OAuth Sequence Diagram Template - 日向夏特殊応援部隊
OAuth Sequence Diagram Template とりあえず、OAuth のお勉強用にテンプレ化。Web Sequence Diagrams すげー便利だなー。 participant User participant Consumer participant "Service Provider" note over Consumer 6.1 Obtaining an Unauthorized Request Token end note Consumer->"Service Provider": "6.1.1. Consumer Obtains a Request Token" activate "Service Provider" "Service Provider"->Consumer: "6.1.2. Service Provider Issues an Unauth
速報、1500万人が使える mixi OpenID の技術面を解説するでござるの巻 - Yet Another Hackadelic
と言う訳でついに来ましたね。 http://mixi.jp/openid.pl mixi OpenID << mixi Developer Center (ミクシィ デベロッパーセンター) 中の人、お疲れ様でした。 実はさっきまで mixi に行って技術的な意見交換などしてきました。mixi OpenID の技術的な側面なんかを簡単に紹介したいと思います。 ミクシィ認証 これは普通の OpenID Provider の挙動と同じです。僕のアカウントは http://mixi.jp/show_profile.pl?id=29704 なので僕の OP Local Identifier は、 https://id.mixi.jp/29704ここでお気づきの方も居るかと思いますが、OP Local Identifier 自体も https で提供されています。さて最初の html の内容を確認して
OpenID Provider のセキュリティ対策 (2) - return_to と realm のチェックを怠るな! - 日向夏特殊応援部隊
OpenID Provider のセキュリティ対策 (1) - まずは SSL を導入!話はそれからだ - Yet Another Hackadelicの続編です。 はじめに RP が認証アサーションリクエストである checkid_setup/checkid_immediate を行う際には通常は return_to と realm を指定します。 return_to とは OP から認証アサーションレスポンスを間接通信で受け取る際に戻って来るURLの事。RP が指定しておく。 realm とは return_to のパターンをワイルドカードを使って表現する。 return_to と realm の検証 基本的に return_to の先は http://openid.art-code.org/handler であるという前提で。便宜上番号振りました。 (1) 期待通りの組合せ real
WASForum Conference 2008 での OpenID のセキュリティについてのスライドを公開します - 日向夏特殊応援部隊
後にも先にもセキュリティがメインテーマの集いでお話する事が無さそうな id:ZIGOROu です。他のスピーカが全員スーツで来る中、一人私服で来ると言う緊張感の無さ*1でしたが、実際は激しく緊張してましたw 7/5 Developers DAY – 事件は現場で起こっている……セキュリティライフサイクルとマルプラクティス | Web Application Security Forum - WASForum にて講演したスライドを公開します。 The Security of OpenID Authentication 2.0 (PDF ファイル) 話の内容ですが、 OpenID プロトコルの概要 OpenID のセキュリティ discovery association RP の詐称と return_to, realm nonce の確認 Identifier 再利用問題 Reputatio
mtasc で始める ActionScript2 プログラミング - 日向夏特殊応援部隊
mtasc はフリーの AS2 コンパイラです。chumby のガジェットを作る為に試しに使ってみる事にしてみました。 ちなみに思いっきり cygwin 上で使う事を想定していますw ダウンロードとインストール download から各OS用の実行バイナリを取ってきて適当な場所で展開して下さい。 $ cd /usr/local/src $ wget http://www.mtasc.org/zip/mtasc-1.13.zip $ unzip -d /usr/local mtasc-1.13.zip $ cd .. $ ln -s mtasc-1.13 mtasc $ chmod +x mtasc/mtasc.exeまぁこんな感じで終了。 後は .bashrc などでPATHを通しておきましょう。 export PATH="$PATH:/usr/local/mtasc" trace と m
