Re:OpenID再利用問題 - 日向夏特殊応援部隊
Young risk taker.: OpenID再利用問題 この話は非常に興味深いですね。 もしも、私達が利用しているOpenIDプロバイダがドメインの更新を忘れて、第三者にドメインが取得された場合、私達のアカウントがこの第三者により不正に使用される可能性が出てくる。 事業者としてやりきる覚悟が無いならば OpenID Provider にはなって欲しくないし、まぁさすがに全うなネット事業者ならまずそういう事はあり得ないとは思いますけど。 ユーザは、セキュリティ的、高可用性の両方の側面からRelying Partyでのユーザ登録に、OP-Local Identifierを使用すべきではない。 言わんとしている内容は理解出来ますが、普及の点からすれば多くのユーザーは自分のドメインでdelegateしているなんて考えにくく OP-Local Identifier をそのまま使っているであろう
APIアクセス権を委譲するプロトコル、OAuthを知る ― @IT
クロスドメインでのデジタルアイデンティティを守る APIアクセス権を委譲するプロトコル、 OAuthを知る 作島 立樹 NRIパシフィック 2008/1/21 マッシュアップと呼ばれる仕組みで、既存のWebサービスが次々とつながり、新たなサービスが登場している。しかし、メールアドレスなど重要な個人情報が意図せずに「つながれてしまう」可能性もある。そこで登場したのがアクセス権の「委譲」を目的としたプロトコル、OAuthである。本記事ではOAuthの仕組みとともに、なぜそれが登場したのかという背景にも触れる(編集部) マッシュアップの犠牲になるユーザーのアイデンティティ GETなどのHTTPメソッドをもちいてURLへリクエストする、いわゆる「RESTful」【注1】なWeb APIを使ったアプリケーション同士の交流は、いままさに隆盛を極めている。「マッシュアップ」と呼ばれているこのサービス形態
認証APIとOpenIDの違いを説明して、OpenID導入を説得する - tzmtkのブログ
最近、認証APIとOpenIDの違いについて説明する機会が増えてきた。 ※Flickrの画像を入れているのは、近年の認証APIのなかでFlickr Authentication APIがいろいろな意味でも象徴的な存在だからだ。 OpenIDが盛り上がってきていることもあり、自社のサービスへOpenIDの導入(Relying Partyとして)を考えていても、関係者へ理解してもらい導入を決めるまでの説明が難しいと感じている方々が多いのではないだろうか。 ここでは、私がよく聞く質問として一番多い、「認証APIとOpenIDはどう違うのか?」という質問へのベストな回答を考えてみる。 人は何か新しいモノについて説明されてそれがよく分からないとき、それとよく似たしくみを例にあげてそれと比較した説明を求めることが多い。すでに理解しているものから、その差分だけで考えた方が手っ取り早いからだ。 それはそれ
Webブラウザにパスワード入力機能,産総研がFirefoxとApacheモジュールを公開
産業技術総合研究所(産総研)とヤフーは2008年4月22日,パスワードを用いてWebブラウザ/サーバー間の相互認証を実現する認証プロトコル「HTTP Mutualアクセス認証」の実装をオープンソースとして公開した。同プロトコルを使うと,HTMLフォームではなくブラウザに設けた専用の入力域を用いてパスワードを暗号送信するため,フィッシング詐欺対策となる。サーバー側にはApacheのモジュール「mod_auth_mutual」として実装し,クライアント側としてFirefoxの機能を拡張したブラウザ「MutualTestFox」を開発した。 HTTP Mutualアクセス認証は,パスワードを用いてクライアントとサーバーが相互に相手を認証するプロトコルである。産総研とヤフーが2007年3月に発表した。同プロトコルの特徴は,ブラウザ上に設けた専用の入力域にパスワードを入力すると,暗号化処理を施した後
産総研:パスワード相互認証プロトコルの技術評価用ソフトウェアを公開
