おはようございます、ritouです。 今回は、一部で先週話題なりましたOAuth 2.0のImplicit Flowについてのエントリになります。 (2012/2/7 いろいろと修正しました。) 単なる OAuth 2.0 を認証に使うと、車が通れるほどのどでかいセキュリティー・ホールができる | @_Nat Zone Thread Safe: The problem with OAuth for Authentication. 今回は以下の内容について整理したいと思います。 OAuth 2.0のどの機能にセキュリティホールがあるのか 誰が攻撃者になれるのか 対策 OAuth 2.0 Implicit Flowとは OAuth 2.0ではサードパーティーアプリケーションが保護リソースへのアクセス権限を得るためのいくつかのフローが定義されています。 (仕様中ではFlowやGrant Type

In some of the feedback I have gotten on the openID Connect spec, the statement is made that Connect is too complicated. That OAuth 2.0 is all you need to do authentication. Many point to Identity Pro… 英語読みたくないという人のために簡単に解説すると… OAuth 2.0 の implicit flow を使って「認証」をしようとすると、とっても大きな穴が開きます。 カット＆ペーストアタックが可能だからです。 OAuth 認証？は、図１のような流れになります。 図１ OAuth 認証？の流れ 一見、問題なさそうに見えます。しかし、それはすべてのサイトが「良いサイト」ならばです。 Site_A

RFCとなった「OAuth 2.0」――その要点は？：デジタル・アイデンティティ技術最新動向（2）（1/2 ページ） いまWebの世界では、さまざまなWebサービスが提供するプラットフォームと、サー ドパーティが提供するアプリケーションがAPIを中心に結び付き、一種の「APIエコノミー」を形成しています。この連載では、そこで重要な役割を果たす「デジタル・アイデンティティ」について理解を深めていきます。 再び、デジタル・アイデンティティの世界へようこそ 前回「『OAuth』の基本動作を知る」ではOAuthの仕様がどういうものかについて説明しました。今回は引き続き、 OAuth 1.0とOAuth 2.0の違い OAuth 2.0をセキュアに使うために知っておくべきこと について述べていきます。 OAuth 1.0とOAuth 2.0の違い クライアントタイプの定義 OAuth 2.0では、O

追記 (2018-10-08) 4年以上前に書いた記事ですが、Access Token として JWT を利用することは非推奨なようなので、お詫びして修正致します。 参考: どうしてリスクアセスメントせずに JWT をセッションに使っちゃうわけ？ 概要 みんなやってるはずなんだけど、あまりまとまった情報がなかったので書いてみます。認証周りはセキュリティを気にして、みんな書きたがらないのかな？それとも私の調べ方が悪かっただけ？マサカリお待ちしてます。 認証の基本方針 +--------+ +--------+ | | | | | |----(1) Credential ------------>| | | | | | | |<---(2) Access Token -----------| | | | | | | Client | | Server | | | | | | |----(3)

Qiitaが用意しているAPIではv2からOAuth認証をサポートしています。 公式にもAPIのドキュメントがありますが、具体的な手順が分からない人のためにOAuth認証の実装の仕方をまとめてみました。 ここではPhoneGap/Cordovaを用いた時の実装を示しますが、他の環境・プログラミング言語で実装することを考えている人でも、実装の流れなどは参考になるかもしれません。 OAuth認証とは OAuthってなんぞやって言う方は、既に以下のような記事があるので参照してみてください。 Basic認証とOAuth モバイルアプリのユーザ認証方法についてまとめてみた OAuth認証実装の流れ 最初にQiitaにおけるOAuth認証の流れを示します。 アプリケーションの登録 Qiitaの設定画面から「アプリケーション」-「登録中のアプリケーション」と進み、以下のフィールドを入力します。 アプリケ

Basic認証とOAuthとその辺の情報について整理しておく。OAuthや認証・認可について説明しようとすると、1文字記述するたびに誤りが含まれてしまう可能性があるので、本当に緊張感を持って記述しなければならない。それでもなお、この文章にはたくさんの誤りが含まれている。 UsernameとPasswordを受け取って認証する形式の認証方法。UsernameにはEmailを使うこともある (要は全ユーザの中で一意なことが保証されていてかつ他の人がその値を知っていても特に問題がないという情報であればOK)。Passwordは本人しか知り得ない情報。 OAuthという仕様に則って提供される認可方法。古いOAuth 1.0と、OAuth 1.0の複雑なところなどを改善したOAuth 2.0がある。一般的にはOAuth 2.0を使うことが多いが、例えば幾つかのサービスの提供している認可方法はOAut

