OAuthとOpenIDに深刻な脆弱性か--Facebookなど大手サイトに影響も
OpenSSLの脆弱性「Heartbleed」に続き、人気のオープンソースセキュリティソフトウェアでまた1つ大きな脆弱性が見つかった。今回、脆弱性が見つかったのはログインツールの「OAuth」と「OpenID」で、これらのツールは多数のウェブサイトと、Google、Facebook、Microsoft、LinkedInといったテクノロジ大手に使われている。 シンガポールにあるNanyang Technological University(南洋理工大学)で学ぶ博士課程の学生Wang Jing氏は、「Covert Redirect」という深刻な脆弱性によって、影響を受けるサイトのドメイン上でログイン用ポップアップ画面を偽装できることを発見した。Covert Redirectは、既知のエクスプロイトパラメータに基づいている。 たとえば、悪意あるフィッシングリンクをクリックすると、Faceboo
ついに「OpenID Connect」仕様が標準化
米OpenID Foundationは2014年2月26日、さまざまなWebサイトやモバイルアプリケーションの間で、適切な相手にデジタルアイデンティティ情報を流通させるための技術である「OpenID Connect」の仕様を最終承認した。これに合わせてOpenIDファウンデーション・ジャパンは、OpenID Connect仕様群の日本語訳を公開している。 Webサービスやモバイルアプリケーションの普及に伴い、多様で便利なサービスを利用できるようになった半面、管理すべきIDとパスワードも増加した。その結果、エンドユーザーがさまざまな煩雑さを強いられたり、パスワードの使い回しによるセキュリティリスクが増大するといった課題も浮上している。 OpenID Connectは、こうした課題の解決を目指し、OAuth 2.0をベースにして策定されたAPI仕様だ。ユーザーとサイトが常に1対1で認証を行う代
ssig33.com - OAuth とか OpenID とかのフローを利用してフィッシングする話
はじめに。これは霊界に住む死者からの通信に基き書かれた記事です。しかし文責は私にあります。 OpenID はパスワードの授受なしに認証の伝達が出来る仕組みです。 OAuth はパスワードの授受なしでリソースへのアクセス権限を委譲出来る仕組みです。 こうした仕組みを用いて外部サイトと連携している限り、外部サイトへパスワードなどが流出する可能性は低いです。また外部サイトが所有する OAuth の token などが外部に流出たとしても、サイトの利用者や OAuth を提供するプロバイダーがその token を早期に無効にすることが出来ます。 しかしセキュリティへしっかり配慮されて作られた OpenID や OAuth をパスワードを抜く為のフィッシングに使用することが出来ます。以下のような具合です。 OpenID 経由で外部サイトにログインしようとする/OAuth を使用して外部サイトに権限を
非技術者のためのOAuth認証(?)とOpenIDの違い入門【2023年版】
昔から、「OpenIDは認証でOAuthは認可だ」などということが言われます。しかし、その言語の意味を取り違えている方が結構多い気がしています。「もうOpenIDなんていらね。OAuthだけでいいじゃん」というような言説がよく流れてくるのがその証拠だと思います。OAuth認証というのもその類ですね。 そこで、今日はOAuthとOpenIDの違いを考えてみたいと思います。 OpenIDは紹介状、OAuthは合鍵 まずはOpenIDの概要の復習です。「OpenIDは認証」という言葉の内容をまずは復習してみましょう。 「認証」とは大変広い言葉でいろいろな場面で使われますが、「OpenIDは認証」という使い方の時は、「OpenIDは、いま来ている人の身元を認証」(ユーザ認証)という意味です。図にすると図1のような流れになります。 この例では、有栖さんがお客としてサービス提供をしているサイトである伊
認証基盤連携フォーラムの活動は終了しました。
認証基盤連携フォーラムの活動は終了しました。 5秒後に、Web Archive に飛びます。
ID連携で異なるサービスを利用する可能性と課題――推進団体が報告
認証基盤の連携によるサービスの可能性と課題について、認証基盤連携フォーラムが実証実験の結果を報告した。 認証基盤連携フォーラムの実証実験ワーキンググループ(WG)は3月26日、このほど実施した「認証基盤連携による認証基盤間の相互運用性確保の実証」の実証実験の結果について報告した。 この実験は、総務省のICT先進事業国際展開プロジェクトの1つとして実施されたもの。電気通信事業者の異なる認証基盤の相互運用性を確保することで、ユーザーが複数のコンテンツやサービスを1つのIDで利用できることを目指している。 実験では、1人のユーザーがPCと携帯電話で異なるIDを利用しても容易に本人確認ができる方式や、OpenIDを携帯電話で利用する上での課題検証、必要とする情報の重要度に応じて認証手段を使い分ける方法といった、さまざまなテーマで実施された。 NTTドコモが主体となった実験では、まずPCサイトにログ
リアルビジネスと融合するOpenID - @IT