発表・掲載日:2008/04/22 パスワード相互認証プロトコルの技術評価用ソフトウェアを公開 -抜本的なフィッシング詐欺防止技術の実用化に向けて- ポイント インターネットにおけるフィッシング詐欺を防止できる新しい認証方式を開発。 技術評価用のウェブブラウザとサーバー用拡張モジュールをオープンソースで公開。 ウェブブラウザに標準搭載され、フィッシング被害が減少することに期待。 独立行政法人 産業技術総合研究所【理事長 吉川 弘之】(以下「産総研」という)情報セキュリティ研究センター【研究センター長 今井 秀樹】(以下「RCIS」という)とヤフー株式会社【代表取締役社長 井上 雅博】(以下「Yahoo! JAPAN」という)は、これまでインターネットにおけるフィッシング詐欺を防止する「ウェブでの利用に適したパスワード相互認証プロトコル」の研究開発を進めてきた。このたび、新しい認証プロトコル
認証と認可の違い
OpenIDを解説する際にしばしば登場する「認証」「認可」の言葉はそれぞれどういった意味で利用しているのでしょうか。両者は明確に区別しなければならないものなのでしょうか。また、OpenID Authenticationについても教えてください。 「認証」「認可」は、OpenID以外でもセキュリティ関連のトピックではしばしば登場する単語です。いったん理解してしまえばさほど難しいものでもありませんが、多くの人が混同されているようですのでこの機会にしっかり覚えてしまいましょう。認証・認可は英語では以下のような単語になります。 認証(Authentication) 認可(Authorization) 認証(Authentication)とは 関連記事 実は簡単なOpenIDの認証手続き OpenIDにかんするさまざまな疑問を解消していく本連載。今回は、OpenIDではどのような流れで認証手続きが行
mod_auth_openid を使ってみる - 酒日記 はてな支店
Apache で OpenID 認証を行う mod_auth_openid を試してみた。 インストールする OS は CentOS-4 (多分 5の方が楽)。 まず C++ で書かれた OpenID ライブラリ libopkele をインストール……するのだけど、その前に pkg-config で libpcre を扱えるように、libpcre.pc を用意 (これは CentOS-5 だと libpcre のパッケージに入ってる)。 /usr/lib/pkgconfig/libpcre.pc # Package Information for pkg-config prefix=/usr exec_prefix=/usr libdir=/usr/lib includedir=/usr/include/pcre Name: libpcre Description: PCRE - Perl
ZIGOROuのOpenID Short Clinic:実は簡単なOpenIDの認証手続き - ITmedia エンタープライズ
OpenIDに対応すると、自社のWebサービスにシングルサインオン機能を簡単に実装できると聞きました。ユーザビリティ向上の観点からすぐにでも対応しようと考えていますが、OpenIDでのログインに対応する前に、どのような認証手続きが行われるのかを教えてください。また、注意しておくべきことなどがあれば教えてください。 ご質問の通り、これから展開するサービスにおいてOpenIDでのログインに対応すれば、アカウントに対する認証機能をOpenID Providerに任せることができるので、シングルサインオンを実現できることになります。このようなサービスをOpenIDの世界ではRelying Partyと呼びます。 Relying Partyではユーザーが用いるID(URLまたはXRI)を一意な値として保持する必要があります。この際に用いるのはClaimed Identifierと呼ばれるものにすべき
高木浩光@自宅の日記 - 朝日新聞の記事を真っ当な内容に書き直してみた
■ 朝日新聞の記事を真っ当な内容に書き直してみた 朝日新聞の 強力ウイルス、ネット銀行標的 「感染なら防御策なし」, 朝日新聞, 2008年3月3日 という記事のことが、スラッシュドットジャパンで「意味不明だ」と話題になっていた。 朝日新聞の「感染なら防御策なしの強力ウイルス登場」報道を理解できますか? , スラッシュドットジャパン, 2008年3月5日 まあ、朝日新聞のIT記事にしては良い出来ではないか。肝心の要点である以下の部分はきちんとおさえられていたから、私には何の話か理解できた。 ユーザーが振り込みをしようとすると、気付かないうちに振込先がウイルス作成者の口座に書き換えられ、振込金をかすめ取られるなどの被害を受けることになる。 しかし、この点がなぜ重要なのか、それが伝わらない記事だったのだろう。 このマルウェアが危険視される理由は、銀行側がこれまでにとってきた「二要素認証」の導入
