![三井住友銀行が「サイン認証」導入へ、筆運びデータで照合、印鑑不要に](https://cdn-ak-scissors.b.st-hatena.com/image/square/698502a4df46809b386bd3816456832aa7021a19/height=288;version=1;width=512/http%3A%2F%2Finternet.watch.impress.co.jp%2Fimg%2Fiw%2Flist%2F752%2F861%2Fimportant_image.png)
昔から、「OpenIDは認証でOAuthは認可だ」などということが言われます。しかし、その言語の意味を取り違えている方が結構多い気がしています。「もうOpenIDなんていらね。OAuthだけでいいじゃん」というような言説がよく流れてくるのがその証拠だと思います。OAuth認証というのもその類ですね。 そこで、今日はOAuthとOpenIDの違いを考えてみたいと思います。 Youtube版 OpenIDは紹介状、OAuthは合鍵 まずはOpenIDの概要の復習です。「OpenIDは認証」という言葉の内容をまずは復習してみましょう。 「認証」とは大変広い言葉でいろいろな場面で使われますが、「OpenIDは認証」という使い方の時は、「OpenIDは、いま来ている人の身元を認証」(ユーザ認証)という意味です。図にすると図1のような流れになります。 この例では、有栖さんがお客としてサービス提供をして
[PR]情報セキュリティへの意識が高まっている昨今、担当する人材の育成がますます重要になっている。取得者が体系的に情報セキュリティを理解していることを証明する国際的な認定資格、「CISSP」を紹介しよう。 社会インフラとして、企業活動や個人の生活に必須の存在になったインターネット。ツールとしてインターネットの利便性が向上する一方で、情報セキュリティの重要性が日々増している。情報セキュリティを高める目的は、業務や情報システムを運用していくうえでの安心・安全を高め、保持することだが、その実現には想定されるリスクを包括的に把握し、対処していくことが求められる。 リスクを認識し、積極的な予防策の実施を進めている企業や官公庁・自治体にとって、情報セキュリティを担当する人材の確保や育成が急務になっている。しかしインターネットにおける脅威が侵入するチャネルは多岐にわたり複雑化しているため、ますます高い専
CGMマーケティングは10月28日、日本版Twitter公式ガイド「twinavi」で、有名人アカウントがなりすましでないことを証明する「公式アカウント認証」をスタートした。 twinaviのリニューアルの一環。本人確認は、本人からの直接の連絡や所属事務所・関係者からの連絡などをもとに行う。認証済みアカウントはtwinaviで公認マークを付けて紹介し、本人からユーザーに向けたメッセージも掲載する。 米Twitterのアカウント認証と連動しており、認証したアカウントのTwitterページには、米国サイトの一部有名人アカウントに付いているものと同じ認証済みマークを付与する予定。 企業アカウントに対する公式認証は既に実施しており、登録開始から1カ月で100アカウントを超えた。 twinaviは9月16日にオープンしたばかり。リニューアルでは、APIを使った外部サービスやアカウントの紹介も強化。「
無料で利用できる StartSSL の証明書を使って、Apache + mod_ssl で HTTPS 通信ができるように設定をする方法です。StartSSL は、個人であれば、1年間の期限付きで SSL 証明書を無料で取得できます。ただし、ドメインの所有者である必要があります。 無料とはいえ、Firefox や Safari であれば、認証局として登録されているので、これらのブラウザで警告は出ません。残念ながら IE は対応していないようです。私の場合は Firefox で試しました。なお、私が試した内容を参考程度に書いているだけですので、この記事をもとに何か損害が発生しても、責任が取れません。くれぐれも自己責任でお願いします。 StartSSL に登録 まず StartSSL に登録します。StartSSL Free を選択し、「Register」を選択します。 住所、氏名、メールアド
