OAuth Community Site
An open protocol to allow secure authorization in a simple and standard method from web, mobile and desktop applications. Learn more about OAuth 2.0 » For app developers... If you're building... web applications desktop applications mobile applications JavaScript or browser-based apps OAuth is a way to get access to protected data from an application. It's safer and more secure than asking users t
第1回 OAuthとは?―OAuthの概念とOAuthでできること | gihyo.jp
今回から始まった「ゼロから学ぶOAuth」。全4回の特集にて、これからのWebサービスを開発する上で不可欠な技術「OAuth」について取り上げます。初回は、OAuthの概念について取り上げます。 はじめに はじめまして、iKnow!改めsmart.fmの真武です。現在smart.fmでは、OAuthやOpenID、OpenSocial、Semantic WebやActivity Streamなどといった新しい技術の導入を積極的に行いサイトを活性化させるとともに、smart.fm APIを通じて我々の技術を外部のデベロッパの方々にも提供しています。 smart.fmは日本最大のOpenID Relying Partyであるだけでなく、国内では数少ないOAuth Consumer(後述)およびOAuth Service Provider(後述)を兼ねるサービスとなっています。こういった背景
Web の認証
10.2. Web の認証Web の世界では Web サーバは通常ユーザ認証をするのに SSL もしくは TLS を使い、 サーバ側が認証しています。しかしユーザが誰なのかの認証は、簡単なことではあり ません。 SSL や TLS はクライアント側の認証ですが、実際に使用するに当たって、問題を たくさん抱えています(たとえば、Web ブラウザは共通のユーザ認証形式をサポート しておらず、ユーザがインストールするのは面倒です)。 Java や Javascript を使うと、それ自身に問題があります。それは、ユーザの多くが 無効にしていたり、ファイアーウォールにフィルタをかけていたりするからです。 そして、どちらかというと遅くなります。 たいていの場合、ユーザ毎にプラグインをインストールするのは非現実的でもあり ます。しかし、システムが比較的ユーザが少ないイントラネット向けなら、この 方法は
LDAP or File による認証 + AuthzSVNAccessFileによる認可 - よかろうもん!
ApacheでLDAP認証を使われている方は多いかと思います。 一般的にはLDAP認証だけ有効にしておけばよいパターンがほとんどかと思いますが、LDAPサーバもしくはActiveDirectoryにユーザが登録されていなかったり(登録できなかったり)、システム運用の都合で認証を許可したいアドレスもしくはユーザ(URL監視で利用など)が必要だったりとLDAP認証オンリーでは対応できない場合もあるかと思います。 こんな場合、どのような対応をすればよいでしょうか。 私が最初に思いついた方法は、システム運用で利用する場合ならば、ユーザ認証とアドレスによるアクセス制限のどちらかを満たすことでアクセスを許可するSatisfyディレクティブを利用し、アクセスがあるサーバのIPアドレスをAllowしておく方法です。 しかしこれではユーザ認証が必須となる場合には対応できませんね。 なおかつ、私が試した限りで
ソフトバンク携帯電話に脆弱性、「かんたんログイン」でのなりすましが可能に | スラド セキュリティ
セキュリティコンサルティング会社のHASHコンサルティングが、ソフトバンク携帯電話のブラウザ機能の脆弱性について発表している(『Yahoo!ケータイの一部端末に「かんたんログイン」なりすましを許す問題』)。 この脆弱性は「DNS Rebinding」と呼ばれる手法を用いるもので、認証に「かんたんログイン」を使用しているサイトがターゲットとなる。攻撃の仕組みは上記のサイトなどを参照していただきたいが、TTLを短く設定したDNSを用い、悪意のあるWebサイトのドメインに対応するIPアドレスを短期的に攻撃対象のWebサイトのものに書き換えることで、ドメインが異なるWebサイトの情報をAjaxで取得するというもの。これにより、ターゲットのサイト上で閲覧に認証が必要な情報を盗み取ることができる。 一般的なWebブラウザではセッション管理をCookieで行っているため、悪意のあるWebサイトのドメイン
