『携帯電話の「簡単ログイン」は個体識別番号を使ってこんなふうに作れます』
たいていのWEBアプリはユーザ名とパスワードを聞かれて認証を行います。これはちょうど家に鍵をかけるようなもの。それほど重要でない情報のみのサイトならこれで十分ですが、貴重な情報があるとなるとそうはいきません。 この物騒な世の中、鍵ひとつじゃ安心できないわという声も聞こえてきます。最近セキュリティの高いところでは、やれ指紋やら静脈やら虹彩やらで個人を識別して鍵が開くようになってきていますね。WEBアプリにもユーザ名とパスワードの鍵以外に、端末の識別番号を使って認証する方法があります。 さて今日は携帯電話に焦点を当てて、ユーザ名とパスワード+自分の携帯からしかアクセスできないというように変える方法をご紹介。 携帯端末には一台一台に電話番号とは別の個体識別番号があります。この番号を、ユーザがサイトにアクセスしてきたときにプログラムで取得することができます。個体識別番号をサーバ側に保存しておき、認
OpenID.ne.jp - OpenIDを使って10000サイト以上にたった1つのIDで入れます。あなたもOpenIDを作成しませんか?
最も安い引越し業者を探す方法は簡単です! それは、引越し業者に1社ずつ見積もりを取ってもらい、比較すること。 しかし、 1社1社、見積もりを依頼するのは非効率で、 時間も労力もかかってしまいます。 そこで、おすすめなのが、 引越し業者一括見積もりサービス ご自身の荷物量と住所や引越し時期など、 概要を一度入力するだけで、 複数の引越し業者に対して見積もりを依頼することができます! 一回の手間で見積り依頼が可能なので、 労力がかからない、時短!お役立ちサイトを使って、 賢く引越し業者を比較しましょう。 さらに、引越し業者一括見積もりサービスだと、 料金を比較される、ということを引っ越し業者も分かっているので、 通常の見積もりよりも安く提示してくれることが多いです。 安く引っ越したいなら、引越し業者一括見積もりサービスをフル活用しましょう。 引越し業者一括見積もりサービスおすすめ5社 サイトに
koress.jp: OpenIDの襲来に備えよ!
追記: OpenID対応サービスまとめを作りました。 たぶん、2008年のインターネット(Webサービス)業界はOpenIDによるWebサービスのID体系の統一の荒波に揉まれることになると思う。日本のサービスプロバイダは、OpenIDの襲来に備えるべき。 海の向こうではすでにDigg, Wikipedia, Yahoo, Microsoftなどが導入や支持を発表しているほか、多くの小さなネットサービスはOpenIDに頼ったアーリーアダプタの取り込みに積極的になってる。日本国内ではどうかと言えば、niftyのaboutmeなどを除いて大手のWebサービスは未だ様子を見ている状態。リサーチレベルでは重要性が把握されつつある一方、経営レベルでは「なにそれ」的な状態が多そう。いかん、いかんよ。 2008年、YahooかAmazonかGoogleかわからないけれど、ほぼ間違いなくどこかの日本の大手の
2018年10月31日(水) をもって、はてな認証APIの提供を終了します。それに伴い、OAuthへ移行をお願いいたします - はてなの日記 - 機能変更、お知らせなど
2018年10月31日(水) をもって、はてな認証APIの提供を終了します。それに伴い、OAuthへ移行をお願いいたします いつもはてなをご利用いただきありがとうございます。 下記の告知にて予告させていただきましたが、ご利用状況を鑑み、2018年10月31日(水)をもちまして、はてな認証APIの提供を終了させていただきます。 今後、はてなグラフ、ポケットはてななど、複数のサービスの提供を終了する予定です - はてなの日記 - 機能変更、お知らせなど はてな認証APIは、はてなアカウントによるユーザー認証をサードパーティのアプリケーションでも利用できるようにする開発者向けAPIで、2006年4月24日に公開しました。 なお、代替として、はてなではOAuthサービスプロバイダの機能を提供しておりますので、こちらのへの移行をご検討ください。 http://developer.hatena.ne.
