OpenIDのライブラリにはCSRFに脆弱な物が多い
(Last Updated On: 2018年8月8日)GNUCitizenによると CSRF – It comes very handy. It seams that no matter how much you talk about it, very few pay attention on the problem. And it is not a problem that you can afford to have. And among the XSS issues, which most OpenID libraries have, CSRF (Cross-site Request Forgery) seams to be the most pervasive form of attack. http://www.gnucitizen.org/blog/hijacking-ope
koress.jp: OpenIDの使い方を2分40秒の動画で解説してみる
こんばんわ、Cigar-Cook@株安で必死です。 日本のYahooもOpenIDを発行するらしいです 先日OpenIDのまとめサイト「おぷん」を開設して、ほとんど宣伝していないにも関わらずそれなりにアクセス数があり、一応注目されてるんだなぁ、という感じです。Yahoo JapanもいよいよOpenID発行をするらしいので、これからはさらに注目されるんじゃないでしょうか。 実際OpenIDってどうやって使うの? 「おぷん」へのアクセスですが、Google Analyticsによれば、企業からアクセスされている方がめちゃくちゃ多いようです。 企業からアクセスされているWeb&IT業界の若人の中には、「おい山本!ヤフーがOpenIDってのを始めるらしいぞ!?これからはOpenIDだな!ハッハッハー。で、OpenIDって何?パパッと説明資料作って説明しちゃってYo!」という事態に陥ってる方も多い
OpenID と delegate の設定 | hiromasa.another :o)
なんだか Yahoo! さんも OpenID プロバイダをはじめるらしく、にわかにざわめきたっている OpenID。 インターネット上のシングルサインオンシステムですが、まぁ今は OpenID プロバイダばっかりたっていて、実際に使える Web サービスが少ないのでたいして身近ではないかもしれません。。 一応、OpenID ってなんだって話を書いてみると、 今は各 Web サービスに、パスワード等の情報をあずけているが、これを外部1つのサーバ (OpenID プロバイダ)に任せよう。 各 Web サービスにログインするときに使うのは、OpenID プロバイダから発行されたユーザIDを入力、パスワード等の認証はいっかい OpenID プロバイダの画面に飛ばされてそこで認証。 できたら、各 Web サービスに画面戻る。 見た目はこんな感じになります。 あっちこっちにパスワード登録しなくてすむの
【速報】日本のヤフーもOpenID発行サービス開始へ、近日中に正式発表
ヤフーは、シングルサインオン技術「OpenID」の発行サービスを近日中に開始する方針を固めた。2008年1月21日、日経パソコンの取材で明らかになった。すでに、OpenID発行サービスを1月末に試験提供することを米ヤフーは1月17日に発表済み。日本のヤフーも追従する。ただし、日米では別々のIDを発行することになる。 国内では、当面はヤフーIDを取得済みのユーザーが希望した場合にOpenIDを発行するが、将来はヤフーIDの取得と同時にOpenIDも発行したい考え。正式発表とサービス開始は、2~3週間後になる見通し。 OpenIDは、同じユーザーIDを複数のWebサービスで使えるようにする仕組みの一つで、米オープンアイディーファウンデーションが標準化している。同技術に基づいて構築された発行サービス上でIDを一つ取得すれば、OpenID対応のさまざまなWebサービスを、新規にユーザー登録すること
Yahoo!、OpenIDサポートを表明――Yahoo! IDで対応サイトへのログインが可能に
米Yahoo!は1月17日、オープンなデジタル認証技術「OpenID 2.0」のサポートを表明した。Yahoo!の登録ユーザーは、OpenID 2.0をサポートするほかのサイトにも、Yahoo! IDを使って認証手続きなしでログインできるようになる。 オープンソースコミュニティーから生まれたOpenIDは、無料で発行されるURL形式の共通IDで、さまざまなWebサービスを利用できる認証システム。既にAOLやMicrosoft、Sun Microsystemsなどがサポートを表明するなど普及が進みつつあり、現在、推定1億2000件を超えるURLがOpenIDとして使われており、9000以上のWebサイトがOpenIDでのログインをサポートしているという。今回、世界中のYahoo!登録アクティブユーザー2億4800万人が加わることで、OpenIDのアカウント数が約3倍の3億6800件に増加する
Re:本当は怖いOpenIDによる認証 - 日向夏特殊応援部隊
このエントリはmitani1207の日記の返信です。 OpenIDによる認証を受け入れるということは、自分のサイトのIDとパスワードの管理を外部サイトに委託することになる。 外部サイトがパスワードをどう管理しているかはわからない。もしかしたら、生でDBに保存してあって、管理者がSELECT * FROM USER_TABLEとかで簡単にとれちゃったりするかもしれない。これは課金情報やプライベートなデータを扱っているサイトにとっては心配だ。 この前提は同感ですね。 OP(IdP)がどのような管理を行っているかなんて、利用者あるいはRP(Consumer)からは判断のしようが無いですからね。 でこの辺りの話は手前味噌ですが、@ITでのOpenIDの連載で書かせて頂きました。 OpenIDをとりまくセキュリティ上の脅威とその対策 (3/3):OpenIDの仕様と技術(4) - @IT にある、「
OpenID や OAuth の役割と、既存のシングル・サインオンとの違い:Goodpic
This shop will be powered by Are you the store owner? Log in here
OpenIDをとりまくセキュリティ上の脅威とその対策 - @IT
前回はConsumerサイトを実際に作る際のプログラミングに関してお話ししましたが、今回はOpenIDに関するセキュリティについて考えてみます。 今回取り上げるトピックとしては、 などを段階的に説明していきます。IdPの構築方法を知る前にOpenIDプロトコルのセキュリティに関して熟知しておきましょう。 OpenIDプロトコルにおける通信経路のセキュリティ ここまで詳細に解説してきませんでしたがOpenID認証プロトコルのフェイズにおいて、どのようにセキュリティ上の安全性を担保しているかを解説しましょう。 まずはassociateモードを正常に実行するSmartモードの場合です。 ConsumerはユーザーからのClaimed Identifierを受け取ると、associateのキャッシュが存在しない場合は新規にIdPに対してassociateモードのリクエストを行います。第3回で「as
koress.jp: OpenIDの襲来に備えよ!
追記: OpenID対応サービスまとめを作りました。 たぶん、2008年のインターネット(Webサービス)業界はOpenIDによるWebサービスのID体系の統一の荒波に揉まれることになると思う。日本のサービスプロバイダは、OpenIDの襲来に備えるべき。 海の向こうではすでにDigg, Wikipedia, Yahoo, Microsoftなどが導入や支持を発表しているほか、多くの小さなネットサービスはOpenIDに頼ったアーリーアダプタの取り込みに積極的になってる。日本国内ではどうかと言えば、niftyのaboutmeなどを除いて大手のWebサービスは未だ様子を見ている状態。リサーチレベルでは重要性が把握されつつある一方、経営レベルでは「なにそれ」的な状態が多そう。いかん、いかんよ。 2008年、YahooかAmazonかGoogleかわからないけれど、ほぼ間違いなくどこかの日本の大手の
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
おぷん: 日本語OpenID対応サービスまとめ