高木浩光@自宅の日記 - ユニークIDがあれば認証ができるという幻想
■ ユニークIDがあれば認証ができるという幻想 2008年のNTTドコモによるiモードID送信開始以降、ケータイWebの世界に「かんたんログイン」なるエセ認証方式が急速に広がり、その実態は「はてなのかんたんログインがオッピロゲだった件」のように惨憺たるものになっている。こうした欠陥サイトはかなりあると考えられ、すべてを調べて廻ることはできないが、いくつかのメジャーどころのサイトについては、IPAの脆弱性届出窓口に通報して、対策を促す作業をやっている。 各サイトの「かんたんログイン」に欠陥があるかどうかは、実際に他人のIDでなりすましログインしてテストすることは許されない(不正アクセス禁止法違反になる)ので、自分用のアカウントを作成して(会員登録して)、自分のIDについてテストするのであるが、誰でも会員登録できるわけでないサイトがかなりあるようで、そういったサイトはどうしたらよいのか。以下は
最新29機種ドコモ携帯、個人情報流出の恐れ : 社会 : YOMIURI ONLINE(読売新聞)
NTTドコモの携帯電話のうち、インターネット閲覧ソフト「iモードブラウザ2・0」を搭載した最新29機種を通じて、利用者の個人情報を不正取得される恐れのあることが、専門家の指摘で明らかになった。 同社は携帯サイトの運営者にパスワード認証などの安全対策を呼びかけている。携帯電話の機能が高機能化するにつれ、こうした危険は増しており、利用者も注意が必要になってきた。 該当機種は、昨年5月以降に発表されたプロシリーズやスタイルシリーズなど。iモードブラウザ2・0は、ジャバスクリプトと呼ばれる機能が組み込まれており、携帯用のインターネットサイトと自動で情報をやりとりできる。 悪意ある携帯用サイトは、接続してきた利用者の携帯のジャバスクリプトを使って、利用者が会員になっている別のサイトに一瞬だけ接続させることができる。その時、この会員サイトに利用者の住所など個人データが登録されていると、盗み出されてしま
認証が必要なページをダウンロードする: .NET Tips: C#, VB.NET, Visual Studio
認証が必要なページをダウンロードするここでは、認証が必要なHTTPページ(ユーザー名とパスワードが必要なページ)をHttpWebRequestクラスを使ってダウンロードする方法を紹介します。 HttpWebRequest.Credentialsプロパティ + NetworkCredentialを使用するそのためには、HttpWebRequest.Credentialsプロパティを使用します。Credentialsプロパティには、NetworkCredentialまたはCredentialCacheオブジェクトを指定できます(CredentialCacheの場合も、ユーザーやパスワードの情報はNetworkCredentialで指定します)。MSDNによると、NetworkCredentialクラスは、基本認証(Basic)、ダイジェスト認証(Digest)、NTLM認証、Kerberos認
高木浩光@自宅の日記 - ログイン成功時のリダイレクト先として任意サイトの指定が可能であってはいけない
■ ログイン成功時のリダイレクト先として任意サイトの指定が可能であってはいけない これが「脆弱性」として合意されるかどうかわからなかったが、脅威と対策をまとめてIPAに届け出てみたところ、受理され、当該サイト(複数)は修正された。以下、この問題がどういうもので、どうするべきなのか、はてなのケースを例に書いておく。 4月にこんな話が盛り上がりを見せていた。*1 ソーシャルブックマークユーザーのIDとPASSをいとも簡単に抜き取る手口, ホームページを作る人のネタ帳, 2007年4月6日 Bボタンフィッシングとは何? 記事の最後には私のブログでもおなじみの、はてなブックマークへ追加ボタンや、バザールのブックマークボタン(Bボタン)を設置しているブログを最近良く見かける。何気なく私はそれを利用したりしている。(略)『あれ?セッションがきれたのかな』と思い、自分のIDとパスワードを入れてログイン。
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