すでに破られているハッシュアルゴリズムであるMD5を、SSLの証明書の検証に用いることによる危険については最近かなり聞くようになっている。米国時間1月17日、ある研究者がAuthenticodeで署名されたバイナリファイルと署名が一致する、悪意のあるソフトウェアの作成に向けて、大きな一歩を踏み出したことがわかった。 研究者のDidier Stevens氏は、Peter Selinger氏が説明する、同じMD5のハッシュ値を持つ2つの実行ファイルを生成する技術を使って、MicrosoftのAuthenticodeプログラムで署名された実行ファイルのペアを生成することもできることを示した。この技術を使うと、悪意のある人物が、Microsoftによって署名されており、正しいものとして検証されるが、実際には悪意のあるドライバを作成することが可能になる。 SSL問題の場合と同様に、Authentic
Webサイトの信用証明に使われるハッシュ関数アルゴリズム「MD5」の脆弱性を突いて、認証局(CA)が発行するSSL証明書を偽造することに、セキュリティ研究者が成功した。US-CERTや米Microsoftは、MD5はもはや安全ではないと指摘して利用中止を促している。 US-CERTなどによると、MD5の弱点を用いた衝突攻撃の理論は1996年から指摘されていたが、現実的な攻撃方法は示されていなかった。しかし、2008年末のセキュリティカンファレンスで、信頼されている認証局のSSL証明書を偽造できることが実証された。 大半のOSには信頼できる認証局の一覧が組み込まれており、この中には署名アルゴリズムにMD5を使っている認証局もある。攻撃者がその脆弱性を悪用すれば、主要ブラウザが認定している認証局の証明書を偽造し、悪質なWebサイト向けに有効なSSL証明書を発行できてしまう。ユーザーはSSL証明
文:Ryan Naraine(Special to ZDNet.com) 翻訳校正:石橋啓一郎 2009-01-06 14:15 米国と欧州のハッカーのグループが、200台からなるPlayStation 3のクラスターの計算能力と、約700ドル相当のテスト用の電子証明書を使い、既知のMD5アルゴリズムの脆弱性を標的にして偽の証明機関(CA)を作る方法を発見した。これは、すべての最新のウェブブラウザによって完全に信用されている証明書を偽造することを可能にするブレークスルーだ。 この研究は、現地時間12月30日にドイツで開かれていた25C3カンファレンスでAlex Sotirov氏とJacob Appelbaum氏が発表したものだ。この研究は、最新のウェブブラウザがウェブサイトを信頼する方法を事実上破り、攻撃者がほぼ検知不可能なフィッシング攻撃を実行する方法を提供する。 この研究が重要なのは、
■ IE 7の普及でサーバ証明書失効によるトラブルが表面化する Internet Explorer 6まででは、「サーバー証明書の取り消しを確認する」の設定(「インターネットオプション」の「詳細設定」タブのところにある)が、デフォルトでオフになっていたが、IE 7で、これがデフォルトでオンになった。 Internet Explorer 7 における HTTPS セキュリティの強化点, Microsoft Windows Vista にパフォーマンス強化および OCSP プロトコルのサポートが追加されたことで、Windows Vista 上で実行される IE7 では既定で失効状態のチェックが有効になり、セキュリティが強化されます。 この影響が出始めているようだ。 QNo.2856522 証明書エラーがでてしまいます・・, 2007年3月22日 ビスタに変えてから、XPの時に普通に入れていたサ
プログラムや重要な業務メールなどは、その出所を証明するためにデジタル証明書を付加している場合が多い。メーラの多くは、証明書のツリーをルート証明書までたどり、問題のないデジタル署名がなされているかチェックしている。 ファイルやメールの出所の確実性を保証するデジタル証明書だが、個人で利用するには、取得するための費用や手間の問題で、なかなか利用に踏み切れない場合が多いだろう。デジタル証明書が必要だがコスト面で導入できない、あるいはデジタル証明書の利用テストを行いたいというなら、個人向けのデジタル証明書を無料で発行してくれる認証局を利用すればよい。 Thawte Inc.[英語] Thawte Inc.は、デジタル証明書のプロファイルに一部制限があるものの、メール(S/MIME)に無料で利用できる「Personal E-mail Certificates」を提供している。Thawte Inc.の認
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く