結城浩のはてな日記 - はてな認証API / ためしに作ってみました
はてな認証APIが公開されましたので、ためしてみました。 懸念事項 なおやさんところ経由ではてな認証APIの公開について(開発者さま向け)を読んで感じたこと。 おそらくすぐに「はてな認証APIで○○を作ってみました」的なものが登場するでしょう。おもしろいアプリが登場することを期待。 ただし、一般ユーザにきちんと認識させないと、悪意のある第三者が一般ユーザのパスワードを奪うアプリを作ってしまう危険性があります。たとえば「はてな認証APIを利用しています」と偽って、「ログイン名とパスワードを入力させるフォーム」を見せるアプリが出た場合、ユーザは誤解しないか。 それから…解説した図がほしいです。→認証部分のシーケンス図は結城が描きました(このエントリの下の方で公開しています)。 結城さんちのはてな認証APIテスト 追記:2006-04-24 21:09: とりあえず、作ってみました。以下をお試し
RE: はてな認証 API の改善案 - ナンセンス不定記
Kazuho@Cybozu Labs: はてな認証 API の改善案 1) ちゃんとした MAC を使う注2 1.1) HMAC_SHA1 を使うべき 1.2) パラメータの結合方法を修正すべき注3 1.3) 実行している機能の識別子も MAC に含める 2) コールバック URL の cert を暗号化する F(cert, 秘密鍵) を auth.json の引数にする、ということ注4 3) コールバック URL にも MAC をつける 4) サードパーティアプリケーション(TPA)に、認証リンクのパラメータとしてユーザーのセッション情報を特定する情報を入れるよう要請する (ライブラリレベルで対応?) 追記:3, 4 が満たされれば、サードパーティアプリケーション側でセッションのトレースができるので 2 は不要でしょうか。 前提:cookie がもれない限り安全な認証 API 1について
Kazuho@Cybozu Labs: はてな認証 API の改善案
« Re: 攻撃してください→はてな認証の仮想セッション | メイン | 目指せバイナリアン (C-0.06) » 2006年05月11日 はてな認証 API の改善案 だんだん自分の中でも認証 API の問題が整理できてきたように思うので、改善案を書こうと思います。 まず、そもそも認証 API に何を期待するのか、という点について。 従来の各サイト毎にパスワードを入力する方式は、 ・パスワード管理が面倒 ・HTTPS じゃないので、パスワードがネットワーク上を平文で流れる ・メールアドレスが漏洩するかも (スパム襲来) といった不便さや懸念がありました。しかし、外部の認証 API を使用するウェブアプリケーションについては、これらの問題が解消できるはずです。具体的には、cookie がもれない限り安全な認証 API注1があればベストでしょう。 で、はてな認証 API は、以下の各点を修正
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
