAPI仕様だ。ユーザーとサイトが常に1対1で認証を行う代
OpenID 2.0の一部実装に脆弱性、その詳細と対策とは:デジタル・アイデンティティ技術最新動向 臨時便 米OpenID Foundationが8月15日に、OpenID 2.0の一部OpenID Provider(OP)実装において、Relying Party(RP)上でのアカウントハイジャックにつながる可能性のある重大な脆弱性が見つかったことをアナウンスしました。この記事では、その詳細と対策について述べます。 8月15日に公表されたアカウントハイジャックの脆弱性 OpenID Foundation Japan、Evangelistの@novです。 2013年8月15日に米OpenID Foundationからリリースがあったように、OpenID 2.0の一部OpenID Provider(OP)実装に、Relying Party(RP)上でのアカウントハイジャックにつながる可能性のあ
おはようございます、ritouです。 OpenID Connect Messagesの仕様で定義されてるSelf-Issued OpenID Providerについてのお話です。 いきなり参考リンク 英語読める人は仕様読めばよい。 仕様(English) : http://openid.net/specs/openid-connect-messages-1_0.html#self_issued 参考になりそうな資料 by @nov : Self isssued-idp ざっくり説明 こんな感じです。 OS(PC, モバイル端末)やブラウザ内で動作し、openid://で呼び出される ユニークなRSAやECDSAとかのprivate/publicな鍵ペアを生成して安全に管理する クライアント(Webサービスやアプリ)からリクエストを受けたら署名付のID Tokenを返す というところです。
OpenID Connect is an interoperable authentication protocol based on the OAuth 2.0 framework of specifications (IETF RFC 6749 and 6750). It simplifies the way to verify the identity of users based on the authentication performed by an Authorization Server and to obtain user profile information in an interoperable and REST-like manner. OpenID Connect enables application and website developers to lau
現在作業中の仕様集 OpenID Connect 関連仕様 規格化済 OpenID Connect Core – OpenID Connect の基本部分 OpenID Connect Dynamic Registration – (Client を動的に登録するための仕様 OpenID Connect Discovery – Server Endpoint および設定情報を動的に発見するための仕様 例:Google https://accounts.google.com/.well-known/openid-configuration OAuth 2.0 Multiple Response Types –OAuth 2.0 response_type に OpenID Connect利用するものを追加. OpenID 2.0 to OpenID Connect Migration 1.0
OpenID Connect Basic Client Implementer's Guide 1.0 - draft 47 Abstract OpenID Connect 1.0 is a simple identity layer on top of the OAuth 2.0 protocol. It enables Clients to verify the identity of the End-User based on the authentication performed by an Authorization Server, as well as to obtain basic profile information about the End-User in an interoperable and REST-like manner. This OpenID Conn
背景と目的 今日のアイデンティティ管理技術は、人々に付す識別子(ID)のみを扱う技術ではなく、多様な属性情報を管理するものとなっています。属性情報をオンラインで利用する際にも複数の目的があり、人々を本人であると認証すること、人々の属性情報を交換することの他、人々の属性情報に基づいてアクセスを制御すること等が挙げられます。そして、それぞれの目的に利用できる技術仕様が複数、策定されています。 このようにアイデンティティ管理技術は多種多様性を増しています。 しかし、アイデンティティ管理技術を全体観をもって解説する取り組みがなされてこなかったので、情報処理技術者が体系的に把握して学習することが容易ではない状況にあります。今日、多種のアイデンティティ管理技術の中から自らのシステム構築に適するものを選択したり、他者が採用しているアイデンティティ管理技術との間で相互運用可能性を確保することを検討したりす
