Yahoo! JAPANのOpenID Certified Markの取得について
ヤフー株式会社は、2023年10月1日にLINEヤフー株式会社になりました。LINEヤフー株式会社の新しいブログはこちらです。LINEヤフー Tech Blog こんにちは、認証技術(ID連携)黒帯 倉林 雅(@kura_lab)です。 みなさんはYahoo! ID連携をご存じでしょうか。Yahoo! ID連携はYahoo! JAPANのシングルサインオンやユーザーの属性情報を取得するID連携の仕組みです。 Yahoo! ID連携とは これまでのYahoo! ID連携に加えて、先日新しいYahoo! ID連携を一部のサービスへ提供を開始しました。さらに、新しいYahoo! ID連携がOpenID Foundationで実施されているOpenID Connect Certificationプログラムに合格しOpenID Certified Markを取得しました。 これまでのYahoo! I
事務局ブログ:「Covert Redirect」についての John Bradley 氏の解説(追記あり)
追記 (5/7 20:30): 本文中に「まともなブラウザーであれば、そのフラグメントを URI の一部にするようなことはないから、オープン・リダイレクターには送られない。」とありますが、少なくとも Chrome と Firefox はリダイレクト時に URI フラグメントをそのまま保つ (i.e. 不十分な redirect_uri チェック & オープン・リダイレクター & インプリシット・フローの場合、アクセス・トークン入りの URI フラグメントを、ブラウザーがそのままリダイレクト先へのリクエストに用いる) とのことです。続報があり次第追記します。 追記2 (5/7 23:50): John Bradley 氏自身によるフォローアップを訳しました。 Covert Redirect and its real impact on OAuth and OpenID Connect を、と
OAuthとOpenIDに深刻な脆弱性か--Facebookなど大手サイトに影響も
OpenSSLの脆弱性「Heartbleed」に続き、人気のオープンソースセキュリティソフトウェアでまた1つ大きな脆弱性が見つかった。今回、脆弱性が見つかったのはログインツールの「OAuth」と「OpenID」で、これらのツールは多数のウェブサイトと、Google、Facebook、Microsoft、LinkedInといったテクノロジ大手に使われている。 シンガポールにあるNanyang Technological University(南洋理工大学)で学ぶ博士課程の学生Wang Jing氏は、「Covert Redirect」という深刻な脆弱性によって、影響を受けるサイトのドメイン上でログイン用ポップアップ画面を偽装できることを発見した。Covert Redirectは、既知のエクスプロイトパラメータに基づいている。 たとえば、悪意あるフィッシングリンクをクリックすると、Faceboo
ついに「OpenID Connect」仕様が標準化
米OpenID Foundationは2014年2月26日、さまざまなWebサイトやモバイルアプリケーションの間で、適切な相手にデジタルアイデンティティ情報を流通させるための技術である「OpenID Connect」の仕様を最終承認した。これに合わせてOpenIDファウンデーション・ジャパンは、OpenID Connect仕様群の日本語訳を公開している。 Webサービスやモバイルアプリケーションの普及に伴い、多様で便利なサービスを利用できるようになった半面、管理すべきIDとパスワードも増加した。その結果、エンドユーザーがさまざまな煩雑さを強いられたり、パスワードの使い回しによるセキュリティリスクが増大するといった課題も浮上している。 OpenID Connectは、こうした課題の解決を目指し、OAuth 2.0をベースにして策定されたAPI仕様だ。ユーザーとサイトが常に1対1で認証を行う代
SAMLとOAuth/OpenID Connect:新たな「アイデンティティ戦争」とIdMaaSとしてのSalesforce - @IT
