OAuth-J, ネットワーク強靭化に対応したOAuth Optical Transport Profile を発表。仮想通貨技術を応用。
OAuth-J, ネットワーク強靭化に対応したOAuth Optical Transport Profile を発表。仮想通貨技術を応用。 【AF電 東京】OAuthファウンデーション・ジャパン(OAuth-J)は2018年4月1日、インターネット分離にも対応したOAuthの新たなプロファイル、OAuth Optical Transport Profile (OAuth OTP)の策定を開始すると発表しました。 OAuth [RFC6749] はGAFAM (Google, Apple, Facebook, Amazon, Microsoft)は言うに及ばず、携帯電話会社、銀行、航空会社、マスコミ、政府機関等に広く使われているAPI保護技術でAPIエコノミーの中核をなす技術ですが、通信プロトコル(トランスポート)としてはHTTPSに依存するため、昨今のネットワーク強靭化の流れによってインタ
株大暴露というわけで、どのくらいなのか長期グラフにしてみた
さて、今年の新年は体調を崩していて、株価と現金の価値の振り返りができませんでした。ここのところ、株価が暴落しており、それに伴い「年金を株で運用するのは危ないからやめろー」の大合唱が聞こえるので、ちょいとグラフを伸ばしてみました。 2003年1月末を100とした、日経平均と日本円現金のドルベース価値の推移 まぁあれだ、これだけ落ちてもまだ現金よりはマシということですな。 もちろん、去年の記事1にも書いたように、政治的に恣意的にポートフォリオバランスを崩すようなことはあってはなりません。そんなことすると、てっぺんで株転するようなことになりかねませんからね。でも、長期的な視野と現金需要を睨んで、株式の比率をある程度高く持つのは、正しい投資戦略なんですよ。え?「積立金の株運用は博打。こんな危険なことは他国ではやっていません。」2ですって?じゃぁちょっと見てみましょう。 次の図は、日本を含む各国の年
HTCスマホに指紋画像を誰でも読み出し可能な脆弱性〜株価急落
The HTC One Maxの指紋読取装置が指紋を誰でも読める形で保存していたことが発覚 写真提供: HTC The guardian の記事1によりますと、HTCのスマホが利用者の指紋画像を誰でも読み出せる形で保存していたことが発覚したようです。発見したのはFireEyeの4人の研究者達で、8月5日にBlackHat2で論文3が発表されました 。指紋画像は /data/dbgraw.bmp に暗号化もされず World Readable でおいてあるそうです。したがって、アプリ等から自由に読み出せるとのこと。 この発見のあと、HTCの株価は2割近く急落、その時価総額は解散価値を下回っている4とのことです。 発覚後、HTCの株価は急落 このセキュリティホールはHTCのものですが、Samsungを含む多くのスマホメーカーは、ARMなどが提供する組み込みのセキュリティ機能を使用していないため
MacOS XとiOSのXARA脆弱性について
今日(6月18日)午後、GigaZineで「iOSとOS XでiCloud・メール・ブラウザ保存のパスワードが盗まれる脆弱性が発覚、Appleは半年以上も黙殺」1というセンセーショナルな記事が出ました。まぁ、Webメディアだからしょうがないかという感じではありますが、記事を読んだだけでは何のことやらさっぱりなので、読みましたよ、元の論文。 その論文は、これです。 Xing, Bai, Li, Wang, Chen, Liao: “Unauthorized Cross-App Resource Access on MAC OS X and iOS” 2 まずは、著者たちに拍手をしましょう。 その上で: 著者たちが、初めて発見したと主張するゼロデイ攻撃は以下の4つ、細かくは5つに分類されます。 Password Stealing (Keychainのアクセス・コントロール脆弱性)[MacOS
Id連携がなぜプライバシー向上に役立つか
某所より問い合わせを受けて回答したので、共有しておきます。 お題は、「Id連携がなぜプライバシー向上に役立つか」です。 「Id連携」は、英語では「Identity Federation」を指し、「複数のサービスの間で、主にある主体を識別するために、当該主体に関する(認証結果を含む)属性の集合(identity) を交換・管理する取り決め」のことを指します。一度の認証で複数のウェブサイトにログインできるシングルサインオン(SSO)などが代表的な活用例です。 この技術はプライバシー保護に大きく寄与します。私達のような、ずっとId連携に関わってきている人間は当然のことと思っていますが、一般的にはそうではないとおもわれますので、ここにこうして書いておくことも一定の意義があるかと思います。 プライバシー原則 プライバシーの保護とは、原則的には、それぞれの人が個人として尊重され、個人の領域に属するもの
JSON Web Signature (JWS) の標準化がIETFで始まっています
JSON Web Signature という、JSON に署名をつけるための標準化が、IETFのJOSE Working Group で始まっています[1]。 初期ドラフトは http://tools.ietf.org/html/draft-ietf-jose-json-web-signature-00 私の名前も出ていますが、これは、 OpenID Foundation の AB/C Working Group で検討していたものをIETFに持ち込んだためです[2]。 @ritou さんが、「OAuth 2.0時代の署名つきリクエストとは」というエントリで触れられていますが、Facebook の signed_request によく似ています。 大きな違いは、signed_request が 署名 . 本文 の形式になっているのに対して、JWSでは、 ヘッダ . 本文 . 署名 になって
非技術者のためのOAuth認証(?)とOpenIDの違い入門【2023年版】
昔から、「OpenIDは認証でOAuthは認可だ」などということが言われます。しかし、その言語の意味を取り違えている方が結構多い気がしています。「もうOpenIDなんていらね。OAuthだけでいいじゃん」というような言説がよく流れてくるのがその証拠だと思います。OAuth認証というのもその類ですね。 そこで、今日はOAuthとOpenIDの違いを考えてみたいと思います。 OpenIDは紹介状、OAuthは合鍵 まずはOpenIDの概要の復習です。「OpenIDは認証」という言葉の内容をまずは復習してみましょう。 「認証」とは大変広い言葉でいろいろな場面で使われますが、「OpenIDは認証」という使い方の時は、「OpenIDは、いま来ている人の身元を認証」(ユーザ認証)という意味です。図にすると図1のような流れになります。 この例では、有栖さんがお客としてサービス提供をしているサイトである伊
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
