Ex DOM Storage をリリースしました - Yet Another Hackadelic
結構前に作っていたんだけど、IE6, IE7 でも動作する DOM Storage を作ったので、きちんと告知します。 追記 ちなみにサーバーにファイル置くだけで動きます。ユーザーに何かインストールさせる必要はありません。(2008-09-24T11:45:56+09:00) CodeReposにソースを移動しました。(2008-09-24T12:37:24+09:00) Ex DOM Storage dist http://svn.coderepos.org/share/lang/javascript/exdomstorage/tags/0.01/ source http://svn.coderepos.org/share/lang/javascript/exdomstorage sample http://svn.coderepos.org/share/lang/javascript/
速報、1500万人が使える mixi OpenID の技術面を解説するでござるの巻 - Yet Another Hackadelic
と言う訳でついに来ましたね。 http://mixi.jp/openid.pl mixi OpenID << mixi Developer Center (ミクシィ デベロッパーセンター) 中の人、お疲れ様でした。 実はさっきまで mixi に行って技術的な意見交換などしてきました。mixi OpenID の技術的な側面なんかを簡単に紹介したいと思います。 ミクシィ認証 これは普通の OpenID Provider の挙動と同じです。僕のアカウントは http://mixi.jp/show_profile.pl?id=29704 なので僕の OP Local Identifier は、 https://id.mixi.jp/29704ここでお気づきの方も居るかと思いますが、OP Local Identifier 自体も https で提供されています。さて最初の html の内容を確認して
WASForum Conference 2008 での OpenID のセキュリティについてのスライドを公開します - 日向夏特殊応援部隊
後にも先にもセキュリティがメインテーマの集いでお話する事が無さそうな id:ZIGOROu です。他のスピーカが全員スーツで来る中、一人私服で来ると言う緊張感の無さ*1でしたが、実際は激しく緊張してましたw 7/5 Developers DAY – 事件は現場で起こっている……セキュリティライフサイクルとマルプラクティス | Web Application Security Forum - WASForum にて講演したスライドを公開します。 The Security of OpenID Authentication 2.0 (PDF ファイル) 話の内容ですが、 OpenID プロトコルの概要 OpenID のセキュリティ discovery association RP の詐称と return_to, realm nonce の確認 Identifier 再利用問題 Reputatio
OpenID に対する中間者攻撃のデモ - 日向夏特殊応援部隊
いわゆる man-in-the-middle attack って奴ですが精巧にデモを作った人がいました。 デモサイト 紹介記事 予め言っておきますが、デモサイトはフィッシングのデモなので素人は正しいパスワードは決していれない事。あるいは使わない事。*1 試したけど、idtheft.fun.de と言うドメインは変わらない物の、入力した Identifier に応じた OpenID Provider そっくりの画面が出て来た。myopenid.com, claimid.com で確認しました。 素人さんはこれは気づかないんじゃないのかなー。 ちなみに以前紹介した Sxipper の Firefox 拡張 を使えば見事にフィッシング検出されました(ぉ ちゃんと読んで無いと先に断っておきますが、紹介記事は多分パスワード認証よりCardSpaceみたいのがいいよねって感じを暗に訴えてるように思える
OpenID Tech Night #1で話してきました - 日向夏特殊応援部隊
本日、OpenID Japanの技術イベントにてスペシャルゲスト(笑)として登場しました。 いやー、なんかみんなこうあれですよね、とにかく物凄い緊張しました(ぇ で、今日の感想とかとか。 OpenID Authentication 2.0 〜概要とシーケンストレース〜 =natさんこと崎村さんと=katsuさんによるプロトコルのガチ解説。 curlでディスカバリの話をしているときはともかくしてパケットキャプチャしだした辺りからガチ過ぎて面白かったw 9.2. Realms 11.2. Verifying Discovered Information もきちんと話していて素晴らしいーと思った。 Realmとreturn_to辺りの話とか、RP Discoveryとかの話は@ITの連載とかでいつか真面目に話そうかなと思います。 Building Relying Party Best Pract
Re:OpenID再利用問題 - 日向夏特殊応援部隊
Young risk taker.: OpenID再利用問題 この話は非常に興味深いですね。 もしも、私達が利用しているOpenIDプロバイダがドメインの更新を忘れて、第三者にドメインが取得された場合、私達のアカウントがこの第三者により不正に使用される可能性が出てくる。 事業者としてやりきる覚悟が無いならば OpenID Provider にはなって欲しくないし、まぁさすがに全うなネット事業者ならまずそういう事はあり得ないとは思いますけど。 ユーザは、セキュリティ的、高可用性の両方の側面からRelying Partyでのユーザ登録に、OP-Local Identifierを使用すべきではない。 言わんとしている内容は理解出来ますが、普及の点からすれば多くのユーザーは自分のドメインでdelegateしているなんて考えにくく OP-Local Identifier をそのまま使っているであろう
YadisとOpenIDの関係 (1) - Yadisの用語 - 日向夏特殊応援部隊
OpenID Authentication 2.0から正式にXRIおよびYadis Protocolが仕様に盛り込まれました。 一度きちんと勉強したいと思っていたのでYadisについてまとめると共にOpenIDとどのように関連しているのかまとめたいと思います。 Yadisとは Yadisの概要 こちらは本家のWhat is Yadisが非常に簡潔に説明しています。 Given an identity URL and no other information, how do we know what protocol needs to be used to authenticate that user? Yadis is a service discovery system allowing relying parties (aka identity consumers or members
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
