JICS 2014のセキュリティ・トラックを聞いて思ったこと - r-weblife
こんばんは、ritouです。 1/14,15にJAPAN IDENTITY & CLOUD SUMMITが開催されました。 すでにレポートや取材記事、まとめ、まとめのまとめなどありますのでイベントを知らない方は見ていただければと思います。 IdM実験室: Japan Identity & Cloud Summit 2014のまとめのまとめ 2日間のうち、自分の出番の時間以外はなんとか一通り聞いてたつもりでしたが、関係者から「セキュリティ・トラック、ritou寝てただろ」と言われましたので、ノートPCを閉じ、スマホをポケットにしまい、椅子に座ってやや下を向きつつ目を閉じて静かに息をしながらID連携推しの立場として思ってたことを残しておきます。 セキュリティ・トラックの内容はこのあたりでわかるかと思います。 #JICS2014 #Sec Track - クレイジーダブルポケットフランネルチェッ
OpenID ConnectのSelf-Issued OP(OIDC SIOP)の話 - r-weblife
おはようございます、ritouです。 OpenID Connect Messagesの仕様で定義されてるSelf-Issued OpenID Providerについてのお話です。 いきなり参考リンク 英語読める人は仕様読めばよい。 仕様(English) : http://openid.net/specs/openid-connect-messages-1_0.html#self_issued 参考になりそうな資料 by @nov : Self isssued-idp ざっくり説明 こんな感じです。 OS(PC, モバイル端末)やブラウザ内で動作し、openid://で呼び出される ユニークなRSAやECDSAとかのprivate/publicな鍵ペアを生成して安全に管理する クライアント(Webサービスやアプリ)からリクエストを受けたら署名付のID Tokenを返す というところです。
OAuthなプラットフォームの中の人が椅子を投げたくなるアプリの実装 - r-weblife
こんばんは、ritouです. 世の中, OAuthの仕様に沿って提供されているAPIだらけです. モバイル端末で動作するアプリでも, そんなAPIを利用するものだらけです. OAuthなユーザーフロー アプリのOAuth実装となるとそれはそれはこまけぇことでいろいろあります. とりあえず, OAuthなプラットフォームを提供する側は以下のようなユーザーの動きを望んでいます. mixiと連携するボタンを押す 外部のブラウザが立ち上がる 未ログインの場合はログイン画面が表示されるが, 頑張ってHTTPS+ドメイン名とかを確認してログイン アプリによるリソースアクセスに対して同意 アプリに戻って連携完了 やや複雑なものに思えるかもしれませんが, OAuthなプラットフォームを提供している中の人たちからすると, アプリがID(Email)/PWなどを直接扱わないことで意図的な悪用, 意図しない漏え
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