OpenID に対する中間者攻撃のデモ - 日向夏特殊応援部隊
いわゆる man-in-the-middle attack って奴ですが精巧にデモを作った人がいました。 デモサイト 紹介記事 予め言っておきますが、デモサイトはフィッシングのデモなので素人は正しいパスワードは決していれない事。あるいは使わない事。*1 試したけど、idtheft.fun.de と言うドメインは変わらない物の、入力した Identifier に応じた OpenID Provider そっくりの画面が出て来た。myopenid.com, claimid.com で確認しました。 素人さんはこれは気づかないんじゃないのかなー。 ちなみに以前紹介した Sxipper の Firefox 拡張 を使えば見事にフィッシング検出されました(ぉ ちゃんと読んで無いと先に断っておきますが、紹介記事は多分パスワード認証よりCardSpaceみたいのがいいよねって感じを暗に訴えてるように思える
Re:OpenID再利用問題 - 日向夏特殊応援部隊
Young risk taker.: OpenID再利用問題 この話は非常に興味深いですね。 もしも、私達が利用しているOpenIDプロバイダがドメインの更新を忘れて、第三者にドメインが取得された場合、私達のアカウントがこの第三者により不正に使用される可能性が出てくる。 事業者としてやりきる覚悟が無いならば OpenID Provider にはなって欲しくないし、まぁさすがに全うなネット事業者ならまずそういう事はあり得ないとは思いますけど。 ユーザは、セキュリティ的、高可用性の両方の側面からRelying Partyでのユーザ登録に、OP-Local Identifierを使用すべきではない。 言わんとしている内容は理解出来ますが、普及の点からすれば多くのユーザーは自分のドメインでdelegateしているなんて考えにくく OP-Local Identifier をそのまま使っているであろう
Re: OpenID Tech Night Vol.1 - Yet Another Hackadelic
tkudoさんに早速色々とパクって引用して頂いたので、レスって事で。 http://blogs.sun.com/tkudo/entry/openid_tech_night_vol_1 が元ネタです。 RP Discovery の件 ぼくも, この RP Discovery のネタがセッションの中で出てきたときには, そこまで話すのかーと思ってニヤニヤしてしまった. ちなみに資料では 「利用している OP は殆ど無い」 となってるけど, 少なくとも一社, Yahoo! がやってるらしい. このRP Discoveryって良い仕組みかもなと思いました。 事前にRPが自分の return_to と realm を指定しておいて、おかしなリクエストが来ていたら弾くってのは、 リダイレクトベースの認証プロトコルでは安全性が増すのかなと。 Yahoo! の OP としての実装はさすがに手堅いと思わせる
OpenID Tech Night #1で話してきました - 日向夏特殊応援部隊
本日、OpenID Japanの技術イベントにてスペシャルゲスト(笑)として登場しました。 いやー、なんかみんなこうあれですよね、とにかく物凄い緊張しました(ぇ で、今日の感想とかとか。 OpenID Authentication 2.0 〜概要とシーケンストレース〜 =natさんこと崎村さんと=katsuさんによるプロトコルのガチ解説。 curlでディスカバリの話をしているときはともかくしてパケットキャプチャしだした辺りからガチ過ぎて面白かったw 9.2. Realms 11.2. Verifying Discovered Information もきちんと話していて素晴らしいーと思った。 Realmとreturn_to辺りの話とか、RP Discoveryとかの話は@ITの連載とかでいつか真面目に話そうかなと思います。 Building Relying Party Best Pract
「第5回 Googleデベロッパー交流会 - OpenSocial 」レポート - 日向夏特殊応援部隊
第5回 Googleデベロッパー交流会 - OpenSocialに行って来ました。 会場は青山ダイヤモンドホールと言うバブリー場所でした。素敵ー。 通訳さんの声が凄いハスキーボイスでした。>< 基調講演 タイトル:OpenSocial 概要: 講師:クリス シャルク: 概要:OpenSocialの概要及び基本的な使用方法 今のバージョンは0.7(0.5からスタート) JavaScript API People and Friends Data API Activities Data API Persistence Data API JS友達一覧を取れたりとか。Containerに実際には入ってる。 Activityは自分がやってることをContainerに通知する。 Persistentはデータの取得・格納とか。(AXともろにブッキング?) Container Software - Shi
