日向夏特殊応援部隊

俺様向けメモ

OpenID

OpenID 関連の英単語

iVocaでブック作ってみた!作ってみたけど色々びみょー!

idcon #3 の発表資料を公開します

http://text.art-code.org/presen/idcon/3/ Emailアドレスの持ち主に対応する OpenID Identifier が取得出来たら便利だよねと言うお話です。 資料の補足 基本的にこの資料ですけど、公式のスペックである http://eaut.org/specs/1.0/ に沿って、かなり噛み砕…

Identity Conference #3 Ust中

空前の迷子者続出の第3回のust中です。http://www.ustream.tv/channel/idcon-ja

User-Supplied Identifier の怪

実は @ITの記事 に対して読者より厳しい突っ込みが入っていて、少し手直している所なのですが、その指摘の中で User-Supplied Identifier の事が触れられてます。それを軽く説明すると、次のような感じです。 User-Supplied Identifier: An Identifier that …

ワイルド過ぎる realm のワイルドカードを何とかしたい - 番外編 -

public suffix プロジェクトですけど、Domain Name System Operations (DNSOP) の ML にて議論があるのを、http://trombik.mine.nu/~cherry/w/index.php/2008/08/21/1355/links-roundup-400 経由で知りました。 IETF | Internet Engineering Task Force この…

速報、1500万人が使える mixi OpenID の技術面を解説するでござるの巻

と言う訳でついに来ましたね。 http://mixi.jp/openid.pl mixi OpenID << mixi Developer Center (ミクシィ デベロッパーセンター) 中の人、お疲れ様でした。実はさっきまで mixi に行って技術的な意見交換などしてきました。mixi OpenID の技術的な側面なん…

ワイルド過ぎる realm のワイルドカードを何とかしたい - 前編 -

openid.realm の値が例えば、 *.org *.co.jp みたいなケース。これだと大多数のドメインを許可する事になってしまうので、これを避けたいと言う話。 その前にワイルド過ぎる realm の定義を決めてみる (ドメイン縛りで) ワイルドカードを指定する事によって…

OpenID Provider のセキュリティ対策 (2) - return_to と realm のチェックを怠るな!

OpenID Provider のセキュリティ対策 (1) - まずは SSL を導入!話はそれからだ - Yet Another Hackadelicの続編です。 はじめに RP が認証アサーションリクエストである checkid_setup/checkid_immediate を行う際には通常は return_to と realm を指定しま…

XRI Resolution のメモ

まず PHP/Ruby/Python を開発言語としている場合、OpenID Enabled のライブラリを使っておけばほぼ間違いないと言う事を前提に。 @freeXRI で遊ぶ 忘れてたけど @freeXRI で @id*zigorou って Community i-name 取ってたのを思い出したのでふと触ってみた。…

OpenID Provider のセキュリティ対策 (1) - まずは SSL を導入!話はそれからだ

やっと下準備終わったので書いてみる。OpenID でのプトロコルメッセージで、認証アサーション要求*1及び応答*2でのメッセージは通常、RP-OP 間で associate 時に交換した MAC キーを持って署名を行う為、期待する相手と通信している限りは改ざんは起こりにく…

LWP::UserAgent or LWPx::ParanoidAgent + Crypt::SSLeay でオレオレ証明書の検出

結論から言うと、オレオレ証明書を使った場合に LWP::UserAgent + Crypt::SSLeay は明示的なエラーを吐き出すのではなく、レスポンスヘッダ Client-SSL-Warning を付与してアクセス結果を返します。*1 簡単にテストする場合 $ lwp-request -e -d https://bad…

中間CA証明書のインストールと設定

d:id:ZIGOROu:20080805:1217923189 の続き。例えば先のエントリで書いたスクリプトで、https://wassr.jp/ にアクセスすると見事にオレオレ判定されちゃう訳ですが、これは単に中間CA証明書が手元にインストールされていないから起こる。 wassr の証明書を調…

OpenID とプライバシーについて

高木先生の大作である日本のインターネットが終了する日を受けて、僕の日記のコメント欄にてid:futureeyeさんから質問が来ていたので、個人的な見解としての回答をしたいと思います。 名寄せの問題 a サイトで住所氏名Eメールアドレス等の個人特定情報を入…

XRI は何故必要なのか?

