This shop will be powered by Are you the store owner? Log in here
This shop will be powered by Are you the store owner? Log in here
第5回 OpenIDを実装したソースコードを読もう 倉貫 義人 松村 章弘 TIS株式会社 SonicGarden 2009/6/3 優れたプログラマはコードを書くのと同じくらい、コードを読みこなせなくてはならない。優れたコードを読むことで、自身のスキルも上達するのだ(編集部) 前回までは、Ruby on Railsの基本部分についてコードリーディングを行ってきました。 今回からは、より魅力的なWebアプリケーションを実現するために必要なさまざまな技術をRailsで活用したソースコードを読むという、さらに実践的な内容に入っていきます。 今回取り上げる技術要素はOpenIDです。GoogleやYahoo!、mixiなどの大手サービスがOpenIDに対応したことで話題になったので、聞いたことがある方は多いのではないでしょうか。 OpenIDとは、とある1つのIDを持っていれば、複数のWebアプ
アマゾンAPIを使うのに2009年8月15日から認証が必要になるらしい 2009-05-09-1 [Programming][Affiliate][WebTool] 「Amazon アソシエイト Web サービスの名称変更および署名認証についてのお知らせ」というメールが来ました。 (追記: ほぼ同内容のものが Forum とアソシ公式ブログにもありました。ただし Forum では15日ではなく16日となっています。) さて、このたび、Amazon アソシエイト Web サービスの名称を、「Product Advertising API」と変更しましたことをお知らせいたします。この新名称は、開発者の皆様が Amazon サイトで販売されている商品の広告作成を行い、これによって Amazon より広告費を受け取るという、API の目的をより正しく表しています。 はいはい、了解しました。 「Pr
TwitterやYahoo!、GoogleなどがAPIに採用している「OAuth」に脆弱性が見つかった。 APIアクセス権の譲渡に使われているオープンプロトコルの「OAuth」に脆弱性が見つかった。OAuthを採用しているTwitterやYahoo!、Googleなどは、一時的にOAuthを無効にするなどの措置を取っている。 OAuthが4月23日付で公開したアドバイザリーによると、この脆弱性は「OAuth Core 1.0」のプロトコルに存在する。 攻撃者はまず正規のコンシューマーサイトにログインしてOAuth認証プロセスを開始し、サイトのリダイレクトに従って認証を受ける代わりに、Request Tokenとして発行された認証リクエストURIを保存する。次いでユーザーをだましてその認証リクエストURIで構成するリンクをクリックさせ、そのユーザーの保護されたリソースへのアクセスを許可させる
2009/04/23 APIベースでWebアプリケーションやローカルアプリケーションを連携させる技術として普及が期待されている認可プロトコル「OAuth」(オース)にセッション固定攻撃の脆弱性が発見された。OAuthに対応したAPIを公開しているYahoo!やTwitter、YammerがOAuth対応APIによるデータ提供を緊急停止する事態となっている(Yahoo!のコメント、Twitterのコメント、Yammerのコメント)。一方、OpenSocialなどでOAuthを使っているグーグルはコメントで、問題が発見されたものと異なるOAuthを使っているため、現在提供中のサービスについて影響はないとしている。同様に、DVDレンタルサービスのNetflixも影響はないとしているなど、対応が分かれている。 OAuthコミュニティは2009年4月23日に詳細な脆弱性の報告を掲載。問題は「OAut
Linuxで稼動させているApacheにて認証が必要なWebサービスに、Windowsドメイン(Active Directory)の認証情報を使って、シングルサインオンを実現させるまでの手順を備忘録として残しておきます。 今回、ブラウザは、IEとFirefoxにて動作確認を行いました。 Windowsドメインログオンをしているクライアントから、上記2種類のブラウザを使うと、NTLM認証※を利用しているWebサービスには、認証済みのドメインログオンの情報を利用することができ、ユーザ名やパスワードを入力する必要の無いシングルサインオン環境が実現できます。 ※NTLM認証(NT LAN Manager authentication)とは - IT用語辞典 e-Words 前提 今回利用した構成は以下のような感じ。 Webサーバ CentOS 5 Apache 2.2 + mod_auth_ntl
Webアプリケーションのログインの際によく「ログイン状態を保持する」(セッションCookieの有効期限をブラウザ終了時までではなく一定期間に指定する)という選択肢を設けることがある。Djangoの標準の認証機構ではそういったことができないなーと思っていて、でも、Pinaxにはあるだろうと考えたら、やっぱりあった。pinaxのlocal_apps/accountを使えばよさげ。以下は、pinax/local_apps/account/forms.pyからの抜粋。 class LoginForm(forms.Form): username = forms.CharField(label=_("Username"), max_length=30, widget=forms.TextInput()) password = forms.CharField(label=_("Password"), w
このドメインは お名前.com から取得されました。 お名前.com は GMOインターネット(株) が運営する国内シェアNo.1のドメイン登録サービスです。 ※表示価格は、全て税込です。 ※サービス品質維持のため、一時的に対象となる料金へ一定割合の「サービス維持調整費」を加算させていただきます。 ※1 「国内シェア」は、ICANN(インターネットのドメイン名などの資源を管理する非営利団体)の公表数値をもとに集計。gTLDが集計の対象。 日本のドメイン登録業者(レジストラ)(「ICANNがレジストラとして認定した企業」一覧(InterNIC提供)内に「Japan」の記載があるもの)を対象。 レジストラ「GMO Internet Group, Inc. d/b/a Onamae.com」のシェア値を集計。 2024年5月時点の調査。
最近ではFacebookやPaypalもOpenIDとして参入するなど、世界全体でOpenIDに対する取り組みが行われている。メールアドレスをはじめとする通知機能がないなど、細かな問題はあるがIDを管理する煩雑さから解放されるのは良いことだ。 OpenIDのプロバイダーになりたい方、個人でOpenIDサーバを立てたい方向け そして逆にOpenIDを提供したいと思う人たちもいる。既存のシステムはもちろん、サービスのブランドを利用して提供したいと思うならPrairieを使ってみてはいかだろう。 今回紹介するオープンソース・ソフトウェアはPrairie、PHPによるOpenIDプロバイダーだ。 PrairieはOpenID 1.1、そして2.0に対応したOpenIDサーバだ。認証システムのみを提供するようになっており、各自はPrairieでログインするとプロフィールページのみが提供される。 テー
For full functionality of this site it is necessary to enable JavaScript. Here are the instructions how to enable JavaScript in your web browser.