Re:OpenIDが面白いのはWebサービス間の連携 - 日向夏特殊応援部隊
概ね核心をついているんだけど、少し分かりにくいと思ったので補足してみたりとか。 元ネタ F's Garage @fshin2000 :OpenIDが面白いのはWebサービス間の連携 結局、それなりに責任が伴うサービスとしては二段構えの対応にならざるを得なく、「お試し利用としてのOpenID対応」というフェーズと、「本気で使うならうちに個人情報を登録してね」という状態は分かれるだろう。 ユーザーサポートが絡むサービスであればあるほど、この部分は意識せざるを得ないし、マーケティングという大人の事情も絡めば絶対に無視できない。ネットのサービスはHTTPだけで完結するものではない。 f-shinさんが言っている「お試し利用」と「本気の利用」ってのは恐らく、メールアドレス等の個人情報を自前で持つか持たないかの話だと思うんですが合ってますかね? Simple Registration Extensio
builder tech day - openAPI & beyondでOpenIDのLTしてきた - Yet Another Hackadelic
題して「もしm○xiがOpenID Providerになったら」です。 5分くらいでOpenID 2.0の新しくなった点について分かる内容にしました。 そんときのスライド OpenID 2.0 Quick Note まぁ良かったら見て下さい。 当日の様子 なんか前に座ってる人たちの行儀が悪過ぎてDNBK 特に眼鏡掛けてたちっちゃい人、id:lopnorにそっくりな人の自重出来なさっぷりにDNBK =natさんニコニコしてた tmaesakaさんが英語ペラペラで遠い存在に感じた id:lyokatoと僕は仲間だと思った(英語的に) norahmodelさん来てた。今度三国志トークする id:TAKESAKOより早く会社出たのに現地に着いたのは僕の方が遅かった>< Mac勢がほぼ全滅してた と言う訳で、中々素敵な会でした。 CNETさん、本当にありがとうございました。
もしmixiが2.0対応のOpenID Providerになったら - 日向夏特殊応援部隊
と言う激しい釣りタイトル。 http://blogs.sun.com/tkudo/entry/using_pseudonym_in_openid2_deployment を見ていて、あぁなるほどなーと思った次第なので良い機会なので、mixiが、OpenID Authentication 2.0対応のRPになるとするならば、こんな風にしては如何?と言う内容です。 まずはきっかけ 具体的には OpenID.ee と Yahoo!. それぞれ自身の管理しているアカウント名とは別の識別子を, RP (Relying Party) ごとにランダムに生成し払い出すらしい. (中略) Yahoo! JAPAN がやろうとしている OpenID Provider の設定は知らないけど, もし Yahoo! と同じだとすると, Yahoo!IDは微妙にセンシティブだと思っていて、あまり公開したくないような人
linksafeで自分のi-nameを取ってみた - 日向夏特殊応援部隊
ちょっとまだi-namesと言う枠組みを理解しきってないんですが、linksafeと言うi-name providerで自分のi-nameを取ってみました。 xri://=zigorou http://xri.net/=zigorou みたいな感じです。 ブログならばXRIでは =zigorou/(+blog) みたいな感じ。 linksafeは残念ながら通常は有料みたいです。*1 i-nameは個人用途とビジネス用途があって、 =zigorou みたいのは個人用途 @hatena みたいのはビジネス用途 のようです。 これはURLで言うところのドメイン名だと考えれば凄いしっくり来るし、何故有料なのかも良く分かりました。 個人用はlinksafeで年12ドルなので大した額じゃないし、ビジネス用途でも年55ドルなのでこちらも大した事は無いですね。 linksafeでのサービスは下記のような感
Relying Party, OpenID Providerの評価と責任 - 日向夏特殊応援部隊
=natさんのReputation Service構想から思った事を書いてみます。 最も気になるのは、 評価基準はばらばらでしょう。少なくとも最初からあると思われるのは、OPやRPの運用品質についての監査評点と、運用者の会社としての財務評点だとおもいます。 の下りです。 追記(2008-02-02T19:38:14+09:00) コメント欄に=natさんによる噛み砕いた説明があるので、そちらも合わせてみて下さい。 RPへの監査は現実的な運用が出来るのか これはそもそも、Reputation Serviceが複数あり尚且つOP, RP, End Userそれぞれが互いに評価する枠組みの中で、真っ先にその評価の種となるのはどこなんだろうと言う僕の質問に対する回答で、概ね同意出来るんですが、OPでは無くRPの方に関しては現実的に運用出来るのかなと思いました。 現在もまたこれからもそうでしょうが、
OpenIDの使いどころ - 日向夏特殊応援部隊