Bridge Word
This shop will be powered by Are you the store owner? Log in here
まちがった自動ログイン処理
(Last Updated On: 2018年8月20日)問題:まちがった自動ログイン処理の解答です。このブログエントリは最近作られたアプリケーションでは「問題」にしたような実装は行われていないはず、と期待していたのですがあっさり期待を破られたのでブログに書きました。このブログの方が詳しく書いていますけが「Webアプリセキュリティ対策入門」にも正しい自動ログイン処理を書いています。 参考:自動ログイン以外に2要素認証も重要です。「今すぐできる、Webサイトへの2要素認証導入」こちらもどうぞ。HMACを利用した安全なAPIキーの送受信も参考にどうぞ。 間違った自動ログイン処理の問題点 まず間違った自動ログイン処理を実装しているコードの基本的な問題点を一つ一つ順番にリストアップします。 クッキーにランダム文字列以外の値を設定している クッキーにユーザ名が保存されている クッキーにパスワードが保
OpenIDを使ってみた ― @IT
2007/12/26 これまで@ITでは何度かOpenIDについて取り上げてきました。解説記事を始め、はてなやlivedoorなど日本の大手サイトがOpenIDを採用したというニュースもお伝えしてきました。国内外で、そろそろ実際にOpenIDを使えるサービスがそろってきたので、ここでは実際に使ってみて、使用感をレポートしてみたいと思います。 使ってみて初めて感じられる利便性 この原稿を書く1時間前までは、実はOpenIDのレポートを書くつもりはありませんでした。とある韓国のWeb 2.0系サービスを使っていて、その結果としてOpenIDの便利さを実感して書かずにいられなくなった、というのが正直なところです。 早速、OpenIDを使うと何が起こるのかを、その韓国企業のサービスを例にして見てみましょう。 記者が試したのは、オンラインゲーム「リネージュ」などで知られる韓国企業、NCsoftの開発
ここギコ!: OpenIDで個人サイト同士が繋がるSNS - Social_Networking_Unlimited
2005年10月14日 OpenIDで個人サイト同士が繋がるSNS - Social_Networking_Unlimited OpenIDのメーリングリストで、OpenIDでのアカウントをベースに、自分のBlogサイト等メインURLをベースに繋がれるSNS実装ができた事を知った。 Videntity.orgという、OpenIDの認証サーバサービスが始めたサービスなのだが、すごい面白い。 まず、OpenIDがよく知られてないと思うので簡単に説明すると、自分を特定するURLとパスワードをIDのベースとして、OpenIDに対応したサイトならどこでもその組み合わせでログインできるようになるシステム。 例えば、Videntity.orgでkokogikoというアカウントを作ると、http://kokogiko.videntity.org/という個人ページが作られ、このURL(kokogikoだ
携帯業界の認証事情 - y-kawazの日記
巡回サイトの一つである高木浩光@自宅の日記で以下のようなエントリーがあった。 高木浩光@自宅の日記 - 携帯電話向けWebアプリの脆弱性事情はどうなっているのか ここではいつもの高木氏の口調で、「携帯向けWEBアプリ開発では未だにGETパラメータでセッションIDを渡しており、それはこれまでも何度もいかんことだと言っている。」というような内容が語られている。 確かにWEB+DBの記事に対して高木氏が注釈で言っているように「IPアドレスによる制限に関して書いていない」という点に関してはWEB+DB側の落ち度だと思う。実際これを行わない限り端末IDやユーザID*1による認証が意味をなさなくなってしまうからだ。*2 但し、キャリア毎にIPアドレス制限をする限りにおいては端末IDやユーザIDは偽装不可能*3なので、むしろ他人でも入力可能なパスワード認証よりも強力な認証かもしれません。逆にいえばその認
携帯端末の個体識別情報(uid)取得方法
携帯サイトでユーザー認証をする方法はいくつかあります。 一番簡単なのは、ユーザ名とパスワードを使う方法です。 しかし、毎回入力するのはユーザにとっては面倒ですよね。 PCサイトならばクッキーを使ってこれらの情報を保存しておけるので 毎回入力する必要はありません。 しかし携帯サイトではクッキーが使えない(一部機種によって可能らしい)ので 別の手法を取ることを考えなくてはいけません。 そこで出てくるのが、携帯端末の個体識別情報(uid)を使うというやり方です。 携帯電話は電話番号と同じように、その端末を識別するIDのようなものを持っています。 これを利用すれば、アクセスしてきたのがどのユーザなのかを判別することが可能になるというわけです。 キャリアによって取得方法や制限などがあるので、以下に紹介します。 なお、個体識別情報はキャリアによって様々な言い方があるようですが ここでは便宜上「端末ID
