This domain may be for sale!
やっと下準備終わったので書いてみる。 OpenID でのプトロコルメッセージで、認証アサーション要求*1及び応答*2でのメッセージは通常、RP-OP 間で associate 時に交換した MAC キーを持って署名を行う為、期待する相手と通信している限りは改ざんは起こりにくいと考えられます。 但し最近話題に出て来ている DNS Cache Poisoning のような攻撃を受けた場合、中間者攻撃 (man-in-the-middle attack) が成立する可能性があります。 攻撃手法の例 例えば、RP の DNS が汚染されていた場合を考えます。本来 OP であるはずのホストが悪意のある第三者のサーバーに割り当てられていた場合、その第三者のサーバーが中継を行えば、DH 鍵交換を行ってもまったく無意味で、認証データが盗まれる可能性があります。つまり、 RP から見ると OP に見えて O
OpenIDでOpenID Provider側からRelying Partyへ属性情報を渡すことができる、2つの拡張機能について整理。 RPに公開するうえでのセキュリティ上のリスクについて検討してみる。 三段階評価は個人的な見解で、OPの立場、状況によって変動すると思います。 またこれらの情報をRP側に出すとしてもそれはあくまでユーザーの同意を前提とするものとして考えます。 ○=問題なし ▲=まあ問題なし(条件つきOK) ×=出さない方がいい ■SRE(Simple Registraion Extension) ・○nickname ・×email ・×fullname ・▲dob(生年月日) ・○gender ・▲postcode ・○country ・○language ・○timezone 参考情報: http://openid.net/specs/openid-simple-reg
最近、認証APIとOpenIDの違いについて説明する機会が増えてきた。 ※Flickrの画像を入れているのは、近年の認証APIのなかでFlickr Authentication APIがいろいろな意味でも象徴的な存在だからだ。 OpenIDが盛り上がってきていることもあり、自社のサービスへOpenIDの導入(Relying Partyとして)を考えていても、関係者へ理解してもらい導入を決めるまでの説明が難しいと感じている方々が多いのではないだろうか。 ここでは、私がよく聞く質問として一番多い、「認証APIとOpenIDはどう違うのか?」という質問へのベストな回答を考えてみる。 人は何か新しいモノについて説明されてそれがよく分からないとき、それとよく似たしくみを例にあげてそれと比較した説明を求めることが多い。すでに理解しているものから、その差分だけで考えた方が手っ取り早いからだ。 それはそれ
takiuchiさん主催のOpenID勉強会@恵比寿に行ってきました。 会場を提供いただいたドリコムのみなさま、takiuchiさん、ありがとうございました。 takiuchiさんが作られた素晴らしい資料に、rakutoさんの技術解説、id:ZIGOROuさんのプレゼンも合わさり、とても高度で中身の濃い勉強会でした。しかも13時半〜17時半頃までの勉強会の後、飲み会が23時過ぎまでとかなりエンドレスな感じで。 普段閉じられた環境にいることが多く、OpenIDに関してアツく議論をできる場も得られなかったので非常に有意義でした。 具体的には下記のような収穫がありました。 ・ OPはOpenID識別子をRP毎で別々の文字列とすべきという話 ・ myopenidがやってるペルソナ機能(知らなかった) ・ SHA1はもう破られてるのでヤバイということ ・ XRIのことをかなりおぼろげに理解できた ・
Abstract OpenID Simple Registation is an extension to the OpenID Authentication protocol that allows for very light-weight profile exchange. It is designed to pass eight commonly requested pieces of information when an End User goes to register a new account with a web service. Table of Contents 1. Requirements Notation 2. Terminology 3. Request Format 4. Response Format 5. Security Considerations
