Webブラウザにパスワード入力機能,産総研がFirefoxとApacheモジュールを公開
産業技術総合研究所(産総研)とヤフーは2008年4月22日,パスワードを用いてWebブラウザ/サーバー間の相互認証を実現する認証プロトコル「HTTP Mutualアクセス認証」の実装をオープンソースとして公開した。同プロトコルを使うと,HTMLフォームではなくブラウザに設けた専用の入力域を用いてパスワードを暗号送信するため,フィッシング詐欺対策となる。サーバー側にはApacheのモジュール「mod_auth_mutual」として実装し,クライアント側としてFirefoxの機能を拡張したブラウザ「MutualTestFox」を開発した。 HTTP Mutualアクセス認証は,パスワードを用いてクライアントとサーバーが相互に相手を認証するプロトコルである。産総研とヤフーが2007年3月に発表した。同プロトコルの特徴は,ブラウザ上に設けた専用の入力域にパスワードを入力すると,暗号化処理を施した後
OpenLiberty.org,Webサービス・フレームワークのクライアント・ライブラリを公開
認証ベースのアプリケーションの開発を支援するオープンソース・コミュニティOpenLiberty.orgは米国時間2008年3月10日,Webサービス仕様「Liberty Identity Web Services Framework(ID-WSF)2.0」のクライアント・ライブラリ「OpenLiberty-J」のベータ版を公開した。OpenLiberty.orgのWebサイトから提供される。 OpenLiberty-Jは,セキュアで標準規格に準拠するWebアプリケーションの開発と導入の促進を支援するもの。開発者はID-WSFのセキュリティおよびプライバシ機能を,サービス指向アーキテクチャ(SOA)やWeb2.0のソーシャル・ネットワーキング環境において認証管理機能が必要とされるアプリケーションのほか,パソコンおよびモバイル機器上のクライアント・ベースのアプリケーションに迅速かつ容易に組み込
Python で OpenID の認証サーバーを動かしてみました : DSAS開発者の部屋
あるサイトで OpenID の使用を検討していて、備忘録をかねてブログにまとめててみようと思い記事にしてみました。 OpenID の基本的な用語説明と、OpenID 2.0 で新たに取り入れられた仕様についてまとめてみました。また、Python OpenID Library で用意されているサンプルのサーバーを動作させる方法について紹介してみたいと思います。 OpenIDに対応したサイトでユーザー登録したユーザーには、OpenID用のID(identifier:識別子)が割り当てられます。 ユーザー登録やパスワード管理などの機能を持たないサイトでは、ユーザーにこのOpenID用のIDを入力してもらい、 OpenIDの仕組みを使って安全にIDの認証と使用の認可の確認を行うことができます。 ユーザーは、認証サーバ側で認証機能を持たないサイトで、自分のアカウントが使用されることを許可する必要があ
OpenIDをとりまくセキュリティ上の脅威とその対策 - @IT
前回はConsumerサイトを実際に作る際のプログラミングに関してお話ししましたが、今回はOpenIDに関するセキュリティについて考えてみます。 今回取り上げるトピックとしては、 などを段階的に説明していきます。IdPの構築方法を知る前にOpenIDプロトコルのセキュリティに関して熟知しておきましょう。 OpenIDプロトコルにおける通信経路のセキュリティ ここまで詳細に解説してきませんでしたがOpenID認証プロトコルのフェイズにおいて、どのようにセキュリティ上の安全性を担保しているかを解説しましょう。 まずはassociateモードを正常に実行するSmartモードの場合です。 ConsumerはユーザーからのClaimed Identifierを受け取ると、associateのキャッシュが存在しない場合は新規にIdPに対してassociateモードのリクエストを行います。第3回で「as
http://mixi.jp/issue_ticket.pl は OpenID server だったよ - 知らないけどきっとそう。
mixiのURLにOpenIDっぽいパラメータがくっついてる件 http://blog.fkoji.com/2007/08051128.html OpenID大好きなので、少し調べてみました 結論から言うと、news.mixi.jp とか video.mixi.jp とかの、mixi.jp と別ドメインにセッションを引き渡すために使ってるぽい このあたりの話のあと、cookieのdomain指定をやめたのかもしれない http://kaede.to/~canada/doc/mixi-and-cookie リクエストのやりとりはこんな感じ ログインしてcookieもらう(domain指定なしなので mixi.jp にしか渡されない) POST /login.pl HTTP/1.1 Host: mixi.jp HTTP/1.x 200 OK Set-Cookie: BF_SESSION=***
【レポート】Web 2.0 Expo - 注目度急上昇、OpenIDはシングルサインオンの決め手となるか? | ネット | マイコミジャーナル
オープンなシングルサインオン・システム「OpenID」が注目されている。Microsoft、Verisign、diggなど、今年に入ってOpenIDをサポートの乗り出した企業や組織が倍増。約9000万のOpenIDが発行されているという。Web 2.0 ExpoのOpenIDセッションも、ほぼ満員の盛況ぶりだった。 寂しかった会場が半年で満員近くに 便利なWebサービスが増えるのはうれしいが、利用するサービスが増えるほどに、登録と認証の手間が増えてしまう。ブログにコメントしようとしたら、コメント・スパム対策で登録を求められた……。ネットを利用していれば、何度かユーザー登録を面倒に思ったことがあると思う。この問題を解決するために、MicrosoftのPassportやSix ApartのTypeKeyなど、複数のサービスへのシングルサインオン(SSO)を可能にする技術が登場した。だが、1社に
あなたのサイトをOpenID対応にしている2行の意味 ― @IT
OpenIDが知られるようになり、自分のURLにおいたHTMLヘッダに、link rel="openid.server"……から始まる2行を追加することで、自分のURLをIDとして利用ができる、ということを知っている方も多いかと思います。今回はヘッダに書かれた2行が、OpenIDの仕様ではどのように定義され、利用されているのかを解説します(編集部) 第1回ではOpenIDの基礎知識を取り上げ、登場する用語について説明していきました。今回は動作の概要として、具体的にClaimed IdentifierがVerified Identifierとなるための手続きについて説明します。前回紹介した用語をもう一度復習しながら読んでみてください。 Claimed Identifierの宣言 まずはOpenIDの動作概要について説明します。End UserがどのようにしてConsumerに対して自分のCl
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
