TechCrunch | Startup and Technology News
Live Nation says its Ticketmaster subsidiary was hacked. A hacker claims to be selling 560 million customer records. An autonomous pod. A solid-state battery-powered sports car. An electric pickup truck. A convertible grand tourer EV with up to 600 miles of range. A “fully connected mobility device” for young urban innovators to be built by Foxconn and priced under $30,000. The next Popemobile. Ov
パスワード攻撃に対抗するWebサイト側セキュリティ強化策
Webサイトのパスワード認証を狙った攻撃が大きな脅威になっています。 Tサイト(プレスリリース) goo(プレスリリース) フレッツ光メンバーズクラブ(プレスリリース) eBook Japan(プレスリリース) My JR-EAST(プレスリリース) これらの事例のうちいくつか(あるいは全て)は、別のサイトで漏洩したIDとパスワードの一覧表を用いた「パスワードリスト攻撃(後述)」であると考えられています。パスワードリスト攻撃を含めて、パスワードを狙った攻撃が成立してしまう原因は、利用者のパスワード管理に問題がある場合が多く、攻撃を受けたWebサイト側には、直接の責任はないケースが多いと考えられます。 しかしながら、 大半の利用者はパスワード管理に興味がない パスワード認証を採用している理由は、コスト上の理由、すなわちサイト側の経済的な事情 インターネットが「とても危険なもの」となるとネット
eBook Japanの発表資料に見るパスワードリスト攻撃の「恐ろしい成果」と対策
eBook Japanに対する不正アクセスについて、詳細の発表があり、いわゆる「パスワードリスト攻撃」であることが発表されました。 前回のご報告までは「複数のIPアドレスからログインページに対して機械的に総当たり攻撃等を行う大量アクセス行為(ブルートフォースアタック)」とご説明しておりましたが、詳細調査の結果、「不正の疑われる複数のIPアドレスからログインページに対して、予め持っていたログインIDとパスワードの適用可否を試行する大量アクセス行為」であることが判明いたしました。 つまり、大量アクセス行為を仕掛けてきた者は、当社以外の他のサービスなどで他のサービスのログインIDとパスワードを不正に入手し、ユーザーがログインIDとパスワードを共通に設定している可能性を狙って当社サービスに不正にログインしようとし、上記件数についてはログインに成功してしまったということです。 そのように判断した根拠
Passport.js
passport.authenticate('facebook');('google');('apple');('microsoft');('twitter');('linkedin');('github');('openid'); Passport is authentication middleware for Node.js. Extremely flexible and modular, Passport can be unobtrusively dropped in to any Express-based web application. A comprehensive set of strategies support authentication using a username and password, Facebook, Twitter, and more.
ssig33.com - OAuth とか OpenID とかのフローを利用してフィッシングする話
はじめに。これは霊界に住む死者からの通信に基き書かれた記事です。しかし文責は私にあります。 OpenID はパスワードの授受なしに認証の伝達が出来る仕組みです。 OAuth はパスワードの授受なしでリソースへのアクセス権限を委譲出来る仕組みです。 こうした仕組みを用いて外部サイトと連携している限り、外部サイトへパスワードなどが流出する可能性は低いです。また外部サイトが所有する OAuth の token などが外部に流出たとしても、サイトの利用者や OAuth を提供するプロバイダーがその token を早期に無効にすることが出来ます。 しかしセキュリティへしっかり配慮されて作られた OpenID や OAuth をパスワードを抜く為のフィッシングに使用することが出来ます。以下のような具合です。 OpenID 経由で外部サイトにログインしようとする/OAuth を使用して外部サイトに権限を
単なる OAuth 2.0 を認証に使うと、車が通れるほどのどでかいセキュリティー・ホールができる