YappoLogs: 誰でも簡単にOpenID 2.0なOPを作る方法 and CodeReposでOpenID(2.0対応)プロバイダの提供始めましたのお知らせ
誰でも簡単にOpenID 2.0なOPを作る方法 and CodeReposでOpenID(2.0対応)プロバイダの提供始めましたのお知らせ 先週のbuilder techtalkから俄然としてOpenIDが熱くなって来た今日この頃いかがお過ごしでしょうか。 先日参加して来たOpenID Hackathonの成果として、CodeReposがOpenIDのOpenID 2.0 Providerになりましたことをお知らせします。 CodeReposのアカウントをお持ちの方は、fastladderとかLIMLICとかのOpenIDでサインオンできるサービでOpenID URLをcoderepos.orgとだけ打ち込んでログインしてみて下さい。 2.0に対応していない所だったらhttp://coderepos.org/share/wiki/Committers/usernameとでも入れればいいと
たちばな弁当: 個体識別情報、EZ番号、端末シリアル番号の取得方法
携帯電話には、個々の端末を識別するための情報が付与されており、携帯電話対応WEBアプリケーションの認証などに、この情報を用いることがある。各キャリアで呼び方や取得方法が異なっているが、いずれもHTTPヘッダから取得することが可能である。(但し、ユーザーがこの情報の送信を許可していることが前提) キャリア毎の特徴、フォーマット、取得ロジックのサンプルを以下にまとめる。キャリア識別を事前に行なっておく必要があるので、それについては別記事を参照。 1. NTT DoCoMo(ドコモ) 特徴は以下のとおり。 個体識別情報と呼ばれ、ユーザエージェント(User-Agent)ヘッダから抽出する。 非FOMA端末とFOMA端末でフォーマットが異なる。 FOMA端末からは、「FOMA端末製造番号(機種変更時に変わる)」と「FOMAカード製造番号(機種変更しても変わらない)」が取得できる。 個体識別情報が自
結城浩のはてな日記 - はてな認証API / ためしに作ってみました
はてな認証APIが公開されましたので、ためしてみました。 懸念事項 なおやさんところ経由ではてな認証APIの公開について(開発者さま向け)を読んで感じたこと。 おそらくすぐに「はてな認証APIで○○を作ってみました」的なものが登場するでしょう。おもしろいアプリが登場することを期待。 ただし、一般ユーザにきちんと認識させないと、悪意のある第三者が一般ユーザのパスワードを奪うアプリを作ってしまう危険性があります。たとえば「はてな認証APIを利用しています」と偽って、「ログイン名とパスワードを入力させるフォーム」を見せるアプリが出た場合、ユーザは誤解しないか。 それから…解説した図がほしいです。→認証部分のシーケンス図は結城が描きました(このエントリの下の方で公開しています)。 結城さんちのはてな認証APIテスト 追記:2006-04-24 21:09: とりあえず、作ってみました。以下をお試し
CodeZine:OpenIDを使ってみよう(openid, 認証方法, Perl)
はじめに OpenIDは最近非常に注目が高まっている認証技術の一つです。ここでは、OpenIDを利用したPerlのサンプルを通じてOpenIDのメカニズムに触れていきたいと思います。必要な環境 Perl 5.8以上が動作する環境が良いと思います。基本動作の確認はMac OS Xを利用しましたサンプルの紹介 早速サンプルコードの「openid-test.cgi」を見ることにしましょう。このサンプルはOpenIDを利用した簡易ログインページです。 #!/usr/bin/perl use strict; use warnings; use CGI; use Net::OpenID::Consumer; #use LWPx::ParanoidAgent; use LWP::UserAgent; my $query = CGI->new; $query->charset('utf-8
「OpenIDはメアド同様に複数使い分けてもいい」、OpenID提唱者 ― @IT