迷惑メールはますます悪質巧妙化している。例えば(写真1)は最近の迷惑メールの例である。これを受け取ったユーザーが,何やら面白そうだと思い,ここで示されているリンク先をクリックするとFlash Playerの新バージョンのダウンロードを促される(写真2)。そしてさらに,何かの動画が見られるかもしれないと考え,ダウンロードしたものをつい実行してしまうと,実はこれは不正なプログラム(マルウエア)なのである。ファイル名も“flashcodecinstall_13_31.exe”と,なんとなくそれらしい名前がついているが,実はトレンドマイクロでは "TROJ_DLOADR.GH" と名前がついているトロイの木馬型のマルウエアだ。 世界で最初の迷惑メールは,今から30年前の1978年5月1日にインターネットの原型となったARPANETに米Digital Equipment(DEC,当時)の営業担当者が
迷惑メールの対策を考えるには,まず迷惑メールがどのように送られてくるのかを把握する必要がある。 これまで迷惑メール送信者は,メールの第三者中継が可能なオープン・リレーのサーバーを利用したり,一般利用者が用いるいわゆる動的IPアドレスを接続回線に利用するなど,実際の送信者が誰かを分かりづらくする工夫をしてきた。最近では,ボットネットなどのようにさらに送信手法が複雑巧妙化してきている。 オープン・リレー・サーバーについては,迷惑メール送信者は現在でも絶えず探し続けているようで,例えばインターネット上にホストを追加すると,すぐにメール配信に使われる25番ポートへのアクセスが定期的に発生するようになる。以前,こういった25番ポートへの接続で実際何を送ろうとしているのかを,試験的に環境を構築し,調査したことがあった。接続元は主に米国,アジア圏からのものが多かったが,遠く南米や欧州方面からの接続もあっ
セキュリティ上の観点で「Firefox 2」と最新版の「Firefox 3」のどちらを使用させるのか? 遅くとも2008年12月中旬までに「Firefox 3」への移行が必須 米国時間2008年6月17日に,米MozillaはオープンソースWebブラウザの最新版である「Firefox 3」を,日本語版も含めてリリースしました(関連記事:Mozillaが最新版Webブラウザ「Firefox 3」を公開,ダウンロード件数は順調に増加)。これに伴い,ある企業から『リリース当日に早速セキュリティ・ホールが発見されたらしい。システム管理者として従来の「Firefox 2」と最新版の「Firefox 3」のどちらを社内で使わせるべきか,アドバイスしてほしい』と相談を受けました。 Firefox 3.0には新機能として,ブックマークや閲覧履歴からWebページを簡単に見つけられる「スマートロケーションバー
会員限定サービスです 会員の方はこちら ログイン 有料会員(月額プラン)は初月無料! お申し込み 日経クロステック TOPページ
総務省が6月に発表したアンケート調査結果によると、子どもにインターネットを利用させる際にフィルタリングが必要だと思うと回答した人が94.3%に上った。しかしながら、自宅で子どもがPCでインターネットを利用している家庭のうち、フィルタリングソフト/サービスを利用しているのは30.2%(就学前~高校生までの平均)だった。 利用しない理由としては、「親子でコミュニケーションをとり、利用のルールやマナーを身につけさせればよいと思うから」(19.7%)、「出会い系サイトを利用することはない等、子どもを信用しているから」(18.2%)、「子どもがまだ小さいため、必要性を感じないから」(17.5%)が上位に挙がっており、これに「フィルタリングソフトの存在を知らなかったから」(13.9%)、「利用の仕方がわからないから」(10.9%)が続く。 ■URL 総務省「平成19年度電気通信サービスモニターに対する
各種データを保存できるだけでなく、複数のデバイスからメモが可能。そして、メールソフトに似たインタフェースで、各メモに自由にタグ付けができる。そんなEvernoteの使いこなし術を伝授します。 これまでも何度も登場してきたメモアプリケーションEvernote。その特徴の1つは画像やWebクリップなども保存できること。2つ目は、Webアプリケーションとして閲覧や書き込みができるだけでなく、Windows版やMac OS版、Windows Mobile版、iPhone版などのクライアントソフトが用意されており、どんなデバイスでメモを取っても自動的に同期されることです。 対談ではタグの使い方を紹介しましたが、そのときに利用したツール――Evernoteをどう使いこなしたらいいか、筆者の使い方を例にご紹介しましょう。 1――基本的には自分のノート専用のメールソフト Evernoteは、自分のメモ管理