In some of the feedback I have gotten on the openID Connect spec, the statement is made that Connect is too complicated. That OAuth 2.0 is all you need to do authentication. Many point to Identity Pro… 英語読みたくないという人のために簡単に解説すると… OAuth 2.0 の implicit flow を使って「認証」をしようとすると、とっても大きな穴が開きます。 カット&ペーストアタックが可能だからです。 OAuth 認証?は、図1のような流れになります。 図1 OAuth 認証?の流れ 一見、問題なさそうに見えます。しかし、それはすべてのサイトが「良いサイト」ならばです。 Site_A
Webサービスの埋め込み用HTMLを手軽に取得するためのWebAPI『QuoteIt』を作りました - みずぴー日記
# この記事は名古屋クリスマスハッカソン2011で書いてます。メリークリスマス! GistとかTwitterとかの最近のWebサービスは他のページに埋め込めるようになっていますね。ただ、サービスごとに埋め込むためのHTMLコードが違うので、いちいち調べるのが面倒ですよね。 そこで各種Webサービスの埋め込み用HTMLを統一的に取得できるWebAPI『QuoteIt』を作りました。しかも、誰でも引用元を簡単に追加することができます。 http://quoteit.heroku.com/ 使い方 URLを指定すると、埋め込み用のHTMLを取得できます。 例えば、 http://twitpic.com/73wiodを埋め込みたい場合は、 http://quoteit.heroku.com/clip.html?u=http%3A%2F%2Ftwitpic.com%2F73wiod にアクセスするこ
OAuth 2.0やOpenIDの最新動向に追いつくために勉強したことまとめ。 - hsksnote
OAuthやOpenID、仕組みもよく知らずに使ってきた僕が、その最新動向に追いつくために勉強したことをまとめます。 きっかけは OpenID TechNight #7 をUstで見たことで、わからないことが山盛りだったので色々と調べてみた。 OpenID TechNight #7 : ATND 各発表のスライドへのリンクがあるよ。 キーワードとしては、OAuth 2.0、OpenID Connect、Cloud Identity、RESTful API、といったあたりについて。それぞれ基本的なことと、Ustで話されてたことをまとめる。 OAuth 2.0 OAuth 2.0でWebサービスの利用方法はどう変わるか(1/3)- @IT を先に読めばよかった。 簡単にまとめると、OAuth 1.0の問題点は3つあって。 認証と署名のプロセスが複雑 Webアプリケーション以外の利用が考慮されて
非技術者のためのOAuth認証(?)とOpenIDの違い入門【2023年版】
昔から、「OpenIDは認証でOAuthは認可だ」などということが言われます。しかし、その言語の意味を取り違えている方が結構多い気がしています。「もうOpenIDなんていらね。OAuthだけでいいじゃん」というような言説がよく流れてくるのがその証拠だと思います。OAuth認証というのもその類ですね。 そこで、今日はOAuthとOpenIDの違いを考えてみたいと思います。 OpenIDは紹介状、OAuthは合鍵 まずはOpenIDの概要の復習です。「OpenIDは認証」という言葉の内容をまずは復習してみましょう。 「認証」とは大変広い言葉でいろいろな場面で使われますが、「OpenIDは認証」という使い方の時は、「OpenIDは、いま来ている人の身元を認証」(ユーザ認証)という意味です。図にすると図1のような流れになります。 この例では、有栖さんがお客としてサービス提供をしているサイトである伊
antipop - ソーシャルグラフについて
Web 2.0の次はこれだ!との呼び声も高いソーシャルグラフについて、LiveJournalのファウンダーであり、数々の優れたソフトウェアの作者としても名高く、また、最近ではSixApartを離れることとなった件でその去就が注目されてもいるBrad Fitzpatrick氏が、"Thoughts on the Social Graph"と題するマニフェストを発表した。さっそく一読して、これこそが、今後追求されるべき課題だという思いを、いっそう強くすることとなった。そこで、理解を深めるために、翻訳を試みた。 原著者: Brad Fitzpatrick 協力者: David Recordon 超訳者: kentaro a.k.a. id:antipop 原文のURL: http://bradfitz.com/social-graph-problem/ ここしばらく、私はソーシャルグラフについて
はてなグループの終了日を2020年1月31日(金)に決定しました - はてなの告知
