OpenID Provider のセキュリティ対策 (1) - まずは SSL を導入!話はそれからだ - Yet Another Hackadelicの続編です。 はじめに RP が認証アサーションリクエストである checkid_setup/checkid_immediate を行う際には通常は return_to と realm を指定しま…
最近のプログラマ界隈の話はかなり熱いですね。 若者に一度だけ与えられる出会いの場、セキュリティ&プログラミングキャンプ - IT戦記 インターン後半 / 第2回募集 - naoyaのはてなダイアリー 暑いけど頑張ろうと思った2008年夏。まだまだ若い連中にゃ負け…
まず PHP/Ruby/Python を開発言語としている場合、OpenID Enabled のライブラリを使っておけばほぼ間違いないと言う事を前提に。 @freeXRI で遊ぶ 忘れてたけど @freeXRI で @id*zigorou って Community i-name 取ってたのを思い出したのでふと触ってみた。…
Yokohama.pm テクニカルトーク #2 を開催します → 参加募集終了 - Yokohama Perl Mongers http://yokohama.pm.org/wiki/index.cgi?Conference2 日時 2008/8/22(金) 18:00 Open 18:30 Start 20:30 End 場所 デジハリ横浜校 地図 って感じです。どういう訳か F…
OSX で、今までプレビューの情報経由で画像の縦横とか見てた件>< $ identify static/latest/img/example/question_site_ranking.png static/latest/img/example/question_site_ranking.png PNG 673x248 673x248+0+0 DirectClass 8-bit 94.166kbImageMagick…
やっと下準備終わったので書いてみる。OpenID でのプトロコルメッセージで、認証アサーション要求*1及び応答*2でのメッセージは通常、RP-OP 間で associate 時に交換した MAC キーを持って署名を行う為、期待する相手と通信している限りは改ざんは起こりにく…
結論から言うと、オレオレ証明書を使った場合に LWP::UserAgent + Crypt::SSLeay は明示的なエラーを吐き出すのではなく、レスポンスヘッダ Client-SSL-Warning を付与してアクセス結果を返します。*1 簡単にテストする場合 $ lwp-request -e -d https://bad…
$ rpm -ql openssl-perl /etc/pki/tls/misc /etc/pki/tls/misc/CA.pl /usr/bin/c_rehash /usr/share/man/man1/CA.pl.1ssl.gzと言う訳で /etc/pki/tls/misc/CA.pl が正解。
d:id:ZIGOROu:20080805:1217923189 の続き。例えば先のエントリで書いたスクリプトで、https://wassr.jp/ にアクセスすると見事にオレオレ判定されちゃう訳ですが、これは単に中間CA証明書が手元にインストールされていないから起こる。 wassr の証明書を調…
高木先生の大作である日本のインターネットが終了する日を受けて、僕の日記のコメント欄にてid:futureeyeさんから質問が来ていたので、個人的な見解としての回答をしたいと思います。 名寄せの問題 a サイトで住所氏名Eメールアドレス等の個人特定情報を入…
もうだいぶ出遅れた感がありますが、先日パストラックにて開発者向けAPIをリリースしましたよって話です。 サイボウズ・ラボサイボウズ・ラボ、話題のウェブサイトをランキング化するサイト Pathtraq (パストラック) の統計情報取得 API を公開 - 6,000万件…
我が家にキモッチサイボウズ・ラボにキモッチが潜入。うちの息子たんも大好きです。 キモッチの作り方 id:yo4gi さんが完全なチュートリアル書いてくれてます。 http://blog.44gi.com/?eid=421766 http://blog.44gi.com/?eid=474615 ちょっとマジで作ってみ…
はい、全国1億5千万人の typo generator の皆さん、こんにちは。ZIGOROu です。 今日は英語で数字の数え上げも出来ない弱い子*1の為のモジュールを紹介するよ。 Lingua::EN::Numbers これ、これさえあればもう困らない! はい、ワンライナー $ perl -MLingua…
さて、Pathtrac とつい打ち間違えてしまうスペルの難しい Pathtraq ですが、毎日jpのアレの影響を定点観測する上でも楽しめます。アレの件が分からない人はこちらを見ておくといいでしょう。 「毎日jp」が自社広告だらけに、ネット上に深いつめ跡残る | 日経…
XRI 2.0 FAQ - 1.3 Why was XRI needed? そういえば最近、赤坂界隈のランチ事情にめっぽう詳しい tkudo さんがお勧めしてたのを思い出して、ざっと意味が通る程度に訳してみる。英文読解力に難があるので、原文を見ながら各自判断の事w いつもどおり内容に…