id:teahutさん*1が早速反応してくれたので、さらに被せちゃいます。 たけまる / OpenID に向いている認証と向いてない認証 の返信です。 OpenIDの使いどころについての分類 Sreg*2やAX*3の存在も含めると、OpenIDの持つ主要な機能は二つで、 IDの認証 IDに関連するメタデータの取得・設定 だと思います。 で前のエントリや、たけまるさんのエントリでは認証と言う機能が適用されるシーンについての話だったかと思います。 認証について たけまるさんはざっくり言えば、ヘビーな用途*4とライトな用途*5に分けてるのかなと思いました。これは分かりやすい分類ですね。 現時点の OpenID は,2. を対象としているのでしょう.サービスの都合でユーザのトラッキングを行いたい. でも,わざわざ新規登録するのは敷居が高くて,多くの人に使ってもらえない. じゃあ,OpenID でユ
Re:本当は怖いOpenIDによる認証 - 日向夏特殊応援部隊
このエントリはmitani1207の日記の返信です。 OpenIDによる認証を受け入れるということは、自分のサイトのIDとパスワードの管理を外部サイトに委託することになる。 外部サイトがパスワードをどう管理しているかはわからない。もしかしたら、生でDBに保存してあって、管理者がSELECT * FROM USER_TABLEとかで簡単にとれちゃったりするかもしれない。これは課金情報やプライベートなデータを扱っているサイトにとっては心配だ。 この前提は同感ですね。 OP(IdP)がどのような管理を行っているかなんて、利用者あるいはRP(Consumer)からは判断のしようが無いですからね。 でこの辺りの話は手前味噌ですが、@ITでのOpenIDの連載で書かせて頂きました。 OpenIDをとりまくセキュリティ上の脅威とその対策 (3/3):OpenIDの仕様と技術(4) - @IT にある、「
Sxipperが提供するOpenIDを使ったFirefox拡張はテラ便利 - Yet Another Hackadelic
皆様あけましておめでとうございます。 本年もよろしくお願い致します。 さて新年初エントリはOpenIDネタから。 Sxipper*1はOpenID 2.0に対応した数少ないOP*2ですが、ここで提供しているFirefoxの拡張機能が物凄い便利です。 これはOpenIDに限った形では無いのですが、 プロフィールデータがローカルで暗号化されて保存されて それらを任意のフォームで可能な限り入力補完してくれて さらにログインフォームと思しきフォームではクリック一つでログイン出来る といった拡張です。VeriSignもその手の拡張*3を作っていますが、余り使い勝手が良くないのに対して、Sxipperの拡張は使い勝手が良いです。 現在、シングルサインオンとセッション管理辺りに関して、工藤さんとたけまるさんが非常に面白い話をしています。 http://blogs.sun.com/tkudo/entry/
OpenID関連の和訳をCodeReposで始めました - 日向夏特殊応援部隊
http://svn.coderepos.org/share/docs/openid/specs/authentication/2.0/trunk/ この辺りでやってます。 残念ながら素のhtmlで見るのは難しいみたいですね。id:iwaimさんの指摘によりhtml版は削除しました。サーバー上にたまに更新したら置くようにします。 一応、見れるように自分のサーバーにも置きました。 http://text.art-code.org/specs/openid/openid-authentication.html まだ始めたばかりですので、全然完成はしていません。 更新したらたまに反映するかもしれません。 凄い注意点 当たり前ですが、 正規の仕様はOpenID Foundation websiteにある英語版です。この日本語版は参考にすぎません。 この日本語訳には、翻訳上の誤りがあり得ます。翻訳者
Yet Another Hackadelic - OpenID Providerのreputation問題、AOLの方針など
久しぶりに真面目にエントリを書いて見ます。OpenIDのreputation問題に関して、AOLがちょっと前に打ち出した一つの方針について思うところを書いてみます。 reputationとは OpenIDに関するreputation問題とは、Claimed Identifierが指し示すIdP/OP*1が信頼するに値するかどうかと言う評価・評判の事です。 と言うのもIdP/OPと言うのは誰でもでっち上げる事が出来るので、どこの馬の骨とも分からないIdP/OPでも何も対策しなければ許可してしまうのがOpenIDの仕様です。 そのIdPを提供するwebサイトに脆弱性があり、アカウントがクラックされでもしたら、そのようなアカウントをもって認証されたユーザーを信頼できるでしょうか。 よって何らかの指針を持ってして、OpenIDのIdP/OPを評価しなければならないのでは無いか…と言うお話です。 A
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
