資料の補足

基本的にこの資料ですけど、公式のスペックである http://eaut.org/specs/1.0/ に沿って、かなり噛み砕いて説明していますので、プレゼン資料を読めば概ねこの規格については理解出来ると思います。

あとこの EAUT と言うスペック、何のためにあるのか長所について。思いついたことを列挙してみると、

• email ベースの ID 体系を OpenID ベースに代える事が出来るかもしれない
• email ベースの ID 体系からメタデータを取得出来るかもしれない

とかとかなんですかね。

資料で挙げているセキュリティに関しては、このスペックの便利な所がそのまま欠点でもある事を示唆していると言えると思います。

具体的に言えば、

• zigorou@example.com

と言うメールアドレスと思しき文字列があるとして、example.com に EAUT discovery 掛けて、http://{username}.example.com/ と言う EAUT Template が返って来たとすると。

この時、この EAUT Template を使って transform して、http://zigorou.example.com/ と言う URL を得て、実際にこの URL にアクセスした際に、OpenID で言う discovery が出来てしまうような URL であるならば、特に対策していない OpenID Provider にとっては zigorou と言うユーザーが存在するのはほぼ間違い無いので、zigorou@example.com と言うメールアドレスが恐らく有効なアドレスである事がばれてしまう。

利便性の追求ってのは諸刃の剣なんだなぁと思わせる仕様ですねぇ。