後にも先にもセキュリティがメインテーマの集いでお話する事が無さそうな id:ZIGOROu です。他のスピーカが全員スーツで来る中、一人私服で来ると言う緊張感の無さ*1でしたが、実際は激しく緊張してましたw 7/5 Developers DAY – 事件は現場で起こっている……
さて、twitterの落ちっぷりにうんざりしている方が多いかと思いますが、最近謎の退職を遂げた id:Yappo による、YappoLogs: Twitterはもう終わった、wassrやってなくて良いのは幼稚園児までだよね によって twitter から wassr に移行するユーザーが劇的に増…
楽しかったー!!!前日のYokohama.pmの飲みが朝までだったので、遅刻しちゃったけど>< 勝利への道 勝利への道Ravensburger ¥ 3,000 これはかなり面白かった!基本的にはすごろく的なゲームなんですが、戦略性の高いゲーム。 さいころを振って駒を進める…
いやー、楽しかったです。一部 Shibuya.pm のメンバーと被ってはいますが、良い意味で敷居の低いトークになったのかなと思ってます。ちなみに既に幾つか感想エントリがあるんで、詳細はそちらにて。 ゆーすけべー日記 Yokohama.pm #1 - dann's blog - # Yoko…
私的なメモです。 around before, after, augment の汎用版かつ、引数や戻り値を変更出来るのがaround before っぽく使う場合は、 around 'run' => sub { my $orig = shift; my ($self, @args) = @_; ### process before run ### ここになんか書く $orig->($…
こんな日が来るとはまったく夢にも思わなかった訳ですが、7/5 Developers DAY – 事件は現場で起こっている……セキュリティライフサイクルとマルプラクティス | Web Application Security Forum - WASForum にて OpenID のセキュリティについて講演します。 最…
昨日、百度株式会社さんの会場をお借りして、Identity Conference #2 がありました。 ひとり琉球大学の修士の方が沖縄からこのカンファレンスの為だけに上京すると言う豪気な方もいらっしゃいました。どう見てもRubyKaigiの裏番組なんですが非常にありがたい…
特集3 認証システム最前線 OpenID 2.0徹底解説 OpenIDは,分散型の認証システムです。すでにYahoo! JAPAN,mixi,livedoorなどが対応を発表しており,また,主要な規格であるOpenID Authentication 2.0もFinalを迎え,実装もそれらにどんどん追従してきてい…
みんな REST 好きなんですねぇと言うのが良く分かった第3回の読書会。僕の方は前日夜からプレゼンを書き出して、自分が発表する10分前にやっと完成したと言う体たらくぶり>< 8.8節に関して キュー、一括処理、トランザクションなどの考え方の例が示されて…
http://text.art-code.org/presen/restfulreading/ 取り急ぎ資料だけうpしまーす。感想はまた後日>< でも一言だけ言えば、みんなデレっぷりが酷い件。
Relying Party to Identity Provider redirect 悪意ある RP が discovery を偽って、ユーザーの入力した User-supplied Identifier から判別する OP EndPoint URL にはリダイレクトせずにそっくりなフィッシングサイトに行く可能性があるよねって話。 対策 …
Negotiating crypto keys associate の時に DH 鍵交換を行う際に潜む問題点です。 何が問題なのか In the original description, the Diffie-Hellman exchange by itself does not provide authentication of the communicating parties and is thus vulnera…
BlackHat USA (2007) で Eugene Tsyrklevich さんと Vlad Tsyrklevich さんがプレゼンした資料がオンラインで見れます。 OpenID: Single Sign-On for the Internet (PDF) で既に日本語でも紹介記事があります。 自分でも読んでみたので、逐一解説してみたり…
Perl OOP に interface, abstract の概念を持ち込む role, requires, with の話です。 Moose::Cookbook::Recipe10 - The Moose::Role example - metacpan.org ソースコード ちょっと変えてあります。 package Equivalent; use Moose::Role; requires 'equal_…