WebOS Goodies へようこそ！ WebOS はインターネットの未来形。あらゆる Web サイトが繋がり、共有し、協力して創り上げる、ひとつの巨大な情報システムです。そこでは、あらゆる情報がネットワーク上に蓄積され、我々はいつでも、どこからでも、多彩なデバイスを使ってそれらにアクセスできます。 WebOS Goodies は、さまざまな情報提供やツール開発を通して、そんな世界の実現に少しでも貢献するべく活動していきます。 なんと 10 ヶ月ぶりの投稿になってしまいました・・・。これまでは空き時間のほとんどを Feedeen （フィードリーダー）の強化に回していて、 Evernote への投稿を実装したり、 埋め込み動画の再生に対応したり、タブレット版を追加したりしてました。現在は招待コードなしで登録できるようになっているので、興味のある方はぜひ使ってみてください。 さて、その Fe

絵心も、プログラミング技術も必要なし！ 先日、「タルク星の人々」というサービスを運営する、N2インタラクティヴジャパンの方とお会いする機会がありました。 「タルク星の人々」というのは、ユーザーが自分でRPGを作って公開することができる、いわゆる「ツクール系」のWebサービス。昨年12月にβサービスがスタートし、その後2ちゃんねるのブラウザゲーム板などを中心にじわじわと人気が拡大。現在までに、だいたい100本ほどの作品がユーザーによって公開され、遊ばれているそうです。 N2インタラクティヴジャパンの新田法継さん（左）と、開発を担当したFlashクリエイターの杉野淳さん 「タルク星の人々」のトップページ。公開されているゲームを遊ぶだけなら、登録不要で誰でもプレイ可能 最大の特徴は何と言っても「手軽さ」。「短いものなら、10～20分もあればシナリオを書いて公開できます」と語るのは、N2インタラィ

キーパッドを表示して「1」「1」「0」を入力してから通話ボタンを押すと、携帯電話の通信速度が速くなるというデマがSNSで拡散しています。 【拡散されたデマの一例】 　デマは「iPhoneユーザーだけの裏技でキーパッドで『1』を2回、『0』を1回押して、03秒以内に通話ボタンを押して15秒くらい待つとピーと音が鳴って通信制限が解除される」という内容。 当然、110番は警察につながります。ちょっと考えればデマだと分かるはずですが、だまされたりだまされそうになった人が多いようです。 これを受けて広島県の公式Twitterではデマに対して「『1』『1』『0』を入力したら携帯電話の通信速度が早くなるという情報がSNS上で流れていますが、それは全くの嘘です！！ 110を押すと警察に電話がつながります」と本来の緊急通報に支障が出るので、絶対にやめるよう呼びかけています。

Electronを使って見栄えを整えてみる ElectronはJavaScriptでデスクトップアプリケーションが作れるツールです。 前回「30分で出来る、JavaScript (Electron) でデスクトップアプリを作って配布するまで」では簡単なアプリを作って配布するところまでやりました。 あとはいつも通りの JS + HTML + CSS でガリガリ書いていけばいいのですが、まずは見た目から入ろうということで、もう少しアプリっぽい見栄えにしてみましょう。 ちなみに、Macではいろいろ動作を確認しましたが、Windowsは知りません。 大体同じように動くはずですが、もしダメだったらWindows版の記述を教えて頂けると助かります。 基本設定は browser-window APIで browser-windowはアプリのウィンドウを表示するためのAPIです。 例えば、以下は単なるin

video-transcript-note というElectronアプリを書きました。 一言で説明するならば、PDFを見ながらMarkdownでメモを取れるアプリを書いたの動画版です。 インストール latest binaryから最新のバイナリを落として起動すればいけるはずです。 Linuxも多分動くんだと思いますが、何か妙にバイナリが大きいかったのでビルドからは外してます。(適当に修正PRでも下さい) 機能 機能としては、HTML5 Video + <track>による字幕 + CodeMirrorでのMarkdownメモと言った感じのアプリです。 HTML5 Video player keyboard shortcut ルビ翻訳された字幕 English to 日本語 Markdown Note Quote from Video and Transcript. Cmd+T/Ctrl+T

以前書いたnode-webkitアプリをTravis CI経由でGitHub Releaseにバイナリ登録する | Web Scratchの更新版的な記事です。 この記事はNW.jsとElectronで書いたアプリをGitHub Releaseで公開するまでの流れやツールの紹介です。 この記事の目標としては”Travis CIからGitHub Releaseへ自動的にパッケージしたアプリをアップロードする”を目標にしてます。 つまり、git tagを付けてgit pushすれば、自動的にアプリのバイナリができあがるという感じです。 GitHub Release向けのzip GitHub Releaseにアップロードできるファイルの種類は決まっているので、 NW.js/Electronアプリのパッケージング(.exeや.appなど)をしたものをzipとしてまとめる必要があります。 NW.js

Tumblr is a place to express yourself, discover yourself, and bond over the stuff you love. It's where your interests connect you with your people.