新たな「アイデンティティ戦争」とIdMaaSとしてのSalesforce:SAMLとOAuth/OpenID Connect 企業やその他の組織が利用するアイデンティティ連携の標準プロトコルとしては、SAMLが利用されているが、OAuth/OpenID Connectが急浮上している。今後SAMLとOAuth/OpenID Connectは、企業にどう使われていくのだろうか。2014年1月、Japan Identity and Cloud Summitのために来日したパット・パターソン氏に聞いた [2014/02/11訂正]インタビューでは「OAuthおよびOAuthをベースとしたOpenID Connect」という文脈で聞いています。記事でこれを「OpenID Connect」という一語に集約してしまったのは大変不適切でしたので、「OAuth/OpenID Connect」に修正させてい
OpenID 2.0の一部実装に脆弱性、その詳細と対策とは
OpenID 2.0の一部実装に脆弱性、その詳細と対策とは:デジタル・アイデンティティ技術最新動向 臨時便 米OpenID Foundationが8月15日に、OpenID 2.0の一部OpenID Provider(OP)実装において、Relying Party(RP)上でのアカウントハイジャックにつながる可能性のある重大な脆弱性が見つかったことをアナウンスしました。この記事では、その詳細と対策について述べます。 8月15日に公表されたアカウントハイジャックの脆弱性 OpenID Foundation Japan、Evangelistの@novです。 2013年8月15日に米OpenID Foundationからリリースがあったように、OpenID 2.0の一部OpenID Provider(OP)実装に、Relying Party(RP)上でのアカウントハイジャックにつながる可能性のあ
ssig33.com - OAuth とか OpenID とかのフローを利用してフィッシングする話
はじめに。これは霊界に住む死者からの通信に基き書かれた記事です。しかし文責は私にあります。 OpenID はパスワードの授受なしに認証の伝達が出来る仕組みです。 OAuth はパスワードの授受なしでリソースへのアクセス権限を委譲出来る仕組みです。 こうした仕組みを用いて外部サイトと連携している限り、外部サイトへパスワードなどが流出する可能性は低いです。また外部サイトが所有する OAuth の token などが外部に流出たとしても、サイトの利用者や OAuth を提供するプロバイダーがその token を早期に無効にすることが出来ます。 しかしセキュリティへしっかり配慮されて作られた OpenID や OAuth をパスワードを抜く為のフィッシングに使用することが出来ます。以下のような具合です。 OpenID 経由で外部サイトにログインしようとする/OAuth を使用して外部サイトに権限を
非技術者のためのOAuth認証(?)とOpenIDの違い入門【2023年版】
昔から、「OpenIDは認証でOAuthは認可だ」などということが言われます。しかし、その言語の意味を取り違えている方が結構多い気がしています。「もうOpenIDなんていらね。OAuthだけでいいじゃん」というような言説がよく流れてくるのがその証拠だと思います。OAuth認証というのもその類ですね。 そこで、今日はOAuthとOpenIDの違いを考えてみたいと思います。 Youtube版 OpenIDは紹介状、OAuthは合鍵 まずはOpenIDの概要の復習です。「OpenIDは認証」という言葉の内容をまずは復習してみましょう。 「認証」とは大変広い言葉でいろいろな場面で使われますが、「OpenIDは認証」という使い方の時は、「OpenIDは、いま来ている人の身元を認証」(ユーザ認証)という意味です。図にすると図1のような流れになります。 この例では、有栖さんがお客としてサービス提供をして
NTTデータ、クラウドサービス連携支援基盤を提供へ--OAuthやSAMLなど活用
NTTデータは3月1日、クラウドサービス間連携を支援するプラットフォーム「Sinfonex」を4月1日から提供することを発表した。OAuthとAPI接続でのウェブサービス連携と、OpenIDとSAMLの2方式のID連携の機能を提供する。 ウェブサービス連携では、APIとして公開されている機能をサービス連携エンジンを介して利用企業のウェブサービスに取り込む環境を提供する。通常、公開されているAPIを自社サービスに組み込むためには、それぞれのAPIの仕様に従い各ウェブサイトで個別に連携の仕組みを構築する必要がある。 Sinfonexのウェブサービス連携機能は、サービス連携エンジンでSinfonexが連携する各ウェブサービスの仕様の差異を吸収して一元化することで、利用企業はAPIごとの個別対応が不要になるという。利用企業は、自社のウェブサービスにおける他サービスのコンテンツの利用やサービスのマッ