ニフティの中の人が考え抜いたOpenID対応--builder tech day - builder by ZDNet Japan
2月28日に開催されたbuilder tech dayではニフティの沢田正氏が登壇し、Web黎明期からオープン化が進む現在までの変遷を説明してみせた。パソコン通信からISPへと変わりつつあった頃にニフティに入社した、「中の人」による解説だ。 OpenIDは「うちのユーザーさん貸します」 今回のbuilder tech dayのテーマは「openAPI & beyond」。沢田氏はオープンを「仕様やソースが公開されていて、契約やAPIが必要なく誰でも気軽に使えること」と定義した。その上で、ニフティのOpenIDへの取り組みを紹介。「当社がOpenIDを採用するということは、最もラディカルな意味でオープンなのではないかと考える」と語る。 この言葉の背景にあるのは、「OpenIDや認証APIを一言で表現すると『うちのユーザーさん貸します』というサービスだと思う」からだ。さらにニフティはインターネ
ベリサイン、OpenIDを大いに語る--builder tech day - builder by ZDNet Japan
ものづくり現場の情報セキュリティ インダストリー4.0は製造業の変革期 工場のデジタル化によるリスクへの対応 EDRトップランナー対談:後編 セキュリティ戦略を転換せざる得ない背景と EDRのような手法が必要な理由に迫る 今を知り、未来を見据える 培ってきたノウハウを最新技術へ対応させる レガシーシステムのモダン化実現への道 特集:セキュリティトレンド-秋- つながる世界で問われる対応 サプライチェーンセキュリティを考える ライバル同士がタッグを組む理由 マイクロソフトとヴイエムウェアが連携し パブリッククラウドへの移行を支援 IT部門のDXはこれだ! IT運用管理新時代における最適な運用管理 の現場作り 新しい働き方にあわせて変革を! デバイスの運用管理やサポートを再考する時 ひとり情シスが考えるPCライフサイクル ITインフラ運用からの解放 HCI+JP1による統合運用による負荷激減で
Re:OpenIDが面白いのはWebサービス間の連携 - 日向夏特殊応援部隊
概ね核心をついているんだけど、少し分かりにくいと思ったので補足してみたりとか。 元ネタ F's Garage @fshin2000 :OpenIDが面白いのはWebサービス間の連携 結局、それなりに責任が伴うサービスとしては二段構えの対応にならざるを得なく、「お試し利用としてのOpenID対応」というフェーズと、「本気で使うならうちに個人情報を登録してね」という状態は分かれるだろう。 ユーザーサポートが絡むサービスであればあるほど、この部分は意識せざるを得ないし、マーケティングという大人の事情も絡めば絶対に無視できない。ネットのサービスはHTTPだけで完結するものではない。 f-shinさんが言っている「お試し利用」と「本気の利用」ってのは恐らく、メールアドレス等の個人情報を自前で持つか持たないかの話だと思うんですが合ってますかね? Simple Registration Extensio
YappoLogs: 誰でも簡単にOpenID 2.0なOPを作る方法 and CodeReposでOpenID(2.0対応)プロバイダの提供始めましたのお知らせ
誰でも簡単にOpenID 2.0なOPを作る方法 and CodeReposでOpenID(2.0対応)プロバイダの提供始めましたのお知らせ 先週のbuilder techtalkから俄然としてOpenIDが熱くなって来た今日この頃いかがお過ごしでしょうか。 先日参加して来たOpenID Hackathonの成果として、CodeReposがOpenIDのOpenID 2.0 Providerになりましたことをお知らせします。 CodeReposのアカウントをお持ちの方は、fastladderとかLIMLICとかのOpenIDでサインオンできるサービでOpenID URLをcoderepos.orgとだけ打ち込んでログインしてみて下さい。 2.0に対応していない所だったらhttp://coderepos.org/share/wiki/Committers/usernameとでも入れればいいと