2016年5月 補足 この記事の内容は Electron v0.3x 時代の内容です。2016年5月最新の Electron v1.1.1 で確認したところ、開発者メニューは最初から表示された状態になっています。また、 Electron v1.0 より APIが刷新されたため、下記のコードは Electron v1.0 以降ではそのまま動作しません。 以下は当時の記事をそのまま残したものです。 はじめに この記事では、Electronに以下の開発者用メニューとショートカットを追加する方法を紹介します。 初期のElectronには上記のメニューとキーボードショートカットがデフォルトで設定されていたのですが、v0.25.2以降、削除されてしまいました。 現在ではQuick Startのmain.jsサンプルに従うと、Electronの起動直後に開発者メニューが自動で開きます。しかしUIのデバッ

前回の記事「Electron入門」では、ElectronというHTML/JavaScriptのフレームワークを使って、デスクトップアプリケーションを作成するまでの手順を紹介しました。 今回は応用サンプルとしてテキストエディターの作り方を解説します。テキストエディターを作成することで、Node.jsのファイルの読み込み/書き込みや、ダイアログモジュールなどアプリケーション開発で必須となるElectronの技術を習得できます。30分程度で試せる内容になってますので、ぜひご覧ください。 ※本記事はElectron v18を使用し、macOS 12.3 MontereyおよびWindows 10にて動作検証を行いました。 完成デモの紹介 今回のサンプルのテキストエディターのデモをご覧ください。このオリジナルのテキストエディターではテキストの編集ができ、ファイルの読み書きができます。このテキストエデ

米Netflixは、データフェッチのためのJavaScriptライブラリ開発プロジェクト「Falcor」を発表した。ネットワークから効率よくデータを取得してクライアントにキャッシュすることを目指すという。 Falcorはリモートにあるデータを単一の仮想的なJSON Graphとして表現し、そこへのアクセスを提供するミドルウェア。JavaScriptライクなパス・シンタックスを持ち、get/set/callといった操作によりデータを取り込むことができるという。 キャッシュ機能を有しており、データがクライアントのメモリ上に格納している場合でも、リモートサーバー上にある場合でも同じコードでデータにアクセスでき、必要に応じてデータのフェッチを非同期で行う仕組み。これにより、アプリケーションのネットワークリクエストの効率性を高めるという。 Netflix自身もモバイル、デスクトップ、TVの各アプリで

初めてElectronを使ってTwitterクライアント https://github.com/k0kubun/Nocturn を作ったときによくわからず時間を吸われたことについて、これからElectronを使いはじめる人のために残しておく。 トラックパッドでスクロールすると画面の外までひっぱれてしまう マウスホイールでスクロールしてると気づかないのだが、トラックパッドで画面の適当なところを引っ張ると画面の外側が見えてしまい、普通のブラウザっぽくなる。Electronの検索性が低くてなかなか情報にたどり着けなかったが、ChrominumベースなのでChromeについてググったら直し方がわかった。 http://stackoverflow.com/questions/12046315/prevent-overscrolling-of-web-page html, body { width:

YAPC 3日目のイベントとしてMicrosoftさんがハッカソン会場を提供してくれて、Ben Ogle氏やmizchi氏などElectronに詳しい人達がElectronの紹介や知見共有をしてくれるということで、我乗此大波と思い、急遽Electronをやりはじめた。初見です。よろしくお願いします。経緯は 最強のTwitterクライアント戦争に参戦 - ✘╹◡╹✘ にも書いたので良ければ。それで、今日のハッカソンにReactとかGulpとかFluxとかいろいろ覚えながらつくったのがr7kamura/retro-twitter-client。 Slackにelectron-jpチームつくったのでよければ https://electron-jp-slackin.herokuapp.com/ ハッカソン中にElectronの日本ユーザがチャットできる場があるといいねという話をしたので、Slack