ユーザー数4000万人を見込むアプリプラットフォーム「aima」--10社が設立
ACCESSPORTら10社は7月21日、アプリケーション開発企業(SAP)などゲーム提供者向けに共通のアプリケーションプラットフォーム「aima(あいま)」を設立したと発表した。 mixiアプリやGREE、モバゲータウンといった特定のプラットフォーム上で会員同士のみが交流していた従来のサービスとは異なり、aimaはOpenIDを使って他サイトのユーザーと同一アプリ内で交流できる。 たとえばACCESSPORTの動画検索サイト「Woopie」やECナビの価格比較サイト「ECナビ」のユーザーが、NECビッグローブのポータルサイト「BIGLOBE」のユーザーとゲームを楽しむことができる。aimaを利用できるユーザー数は15社4000万人以上にのぼると見込んでいる。 aimaは、mixiやGREE、MySpaceなどが支持して事実上の標準となりつつある「OpenSocial」に準拠した、ACCE
NTTグループのログインと決済を1つのIDで--「NTT IDログインサービス」提供
NTTコミュニケーションズ(NTT Com)とNTTドコモ、NTTレゾナント、日本電信電話(NTT)の4社は5月13日、1つのIDで複数のウェブサイトにログインできるシングルサインオン「NTT IDログインサービス」を発表した。5月14日に提供開始する。 NTT IDログインサービスは、NTT Comの「OCN ID」やNTTドコモの「docomo ID」、NTTレゾナントの「gooID」を使って、NTTグループやパートナー企業のウェブサイトにログインできるOpen IDに準拠したサービス。サービス開始当初は、NTTレゾナントのポータルサイト「goo」にのみ対応しており、OCN IDとdocomo IDを使ってそれぞれログインできる。 また、NTT IDログインサービスを活用した決済サービス「NTTネット決済」を2010年度第2四半期中に提供する。ユーザーはECサイトごとにクレジットカード
OpenID & OAuth 仕様書を日本語に翻訳しました - 京の路
昨年末にOpenIDファウンデーション・ジャパン参加企業の有志数名で翻訳・教育 Working Groupというのを立ち上げて、現在は主にドキュメントの翻訳を行っています。 現在4本のドキュメントの日本語版を翻訳・教育 Working Group のサイトで公開しています。(この記事の末尾にリンクあり) 翻訳後のドキュメント以外に、githubレポジトリも公開しています。forkもpull requestも大歓迎!原文との比較がしやすいように、各翻訳版のXMLファイルにはコメントアウトの形で原文も残されています。 翻訳版ドキュメントへのコメント・質問は翻訳・教育 Working Group のサイトのコメント欄にどうぞ。 OpenID Authentication 2.0 OpenID Attribute Exchange 1.0 OpenID Simple Registration Ex
認証基盤連携フォーラムの活動は終了しました。
認証基盤連携フォーラムの活動は終了しました。 5秒後に、Web Archive に飛びます。
OpenIDで携帯もPCもシームレスに、実証実験結果を報告 - @IT
2010/03/26 認証基盤連携フォーラム 実証実験ワーキンググループは3月26日、OpenIDを用い、携帯電話とPCをまたいだシームレスな認証や属性連携に関する実験、「認証基盤連携による認基盤間の相互運用性確保の実証」の結果を明らかにした。Artifact Bindingと呼ばれる手法を用いることで、携帯電話からも問題なくOpenIDに基づく認証を行えることが実証されたという。 OpenIDは、1つのIDで複数のインターネットサービスを利用できるようにするための仕様だ。いったん認証を済ませるだけで、ほかのサービスへのシングルサインオンが可能になるほか、ユーザーの承認に応じて氏名や住所、クレジットカード番号といった属性情報を受け渡し、利便性の高いサービスを受けられるようにする。ユーザーから見れば、サービスごとに個別に認証を行う手間を省けるうえ、自分の情報をどんな事業者に開示するかをコント