XRI 2.0 FAQ - 1.3 Why was XRI needed? そういえば最近、赤坂界隈のランチ事情にめっぽう詳しい tkudo さんがお勧めしてたのを思い出して、ざっと意味が通る程度に訳してみる。英文読解力に難があるので、原文を見ながら各自判断の事w いつもどおり内容に…

WASForum Conference 2008 での OpenID のセキュリティについてのスライドを公開します

後にも先にもセキュリティがメインテーマの集いでお話する事が無さそうな id:ZIGOROu です。他のスピーカが全員スーツで来る中、一人私服で来ると言う緊張感の無さ*1でしたが、実際は激しく緊張してましたw 7/5 Developers DAY – 事件は現場で起こっている……

WASForum Conference 2008 で OpenID のセキュリティの講演を行います

こんな日が来るとはまったく夢にも思わなかった訳ですが、7/5 Developers DAY – 事件は現場で起こっている……セキュリティライフサイクルとマルプラクティス | Web Application Security Forum - WASForum にて OpenID のセキュリティについて講演します。 最…

Identity Conference #2 に行って来ました

昨日、百度株式会社さんの会場をお借りして、Identity Conference #2 がありました。 ひとり琉球大学の修士の方が沖縄からこのカンファレンスの為だけに上京すると言う豪気な方もいらっしゃいました。どう見てもRubyKaigiの裏番組なんですが非常にありがたい…

次の WEB DB PRESS vol45 の OpenID 特集は絶対買い!

特集3 認証システム最前線 OpenID 2.0徹底解説 OpenIDは,分散型の認証システムです。すでにYahoo! JAPAN,mixi,livedoorなどが対応を発表しており,また,主要な規格であるOpenID Authentication 2.0もFinalを迎え,実装もそれらにどんどん追従してきてい…

"OpenID: Single Sign-On for the Internet" を読んだ (3)

Relying Party to Identity Provider redirect 悪意ある RP が discovery を偽って、ユーザーの入力した User-supplied Identifier から判別する OP EndPoint URL にはリダイレクトせずにそっくりなフィッシングサイトに行く可能性があるよねって話。 対策 …

"OpenID: Single Sign-On for the Internet" を読んだ (2)

Negotiating crypto keys associate の時に DH 鍵交換を行う際に潜む問題点です。 何が問題なのか In the original description, the Diffie-Hellman exchange by itself does not provide authentication of the communicating parties and is thus vulnera…

"OpenID: Single Sign-On for the Internet" を読んだ (1)

BlackHat USA (2007) で Eugene Tsyrklevich さんと Vlad Tsyrklevich さんがプレゼンした資料がオンラインで見れます。 OpenID: Single Sign-On for the Internet (PDF) で既に日本語でも紹介記事があります。 自分でも読んでみたので、逐一解説してみたり…

OpenID Tech Night vol.2 に行ってきました

銀座のアップルストアがオシャレ過ぎました。 で、表題の件ですが =nat 先生によるプレゼン。 ちなみに資料の方は、=katsu さん作。素晴らしい。 早く公開してほしー。以下物凄い雑多なメモとか思った事とか。 XRI Proxy Resolver (beta.)xri.net だけしか知…

XRI vs URI

これ実は最近のホットな話題みたいですね。 O'Reilly Media - Technology and Business Training XRI vs. URI? がニュース系の記事で、 W3C TAG Questions on Draft #2 of XRI Resolution V 2.0 from noah_mendelsohn@us.ibm.com on 2008-02-01 (www-tag@w3.…

OpenID に対する中間者攻撃のデモ

いわゆる man-in-the-middle attack って奴ですが精巧にデモを作った人がいました。 デモサイト 紹介記事 予め言っておきますが、デモサイトはフィッシングのデモなので素人は正しいパスワードは決していれない事。あるいは使わない事。*1試したけど、idthef…

Attribute Exchange のメモ

いわゆる OpenID の属性交換拡張についての私的なメモです。 仕様 主要なもの。 Final: OpenID Attribute Exchange 1.0 - Final Draft: Attribute Properties for OpenID Attribute Exchange AX で使えるプロパティ一覧 http://www.axschema.org/types/ こち…

XRI::Resolution::Liteのサンプル

解説はあとで。priorityも考慮に入れて、OpenID サービスを取得する場合はこんな感じかなぁ。 #!/usr/bin/perl use strict; use warnings; use Data::Dump qw(dump); use Math::BigInt; use Perl6::Say; use XML::LibXML; use XRI::Resolution::Lite; my $cl…

YAPCでOpenIDについて話します

今現在、スライド出来てませんが明日(今日?)の朝一番でOpenIDについて語ります。 早起きな方は是非見に来て下さい!ところでtypesterさんはスライド出来たのであろうか。

Re:OpenID再利用問題

Young risk taker.: OpenID再利用問題 この話は非常に興味深いですね。 もしも、私達が利用しているOpenIDプロバイダがドメインの更新を忘れて、第三者にドメインが取得された場合、私達のアカウントがこの第三者により不正に使用される可能性が出てくる。 …

Re: OpenID Tech Night Vol.1

tkudoさんに早速色々とパクって引用して頂いたので、レスって事で。 http://blogs.sun.com/tkudo/entry/openid_tech_night_vol_1 が元ネタです。 RP Discovery の件 ぼくも, この RP Discovery のネタがセッションの中で出てきたときには, そこまで話すのか…

delegateとIdentifierの冗長性・ロードバランシング

今は delegate とは言わず OP-Local Identifier の方が妥当なのかな。多くの人が既にご存知かと思いますが、実際の OP にある Identifier (つまり OP-Local Identifier) を Claimed Identifier とせずに、 自分が既に持っているドメインなどを Claimed Ident…