DCIA : P4P Working Group (P4PWG)が公開している「P4P: Explicit Communications for Cooperative Control Between P2P and Network Providers」という論文を読みました。 ISPがP2Pに協力することによって、ネットワークに対する負荷を大幅に軽減できるという内容です。 アメリカのP2Pは、今後ISPと協力関係を構築していくのかも知れないと思える論文でした。 P4P WG この論文を作成したP4P技術ワーキンググループには、結構豪華なメンバーによって構成されています。 P4Pの論文が話題になっているのは、発表したメンバーが豪華で、実際に実現(採用/デプロイ)されていく技術なのではないかと思えるからかも知れません。 以下、DCIA(Distributed Computing Indust
Webページをメールクライアントソフトから閲覧できるサービス「WebToMail」を利用すれば、アクセスフィルターではじかれたページもテキストを閲覧できる。 職場のPCからWebサイトにアクセスしようとしたら、アクセス制限に引っかかって閲覧できなかった――なんて経験はないだろうか。オフィスのネットワークに導入するアクセスフィルターは、就業中に業務と無関係なサイトの閲覧を防ぐためのものだが、ときおりどうしても閲覧が必要なWebページまではじいてしまうことがある。 そんなときに利用したいのが、Webページをメールクライアントソフトから閲覧できるWebサービス「WebToMail」だ。 使い方は実にシンプル。閲覧したいページのURLをメールの件名にして、send@webtomail.co.ccというアドレス宛てにメールを送るだけだ。本文にテキストを記入する必要はなく、空でいい。 数分待つと、自分
http://diamond.jp/series/nippon/10017/ 馬鹿芸人相手に鼻糞ほじりながら適当なこと言ってお茶を濁す連載企画とはいえ、あまりに手を抜き過ぎてる感があったので勝手に補足。 イベント性で少子化に歯止めをかけるフランスの取り組み 竹中 フランスの具体的な対策は、子供3人以上の家族には「大家族カード」を支給し、その家族に特典を与えたこと。国鉄運賃が割り引きされたり、公共施設の利用料を無料にしたんです。実際、これらの特典で割り引かれる金額はそう多くはないと思いますが、このシステムの持つ「イベント性」は重要でした。 たとえば、子供が3人いる家族で旅行をするとき、全員の旅行費用が半額になると、なんだか得したような気分になりませんか? そういう制度を利用した家族は、「子供がたくさんいるとなんだか楽しいことがあるな」というある種のゲーム性を感じたんだと思います。 http:
まえがき 2ちゃんねるコピペブログ騒動とは 2ちゃんねるコピペブログ騒動っていうと、大抵の人はオタク女+ニャー速+Blog連合祭り*1を思い出すのかもしれないのでしょうが、これはコピペブログに関する騒動で最大のものであって他にもあったんですよね。んで、それらはBlog連合祭りの陰に隠れちゃったんです。嫌儲っていう概念はBlog連合祭りから独り歩きしちゃったわけですが、これはまあ置いといて。 このエントリーは、Blog連合祭りのみが注目されちゃっている現状をなんとかしようと思った数多がログと記憶をたどって書いたものです。このエントリーはニコニコ動画と2ちゃんねるの幕の幕として書いてます。長いですね。 第1次や第2次などと区切っていますが、これらはまとめるために勝手に呼称しているだけです。2chのレスは見やすいようにタグを付けています。 このエントリーでは主に、「2ちゃんねるに関する情報を紹介
■ Yahoo!ケータイ初回利用時のユーザID通知に関する告知 ソフトバンクモバイルのケータイWeb(「Yahoo!ケータイ」と呼ぶらしい)では、https:// ページへのリンクが妙な動作をするらしいというのが以前から気になっていたのだが、これは自分で調べるしかないと決意し、ソフトバンクモバイルの回線を契約し携帯電話を購入した。 早速「Y!」ボタンを押してみたところ。以下のページが現れた。最初に一回だけ表示される告知だと思われる。 SoftBankをご利用いただきありがとうございます。Yahoo!ケータイをご利用いただくにあたって必要な、お客様情報(ユーザID, ローミング情報)の通知設定を行います。 現在の情報: 未登録 ユーザIDの通知とは? (必ずお読みください) 通知する 通知しない ここで「ユーザID通知とは?(必ずお読みください)」のリンク先を見に行くと、図2の説明が現れた。
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