OpenID Authentication 2.0 について少し - blog.s14u.info
OpenID Hack-a-thon や CodeReposのOpenID対応、builder techday などで実装レベルにおける OpenID 2.0 対応が少しずつ身近なものになってきました。 OpenID 1.1 と OpenID 2.0 の違いについては、id:ZIGOROuさんの @IT の記事や builder techday での Lightning Talk が参考になると思います。 OpenID 1.1 と OpenID 2.0 の違いを簡単にいえば、 Identifier に URL と XRI が使えるようになった Discovery の方式が変わった といった辺りがポイントでしょうか。 Identifier に URL と XRI が使えるようになった XRI (EXtensive Resource Identifier) については OpenID 2.0 の
F's Garage:OpenIDが面白いのはWebサービス間の連携
RSSを近視眼的に「ただのブログの更新情報取得ツール」として捕らえると世界が狭くなる。 「ほぼ統一されたデータのやりとりフォーマット」が確立され、機械対機械の間でコンテンツのデータが流通する仕組みだと思えば夢は広がる。 同様にOpenIDを、「新しいサービスができたときに簡単にログインできる仕組み」程度の捕らえ方をすると、あまりしっくりいかない。 「複数サービス間の信頼関係を簡単に結ぶ仕組み」と考えると夢が広がる。 現状としては、OpenIDのプロバイダがOKを出したユーザーはOKだと言うことを無条件で受け入れるようになると言っても、その認証をどこまで信頼できるか?は別問題なので、OpenIDがあるからと言って、何から何まで使えるようにさせるわけにはいかない。 結局、それなりに責任が伴うサービスとしては二段構えの対応にならざるを得なく、「お試し利用としてのOpenID対応」というフェーズと
OpenID認証2.0〜概論 | feedforce Engineers' blog
OpenID認証2.0の"概論"についての発表資料です 仕様の詳細部分については説明を省略しています XRI周辺についての説明も省略しています(力量不足につき) 仕様を把握しきれてはいないため、誤りが多く含まれている可能性があります 以下は、実際の発表で使用したスライドのPDFです。 - 発表資料(PDF) -- 1.1MB はじめに OpenID認証とは 特徴 「オープン」 「秘密情報の保護」 「分散的」 「HTTP」 「拡張」 用語 プロトコル概観 開始(Initiation) 正規化(Normarization) 発見(Discovery) 関連づけ(Association) 認証要求 エンドユーザーの認可 承認/却下 照合 実例 OP-Local Identifierで始める OP Identifierで始める HTMLのURLで始める 自前のYadis IDで始める セキュリティ
あなたのOpenIDにアバター画像をつけてくれる『Openvatar』 | 100SHIKI
管理人の独り言 『えーと。いろいろ。』 いくつかお知らせ。 まずは来週開催の脳内会議、今日が締め切りです。よろしければ。今日もgooさんとミーティング。楽しくてためになるような会にしたいですね。 ・『脳内会議 sponsored by goo』へのお誘い(広まっていく話題の特徴とは何か?) http://www.ideaxidea.com/archives/2008/02/_sponsored_by_goo.html それからBiz.IDで取材した現役高校生の記事がアップされました。アツイですよ、彼らは・・・こちらもうかうかしていられない。 ・ひとりで作るネットサービス:【番外編】「高校生がもっと出てきてほしい」 http://www.itmedia.co.jp/bizid/articles/0802/12/news130.html それぐらいですかね・・・さて週末はちょっと出かけますよ。
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Yahoo! JAPANヘルプ
dfltweb1.onamae.com – このドメインはお名前.comで取得されています。
http://labs.airs.co.jp/2008/2/4/ruby-openid-20-yahoo-auth