WASForum Conference 2008 での OpenID のセキュリティについてのスライドを公開します
後にも先にもセキュリティがメインテーマの集いでお話する事が無さそうな id:ZIGOROu です。他のスピーカが全員スーツで来る中、一人私服で来ると言う緊張感の無さ*1でしたが、実際は激しく緊張してましたw
にて講演したスライドを公開します。
- The Security of OpenID Authentication 2.0 (PDF ファイル)
話の内容ですが、
- OpenID プロトコルの概要
- OpenID のセキュリティ
- discovery
- association
- RP の詐称と return_to, realm
- nonce の確認
- Identifier 再利用問題
- Reputation についての私感
って感じのお話をしました。
スライド作ってみて思った事
- 結構、国内の OP の実装状況に問題があると思った
- Security に関してのトピックはもっと集めるべき
それとこうしたイベントで毎回プロトコルの説明をせざるを得ないのも問題だと思いました。
プロトコルの概要くらい、エンジニアなら誰でも知っているくらいの認知度が無いと、次のステップに進まないのかもと思いました。
高木先生からの質問
- Q1. 国内の実装は安全か?
- Q2. 普及と言う観点ではどう?
とかだったかな。国内の実装はさっき言ったとおりでもう少しどうにかしないといけない気はするんだけど、それ以前に RP が増えないと全体的なモチベーションは上がらんですね。
普及って意味だと色んな工夫( OP Identifier を入れればいいとか )はあるんだけど、それでも一般人への普及は相当難しいのかな。
やっぱり携帯で普及するとかだといいんじゃないのかな。DoCoMoさん、au さん、SoftBank さんの中の人からのご連絡、引き続きお待ちしてます(ぉ
他にも色々質問あったんですが、どう観ても緊張してて上の空だったので覚えてません><
控え室で高木先生にさらにログアウト出来ないのーって言われましたが出来ません。
ニーズはあるみたいですねぇ。
RP 駆動でのログアウトを OP にも適用ってのをもし実現するとすれば、Indirect Communication でやるんですかね。
イメージとしてはどこそこの RP からログアウト要求あったけど、ログアウトする?みたいな画面が出る感じか。
という訳で
物凄い頑張って作ったスライドなんで皆さん是非読んでみてくださーい。
最後になりましたが、このような機会を与えて下さいました高木先生に改めて感謝です。ありがとうございました。
*1:ちなみに今日スーツで来なかったのは id:kazuhooku さんに「いやいや、そういう部分はフォーマルではないから私服で全然 OK ですよ」と言われたからと言うのと、そもそもスーツは全部実家にあると言うダメっぷりからです。