はてなグループの終了日を2020年1月31日(金)に決定しました 以下のエントリの通り、今年末を目処にはてなグループを終了予定である旨をお知らせしておりました。 2019年末を目処に、はてなグループの提供を終了する予定です - はてなグループ日記 このたび、正式に終了日を決定いたしましたので、以下の通りご確認ください。 終了日: 2020年1月31日(金) エクスポート希望申請期限:2020年1月31日(金) 終了日以降は、はてなグループの閲覧および投稿は行えません。日記のエクスポートが必要な方は以下の記事にしたがって手続きをしてください。 はてなグループに投稿された日記データのエクスポートについて - はてなグループ日記 ご利用のみなさまにはご迷惑をおかけいたしますが、どうぞよろしくお願いいたします。 2020-06-25 追記 はてなグループ日記のエクスポートデータは2020年2月28
ディレクター用OpenIDまとめ : LINE Corporation ディレクターブログ
明けましておめでとうございます。 今年もよろしくお願いいたします。 検索を担当しております須田です。 昨年に引き続き年明け1発目の投稿となりますが、OpenIDの利用について、ユーザー・サービス提供側(以下RP) のメリット/デメリット等をまとめてみました。OpenID導入を検討する際のお供にいかがでしょうか。 用語の定義 OP OpenID Provider (オープンID プロバイダ)の略で、OpenIDとして利用できるIDを発行しているサイトやサービス。 RP Relying Party (リライング パーティ)の略で、OpenIDでログインできるサイトやサービス ※PRじゃないよっ 認証 OPがそのIDは確かにエンドユーザーのものであるという事を保証すること 認可 OPで認証されたIDを許可し、サービスに対する権限を与えること 詳しくはこちらで。 今回はこれらの用語を使用して進めさ
APIアクセス権を委譲するプロトコル、OAuthを知る ― @IT
クロスドメインでのデジタルアイデンティティを守る APIアクセス権を委譲するプロトコル、 OAuthを知る 作島 立樹 NRIパシフィック 2008/1/21 マッシュアップと呼ばれる仕組みで、既存のWebサービスが次々とつながり、新たなサービスが登場している。しかし、メールアドレスなど重要な個人情報が意図せずに「つながれてしまう」可能性もある。そこで登場したのがアクセス権の「委譲」を目的としたプロトコル、OAuthである。本記事ではOAuthの仕組みとともに、なぜそれが登場したのかという背景にも触れる(編集部) マッシュアップの犠牲になるユーザーのアイデンティティ GETなどのHTTPメソッドをもちいてURLへリクエストする、いわゆる「RESTful」【注1】なWeb APIを使ったアプリケーション同士の交流は、いままさに隆盛を極めている。「マッシュアップ」と呼ばれているこのサービス形態
บาคาร่าออนไลน์ gamemeter.net
by Jessica Bates มิถุนายน 22, 2020 11:45 am ปิดความเห็น บน เล่นบาคาร่าให้ได้เงิน การลงทุนที่ดี มีหลักการในการลงทุน ABAGroup2, Blog, Casino, คาสิโน, คาสิโนออนไลน์, บาคาร่า, บาคาร่าออนไลน์, พนันออนไลน์, เว็บพนัน 6เทคนิคบาคาร่า, จุดอ่อนบาคาร่า, บาคาร่า, บาคาร่าออนไลน์, วิธี ดูลายไพ่ บา ค่า ร่า, วิธีเล่นบาคาร่า sa, วิธีเล่นบาคาร่าให้ได้เงินทุน100, สูตรบาคาร่า sa, สูตรเล่นบาคาร่าให้ใช้ฟรี เป็นวิทยาทาน,
OpenIDが面白いのはWebサービス間の連携2
OpenIDの話、続き。 前のエントリを書いたときには忘れていましたが、僕も昔、XML WebServicesがわさわさ出てきたときに、企画提案レベルで複数サービスの連携なんてのを考えてみたことがある。 例えば自分がアメリカに行くときに、飛行機を予約して、現地のレンタカーを予約して、その先に止まるホテルをオンラインで予約することを考える。 もし緊急事態で、飛行機の予約を一日ずれさなければならなくなったときに、飛行機の予約を変更したら、自動的もしくはとても簡単な連携で、レンタカーの予約も変更されて、ホテルの予約も変更してくれるようなサービス間連携ができるようなことができたら、それと同じような利便性で、いろんなことが便利になっていると思う。 これをどういう感じで実現するのか?と考えると、どう考えても複数サービスで串刺しのユーザー認証ができないとメリットとしては見えてこない。 逆に言えば、串刺し
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
http://www.machu.jp/posts/20110722/p01/
カーリル 日本最大の図書館蔵書検索サイト
docomo IDについて | NTTドコモ
http://www.machu.jp/posts/20090801/p01/
「iKnow!」が4月からOpenID準拠、Yahoo! JAPAN IDなどでログイン可能に