OAuthとOpenIDに深刻な脆弱性か--Facebookなど大手サイトに影響も
OpenSSLの脆弱性「Heartbleed」に続き、人気のオープンソースセキュリティソフトウェアでまた1つ大きな脆弱性が見つかった。今回、脆弱性が見つかったのはログインツールの「OAuth」と「OpenID」で、これらのツールは多数のウェブサイトと、Google、Facebook、Microsoft、LinkedInといったテクノロジ大手に使われている。 シンガポールにあるNanyang Technological University(南洋理工大学)で学ぶ博士課程の学生Wang Jing氏は、「Covert Redirect」という深刻な脆弱性によって、影響を受けるサイトのドメイン上でログイン用ポップアップ画面を偽装できることを発見した。Covert Redirectは、既知のエクスプロイトパラメータに基づいている。 たとえば、悪意あるフィッシングリンクをクリックすると、Faceboo
OpenID Provider のセキュリティ対策 (2) - return_to と realm のチェックを怠るな! - 日向夏特殊応援部隊
OpenID Provider のセキュリティ対策 (1) - まずは SSL を導入!話はそれからだ - Yet Another Hackadelicの続編です。 はじめに RP が認証アサーションリクエストである checkid_setup/checkid_immediate を行う際には通常は return_to と realm を指定します。 return_to とは OP から認証アサーションレスポンスを間接通信で受け取る際に戻って来るURLの事。RP が指定しておく。 realm とは return_to のパターンをワイルドカードを使って表現する。 return_to と realm の検証 基本的に return_to の先は http://openid.art-code.org/handler であるという前提で。便宜上番号振りました。 (1) 期待通りの組合せ real
【CakePHP】OpenIDをAuthComponentにトッピングしてみる | ねねとまつの小部屋
by 赤がすき Published 6 月 30th, 2008 in AuthComponent, OpenID, PHP, cakephp | (12) (0) (1) (0) Total: 13 第3回CakePHP勉強会にて、LTした内容と関連するソースを公開します。 | View | Upload your own AuthComponennt+OpenID OpenIDに対応した会員制サイトを以下の組み合わせでさくっと作る PHP OpenID Library OpenID component for CakePHP AuthComponent 今回作成するアプリケーションの仕様 出来るだけコードを書かない方向で、動くものを作成 modelはひとつ OpenIDで認証されたユーザは、Cakeアプリに自動ログイン OpenIDで認証されたユーザは、初回のみ、次の要領
非技術者のためのOAuth認証(?)とOpenIDの違い入門【2023年版】
昔から、「OpenIDは認証でOAuthは認可だ」などということが言われます。しかし、その言語の意味を取り違えている方が結構多い気がしています。「もうOpenIDなんていらね。OAuthだけでいいじゃん」というような言説がよく流れてくるのがその証拠だと思います。OAuth認証というのもその類ですね。 そこで、今日はOAuthとOpenIDの違いを考えてみたいと思います。 OpenIDは紹介状、OAuthは合鍵 まずはOpenIDの概要の復習です。「OpenIDは認証」という言葉の内容をまずは復習してみましょう。 「認証」とは大変広い言葉でいろいろな場面で使われますが、「OpenIDは認証」という使い方の時は、「OpenIDは、いま来ている人の身元を認証」(ユーザ認証)という意味です。図にすると図1のような流れになります。 この例では、有栖さんがお客としてサービス提供をしているサイトである伊
docomo ID認証が怪しげすぎる件 | [ bROOM.LOG ! ]
ニコニコPodder iPhone/iPod/iPad対応ニコニコ動画簡単インポートツール aggregateGithubCommits GitHubレポジトリでのコミット数をAuthor/期間別に集計します probeCOCOATek 新型コロナ接触確認アプリCOCOAが配布するTEKを表示・集計 NTTドコモがOpenIDを採用、PCサイトも“iモード認証”が可能に 「docomoがOpenIDに対応した」と話題になっているが、よくよく仕様書を見ると怪しげな点が多い。 ポイントはこの3つ。 ・RPに規制は無い(当たり前だけど)。つまり勝手サイト(勝手RP?)でも利用可能。これはケータイでも同じだけど ・iモードIDとUser-Agentを取得できる ・iモードID 取得はAXでもSREGでも無い独自仕様 つまり簡単に言うと、勝手サイトを立ててdocomo IDでログインできるようにして
SNSに変革をもたらす“ソーシャルグラフ” (1/4)
本連載の目的は、インターネットの一部で起きつつある小さなトレンドを見つけることだ。1つ1つの小さなトレンドは“さざ波”のような些細な存在でも、何度も形を変えながら押し寄せることで、砂浜の形を変えてしまう可能性を秘めている。 実は今、この連載で過去2度取り上げた“さざ波”が形を変えて、3度目の波としてSNS業界に押し寄せてきている。 “ソーシャルグラフ”という3度目の波 1度目の波は今年の3月、“米国で盛り上がるOpenID”という記事で紹介した“OpenID”だ。ひとつのIDを取得しておくだけで、複数のウェブサービスに参加できるという技術で、SNSのオープンプラットフォーム化に大きく貢献している。 その後、日本でもライブドアを筆頭にOpenIDを採用する企業がいくつか現われた。最近では3日に、ビート・コミュニケーションが提供するオープン型SNSパッケージ“Beat Media”が“Open
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