ID連携で異なるサービスを利用する可能性と課題――推進団体が報告
認証基盤の連携によるサービスの可能性と課題について、認証基盤連携フォーラムが実証実験の結果を報告した。 認証基盤連携フォーラムの実証実験ワーキンググループ(WG)は3月26日、このほど実施した「認証基盤連携による認証基盤間の相互運用性確保の実証」の実証実験の結果について報告した。 この実験は、総務省のICT先進事業国際展開プロジェクトの1つとして実施されたもの。電気通信事業者の異なる認証基盤の相互運用性を確保することで、ユーザーが複数のコンテンツやサービスを1つのIDで利用できることを目指している。 実験では、1人のユーザーがPCと携帯電話で異なるIDを利用しても容易に本人確認ができる方式や、OpenIDを携帯電話で利用する上での課題検証、必要とする情報の重要度に応じて認証手段を使い分ける方法といった、さまざまなテーマで実施された。 NTTドコモが主体となった実験では、まずPCサイトにログ
docomo IDのOpenID対応の危険性 « mpw.jp管理人のBlog
docomo IDをOpenID対応にすることによって、PC向けサイトでiモードIDの取得が可能になり、PC向けサイトとiモード向けサイトの連動が非常に容易になりました。 しかし、OpenIDでの認証シーケンスのサイト遷移が一般ユーザに周知徹底されていない現状と、他人のdocomo IDの利用(悪用)価値の高さを考えると、docomo ID(とパスワード)の詐取を目的としたフィッシングサイトが激増し、そしてその被害も激増するものと予想しています。 またmpw.jpで、docomo IDのOpenID対応化のドコモ実装を調査したところ、非常にマズイ箇所があり、ITリテラシが高いユーザにもほぼ気づかれることがない完成度の高いフィッシングサイトの出現の可能性が高いと考えています。 したがいまして、当面の間、「docomo IDでログイン」は使用されない方が賢明かと思います。 ・docomo ID
はてなグループの終了日を2020年1月31日(金)に決定しました - はてなの告知
はてなグループの終了日を2020年1月31日(金)に決定しました 以下のエントリの通り、今年末を目処にはてなグループを終了予定である旨をお知らせしておりました。 2019年末を目処に、はてなグループの提供を終了する予定です - はてなグループ日記 このたび、正式に終了日を決定いたしましたので、以下の通りご確認ください。 終了日: 2020年1月31日(金) エクスポート希望申請期限:2020年1月31日(金) 終了日以降は、はてなグループの閲覧および投稿は行えません。日記のエクスポートが必要な方は以下の記事にしたがって手続きをしてください。 はてなグループに投稿された日記データのエクスポートについて - はてなグループ日記 ご利用のみなさまにはご迷惑をおかけいたしますが、どうぞよろしくお願いいたします。 2020-06-25 追記 はてなグループ日記のエクスポートデータは2020年2月28
NTTドコモがOpenIDを採用、PCサイトも“iモード認証”が可能に
NTTドコモは3月9日、OpenID技術を活用し、PCサイトでもモバイルサイトと同じようにユーザー認証できる「docomo ID認証」の提供を開始した。モバイルサイトの認証サービス「iモードID」と、NTTドコモが自社のPCサイトで利用している「docomo ID」を連動させたもので、一般のコンテンツプロバイダーが利用できる。 iモードIDは、NTTドコモの携帯電話番号ごとに1つずつ付与されている、iモード用のユニークなID。公式サイトだけでなく一般サイトでも利用可能なことから、NTTドコモ向けモバイルサイトのユーザー認証に広く使われている。一方のdocomo IDは、NTTドコモ契約者が無料で発行できるPC用の認証ID。現在はNTTドコモの「My docomo」「imode.net」などのPCサービスで採用されている。 docomo ID認証はOpenID技術を活用し、PCサイト運営者が
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
WASForum Conference 2010: OpenIDのモバイル対応 ~ 認証基盤連携フォーラムの取組み他から | 水無月ばけらのえび日記
ご利用上の注意 | NTTドコモ