2009/01/28 ブログやソーシャル系サービスなど、Web2.0的サービスのシングル・サイン・オン技術(SSO)として登場したOpenIDだが、米国をはじめとするグローバルな市場での受容と、日本での受容には大きな違いがあるようだ。1つは、OpenIDの認知度や利用率が日本では突出して高いこと。もう1つは、Webサービス系の連携のフレームワークとしてよりも、インターネットサービスではない“非Web系”の連携ツールとして、OpenIDがリアルビジネスと結びつく形での普及の兆しが見えてきたことだ。 野村総合研究所(NRI)は1月28日にセミナーを開き、日本のID関連ビジネスの動向やOpenIDを使った事例紹介、同社の戦略について説明した。 ネットのデファクト、5億個のOpenID 「利用者への普及という点では、日本は世界的にも突出している」。こう語るのは、自らもOpenIDの仕様策定に加わる
Google と DISQUS と coComment は OpenID を勉強し直すべき
怒りのブロガ 今回は珍しく、怒りにまかせて記事を書いてみる。 「怒っているときに決断すると失敗する」という話があって、その通りだと自分も思う。しかし、今回ばかりはガマンができなかった。それに、賛同者も多いと思う。 間違いがあったら、どうぞご指摘ください。 (そう言いながら、何度も読み直してツッコミどころをなくすのが、自分らしい) OpenID の正しい使い方とは ブログにコメントを残す際に、「ワタシが書いたこと」を証明したい。「通りすがり」ではイヤだ。そういった欲求を満たす方法はいくつかある。 一般的なブログサービスであれば、ID を持っている人は簡単にその証明ができる(はてなダイアリーの場合、はてなにログインしているとコメント欄に自分の ID が表示されていて、たまにビックリするが……)。 Movable Type(MT)などのブログシステムも、ユーザ登録が可能だ。サイトごとに固有の I
ホワイトリスト方式のOpenIDログインフォームは美しくない - ただのにっき(2008-09-12)
■ ホワイトリスト方式のOpenIDログインフォームは美しくない 先日のGINZA TECH LOUNGE feat. OpenIDで、OpenIDのログインフォームにはまだ決定版がないという話が出ていて、たしかに2.0になってからかえって混迷してきているように思う。 1.1の頃は「IDを単一のURLにすることでシングルサインオンが実現できる」というのがOpenIDが示すビジョンで、OpenID用のフォームの形式が統一されればブラウザが対応することで入力の手間も省けるようになるだろうという話だった。 個人的にはこれはとてもすっきりしていてよくわかるので、自分のOpenIDは頑なに一個だけ、この日記のURLを使うようにしている。Delegate先は時々変えているけど、最近はさすが老舗というか、安定しているのでTypeKeyで固定。ちょっと前まではてなを使っていたけど、ぜんぜんメンテされてなさ
mixiコミュ限定の会員制サイト作れる「mixGroup」 「1晩で作った」
CMSやWebサイト構築を手がけるディバータ(新宿区)は8月21日、特定の「mixiコミュニティ」に参加しているメンバーだけがアクセス可能な会員制サイトを構築できる無料サービス「mixGroup」(ミックスグループ)β版をオープンした。ミクシィが前日に公開した「mixi Open ID」を利用し、1晩で完成させたという。 コミュニティのIDと管理者メールアドレス、パスワードなどを設定すると、そのコミュニティのメンバーだけがアクセス・編集可能な会員制サイトを構築できる。 掲示板やフォトアルバム、ブログ、用語辞典、RSSリーダー、カレンダー、アクセス履歴管理など多様な機能を備え、コミュニティメンバーの権限(「全機能を閲覧できるが編集はできない」「ブログは編集できるが用語辞典は編集できない」など)は管理者が機能ごとに細かく設定できる。 20日に公開されたmixi OpenIDの認証機能「コミュニ
速報、1500万人が使える mixi OpenID の技術面を解説するでござるの巻 - Yet Another Hackadelic
と言う訳でついに来ましたね。 http://mixi.jp/openid.pl mixi OpenID << mixi Developer Center (ミクシィ デベロッパーセンター) 中の人、お疲れ様でした。 実はさっきまで mixi に行って技術的な意見交換などしてきました。mixi OpenID の技術的な側面なんかを簡単に紹介したいと思います。 ミクシィ認証 これは普通の OpenID Provider の挙動と同じです。僕のアカウントは http://mixi.jp/show_profile.pl?id=29704 なので僕の OP Local Identifier は、 https://id.mixi.jp/29704ここでお気づきの方も居るかと思いますが、OP Local Identifier 自体も https で提供されています。さて最初の html の内容を確認して
mixiがOpenID対応 「マイミク限定」を外部サイトでも - ITmedia News