2007/07/19 URIをIDとして扱うオープンな認証プロトコル、「OpenID」が北米で本格的な普及期にさしかかろうとしている。2005年の夏にブログソフトウェアを提供する米シックス・アパートから提案されたOpenIDは、2007年に入ってから関係各社・団体からのサポート表明が相次いだ。 Mozillaファウンデーションは1月、次期バージョンのFirefox 3でOpenIDサポートの意向を表明。2月にはマイクロソフトやRSAセキュリティもサポートを表明、DiggやNetvibesといったWeb2.0サービスサイトでもサポートの表明があった。同じく2月、AOLは6000万人のユーザーすべてにOpenIDのアカウント(URI)を発行。日本でもlivedoorが5月にOpenIDサポートを開始している。現在、OpenIDユーザーは全世界で約1億2000万人を数え、OpenIDを受け付ける
pylori*style wiki - LoginEngineを使ってみる
LoginEngineとは? LoginEngineは RailsEnginesの一種で、Railsアプリケーショ ンにユーザ認証の機能を付加するためのものです。 Engine とは、Railsアプリケーションに(既存のコードを変更することなく)い ろいろな機能を付加するプラグインです。 もともと SaltedHashLoginGeneratorという名前でジェネレータとして提供されていたものを Engine として再実装したのが LoginEngine です。 SaltedHashLoginGeneratorとは? SaltedHashLoginGeneratorを使ってみるのページを参照。 なお、LoginEngineもLoginGeneratorも使わずに認証機構を実装した例が、 RailsでWikiクローンを作る10 にありますので、そちらも参考にしてください。 LoginEngi
Webブラウザにパスワード入力機能,産総研がFirefoxとApacheモジュールを公開
産業技術総合研究所(産総研)とヤフーは2008年4月22日,パスワードを用いてWebブラウザ/サーバー間の相互認証を実現する認証プロトコル「HTTP Mutualアクセス認証」の実装をオープンソースとして公開した。同プロトコルを使うと,HTMLフォームではなくブラウザに設けた専用の入力域を用いてパスワードを暗号送信するため,フィッシング詐欺対策となる。サーバー側にはApacheのモジュール「mod_auth_mutual」として実装し,クライアント側としてFirefoxの機能を拡張したブラウザ「MutualTestFox」を開発した。 HTTP Mutualアクセス認証は,パスワードを用いてクライアントとサーバーが相互に相手を認証するプロトコルである。産総研とヤフーが2007年3月に発表した。同プロトコルの特徴は,ブラウザ上に設けた専用の入力域にパスワードを入力すると,暗号化処理を施した後
Apacheで作るファイルサーバ(LDAP認証編)(1/4) ― @IT
WebDAV+SSLで、ファイルサーバとして最低限の運用は可能になった。この環境にLDAPを導入して、各種の権限をディレクトリベースで管理できるようにしよう。(編集部) 前回は、WebDAVを用いてインターネットからでもアクセスできるファイルサーバを構築しました。また、SSLを導入することでセキュリティにも配慮しています。今回は、さらにLDAPを連携させて、組織上の権限に応じたアクセス制御を実現します。 LDAPのインストールと基本設定 LDAPにはOpenLDAPを使用します。ここでは、Fedora Core 4(以下FC4)を例に簡単にインストール方法を紹介します。ソースからインストールする場合の方法と設定については、「Appendix:ソースからのインストール」を参照してください。 FC4の場合、必要なパッケージは以下のとおりです。openldap-serversのインストールを忘れ
CAPTCHAよりも優れた日本向けスパム対策
これから入会するユーザーにとって、もっともイライラさせられるシステムの一つが、「ユーザー登録時のCAPTCHA文字入力」。 例えば、とあるSNSへの新規登録時には、以下のような読みにくい文字を確認文字として入力しなければいけません。(*1) 人間にとっては、「読みにくくて打ちにくい」とても困ったシステムです。 しかも、最近ではコンピュータの解析能力が進化して、機械的に読み取られ、スパム対策にもなっていないという話もあります。 CAPTCHAは、スパム対策のために「外国で作られたシステム」であるため、その対策方法も広範に知れ渡っています。 半角英数字しか使っていないシステムがほとんどのせいで、破るための理論が実装されるのも仕方ないことかもしれません。 でも、日本でしか使わないシステムなら、日本用のスパム対策をすることで簡単にスパムを防ぐことができます。 どうするかというと、それはとても簡単で
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
http://www.machu.jp/posts/20051101/p01/