こんばんは、ritouです。 今回のY!Jの新機能は気のせいじゃなさそうだ! ということで、今回のエントリは長いので気をつけてください。 何が起こった ここにいろいろ書いてあります。 http://developer.yahoo.co.jp/yconnect/ 名称はYConnect OAuth 2.0の仕様に準拠した OpenID Connectもサポート "準拠"と"サポート"の使い分けが気になりますがまぁ進めましょう。 OAuth 2.0 OAuth 2.0準拠といえばmixiですね。 YConnectでは2種類のClientからの利用を想定しています。 サーバーサイド クライアントサイド それぞれConfidential/PublicなClientのことですね。 早速登録してみました。 誰かも言ってましたが、redirect_uriの設定はいったん登録した後に編集しないといけないと
はじめに。これは霊界に住む死者からの通信に基き書かれた記事です。しかし文責は私にあります。 OpenID はパスワードの授受なしに認証の伝達が出来る仕組みです。 OAuth はパスワードの授受なしでリソースへのアクセス権限を委譲出来る仕組みです。 こうした仕組みを用いて外部サイトと連携している限り、外部サイトへパスワードなどが流出する可能性は低いです。また外部サイトが所有する OAuth の token などが外部に流出たとしても、サイトの利用者や OAuth を提供するプロバイダーがその token を早期に無効にすることが出来ます。 しかしセキュリティへしっかり配慮されて作られた OpenID や OAuth をパスワードを抜く為のフィッシングに使用することが出来ます。以下のような具合です。 OpenID 経由で外部サイトにログインしようとする/OAuth を使用して外部サイトに権限を
デジタル・アイデンティティの世界へようこそ はじめまして、OpenID Foundation JapanでエバンジェリストをしているNovです。 この連載では、僕を含めOpenID Foundation Japanにかかわるメンバーで、OpenID ConnectやOAuthなどの「デジタル・アイデンティティ(Digital Identity)」にかかわる技術について紹介していきます。 APIエコノミー時代のデジタル・アイデンティティ 世界中で9億人のユーザーを抱える「Facebook」や5億人のユーザーを持つ「Twitter」など、巨大なソーシャルグラフを持つサービスが、日々その存在感を増しています。日本でも、グリーやモバゲーなどがそれぞれソーシャルゲームプラットフォームを公開し、国内に一気に巨大なソーシャルゲーム市場を作り上げました。最近では、ユーザー数が5000万人を突破し、プラット
OpauthはPHP向けの認証ライブラリです。抽象化することで多様なプロバイダーに容易に対応できます。 Webサービスで認証を用意すると言っても今は多様な技術が存在します。単なるID/パスワードに限らず、OpenIDやOAuthもあります。サービスプロバイダーごとに実装も若干変わったりします。そうした認証技術を統合して使えるのがOpauthです。 デモです。 Facebook認証です。 問題なく認証できました。各種データも取得できているのが分かります。 こちらはGoogle認証です。 こちらもユーザプロフィール含めて取得できています。 最後はTwitterです。 はい、問題ありません! OpauthはRubyの認証ライブラリOmniauthにインスパイアされて作られており、認証部分を抽象化することでプロバイダーを切り替えて容易に様々なサービスに対応できるようになっています。技術的にはOpe
OAuthやOpenID、仕組みもよく知らずに使ってきた僕が、その最新動向に追いつくために勉強したことをまとめます。 きっかけは OpenID TechNight #7 をUstで見たことで、わからないことが山盛りだったので色々と調べてみた。 OpenID TechNight #7 : ATND 各発表のスライドへのリンクがあるよ。 キーワードとしては、OAuth 2.0、OpenID Connect、Cloud Identity、RESTful API、といったあたりについて。それぞれ基本的なことと、Ustで話されてたことをまとめる。 OAuth 2.0 OAuth 2.0でWebサービスの利用方法はどう変わるか(1/3)- @IT を先に読めばよかった。 簡単にまとめると、OAuth 1.0の問題点は3つあって。 認証と署名のプロセスが複雑 Webアプリケーション以外の利用が考慮されて
2008/06/18 Webシステム開発を行うディノは6月18日、分散ID認証システムであるOpenID Authentication 2.0に準拠したRuby on Rails 2.0のプラグイン「OpenID Engine」を発表した。MITライセンスでの配布となり、無償で利用できる。 今回ディノが発表した「OpenID Engine」では、認証サーバ用(OpenID Provider)プラグインと対応サービス用(Relying Party)プラグインのそれぞれが提供される。Ruby on Rails 2.0のプラグインという形態となっており、ダウンロードページによるとRuby用のOpenIDライブラリであるruby-openidは利用していないとのこと。 6月19日からGoogle Codeにてベータ版を公開し、安定版を7月にリリースする予定だ。 OpenIDはURIを認証のIDとし
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く