ミクシィは8月20日、SNS「mixi」で、OpenID認証サービスを始めた。他社サイトでも、OpenID対応サイトならmixiのIDとパスワードでログインできる。ユーザーの「マイミクシィ」情報を対応サイトに提供する機能も用意。OpenIDに対応したブログサイトが活用すれば、コメントの書き込みをマイミクだけに制限する――といったことが可能になる。 開発者向け技術情報サイト「mixiディベロッパーセンター」を公開した。法人・個人を問わず、外部の開発者がmixiのOpenIDに対応したサービスを開発できるよう、サイトを通じて情報提供する。 mixiは招待制で、ログインしないと閲覧できないため「クローズドなサービス」とされてきた。同社の笠原健治社長は昨年から「mixiだけでは多様化するユーザーニーズに応えきれない」と話し、GoogleのSNS共通API「OpenSocial」対応を表明するなど、
mixi Developer Center » mixi OpenID
仕様 mixi OpenID は mixi 内のユーザー情報を外部サイトでの認証に使用するためのサービスです。この文章では mixi OpenID の仕様について説明します。 FAQ mixi OpenID について、よくある質問とその答えをまとめました。 mixi Platform用素材利用ガイドライン ユーザーに簡単にわかりやすくログインできるようにするために、専用ログインボタンを配布しています。また、利用ガイドラインに沿ったボタンの利用をお願いしています。 ガイドライン mixi OpenIDを導入いただくにあたってのガイドラインとなります。本記載内容に沿った対応サイトを作成いただくことで、ユーザーにメリットのあるコミュニケーションがもたらされることを望んでいます。
ミクシィ、認証サービス「mixi OpenID」を提供--「mixi Platform」第1弾
UPDATE ミクシィは8月20日、オープンな分散認証技術「OpenID」とソーシャルネットワーキングサービス(SNS)「mixi」を融合した認証サービス「mixi OpenID」を同日15時に提供開始することを発表した。mixiのサービスを外部パートナーと共同で構築する仕組み「mixi Platform」の第1弾だ。 mixi OpenIDを利用することで、mixiユーザーは世界中のOpenID対応ウェブサービスを、個別にユーザー登録することなく利用できるようになる。 mixi OpenIDでは、ソーシャルグラフ(人と人のつながり)を認証する「マイミクシィ認証」と「コミュニティ認証」の2種類の認証サービスを提供する。 mixi OpenIDに対応するウェブサービスは、マイミクシィ認証を利用することで、mixiの特定ユーザーの友人だけに閲覧や更新を許可するアクセス制御を実行できる。また、
[mixi] mixi OpenID
mixi OpenIDはオープンな認証技術であるOpenIDとSNS『mixi』を組み合わせた、mixiの認証サービスです。 mixiユーザーのみなさんは世界中の10,000以上のOpenID対応サイトを、mixiのIDだけで利用できます。さらに、外部のブログや動画共有サイトなどでも、mixiと同じように「友人まで公開」といった公開範囲を設定できるようになります。 OpenIDってなに? OpenIDは、共通のユーザーIDを複数のウェブサービスで使えるようにする技術です。OpenID対応サイト(OpenID プロバイダ)で一度IDを取得すれば、他の対応サイト(Relying Party)上で新規ユーザー登録することなく、同じIDでログインできるようになります。この技術により、ユーザーはIDを複数使い分ける必要がなく、個人情報の管理が容易になります。またインターネット事業者は、他の対応サイト
高木浩光@自宅の日記 - 通信プラットフォーム研究会 傍聴録 (Google社の発言あり)
■ 通信プラットフォーム研究会 傍聴録 (Google社の発言あり) 通信プラットフォーム研究会が一般公開されているのを最近になって知り、先週7日に開かれた第6回会合を傍聴してきたので、討議の様子を書き留めておく。 それまでの会合の議事録を事前に読んで行ったのだが、これほど大きな会合(たくさんの人に発言権があり、たくさんの人が傍聴するもの)とは予期していなかった。構成員だけに発言権があると思っていた(各回のヒアリング対象が「オブザーバー」として発言することもあると理解していた)が、そうではなく、「オブザーバー」(傍聴者のことではない)全員に発言権がある形式だった。「オブザーバー」の今回の出席者は、配布資料の座席表によると以下の通り。 ヤフー、モバイル・コンテンツ・フォーラム事務局、マイクロソフト、東日本旅客道、日本インターネットプロバイダー協会、テレコムサービス協会、情報通信ネットワーク産
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
WASForum Conference 2010: OpenIDのモバイル対応 ~ 認証基盤連携フォーラムの取組み他から | 水無月ばけらのえび日記
ご利用上の注意 | NTTドコモ
docomo IDについて サイト運営者様向け | NTTドコモ
docomo IDについて | NTTドコモ