あまり良く分かっていなかったシングルサインオン(以下SSO)についてのまとめ。 そもそもSSOとは、IT用語辞典によると ユーザが一度認証を受けるだけで、許可されているすべての機能を利用できるようになるシステム。 のことだ。つまり、 図1のようにアプリが1つの場合には不要である。また 図2のようにアプリが複数でも認証情報(Session)を共有する場合には、SSOサーバは必要ない。各アプリの依存度が高い場合や、負荷分散のための複数プロセス構成のケースではこれで充分。そもそもRailsを使うのならSessionの内容はCookieのなかだし(デフォルトでは)。 独立性の高い各アプリの間で認証情報を共有したい場合にSSOサーバは初めて有効となる。 ここで認証画面を各アプリで持つことも可能であるが、SSOサーバに任せた方が実装の手間も省けるし、セキュリティ的にもパスワードを取得するサーバが一箇所
mod_wsgiで運用しているWSGIアプリケーション内からAuthorizationヘッダー(HTTP_AUTHORIZATION)を参照する場合には、mod_wsgiのWSGIPassAuthorizationヘッダーをOnにしておかなくてはならない。デフォルトはOffなので、例えば、Djangoアプリケーションから、 def view(req): auth_header = req.META.get("HTTP_AUTHORIZATION") # do something のようにすると、常にNoneが返ってくる。このような設計になっている理由は、WSGIPassAuthorizationの項に書いてある。WSGIPassAuthorizationディレクティブはHTTP認証ヘッダーがHTTPリクエストに存在するときに、その値をHTTP_AUTHORIZATION変数としてWSGIア
ruby-oauth で Yahoo! OAuth を使おうとしてだいぶはまったので、対応方法をメモ。 まずは oauth_parameter のうち、値が空のものは送らないようにしないと行けないようです。これは Yahoo! 側の問題かな?この問題を解決するには、OAuth::Client::Helper をオーバーライドします。 PLAIN TEXT LANG : RUBY # Yahoo! Hacks (for OAuth2.1) class OAuth::Client::Helper def oauth_parameters { 'oauth_consumer_key' => options[:consumer].key, 'oauth_token' => options[:token] ? options[:token].token : '', 'o
Hours after rumors started circling in China about a possible stepdown of Alibaba’s chairman and CEO Daniel Zhang, the ecommerce behemoth confirmed midday on Tuesday that the executive will hand Vimeo, the video hosting and sharing platform, is embracing AI in a major way. This week, Vimeo announced a suite of AI-powered tools designed to help users create scripts, record footage using a buil
Use Your Illusion: Secure Authentication Usable Anywhere - Usable Security 上の画像,何の画像に見える? 答えはこれ。 何も知らずにこの画像を見せられても,何の画像かはまったく分からないと思う。でも,ひとたび答えを知ってしまえば,なんとなく何の画像かを思い浮かべることができるようになる。 こんな感じで,「知っている人には確実に答えが分かる」「知らない人には絶対に答えが分からない」という条件を作り出すことができれば,それを認証の仕組みに応用することができるかもしれない ― このアイデアを実際に利用した認証メカニズムの一例が "Use Your Illusion" だ。 上のリンク先のサイトでは,携帯端末上での実装を想定したデモを体験することができる(ただし,自前の画像をアップロードする機能は動かなくなっている模様)。
国内最大手のSNS「mixi(ミクシィ)」を運営するミクシィは20日、mixiのログイン認証を利用して他のWebサイトにもログインできるようになる「mixi OpenID」のサービス提供を開始したと発表した。 OpenIDは、共通のユーザーIDを複数のWebサービスで使えるようにする技術。「mixi OpenID」のサービス提供開始により、OpenIDに対応したWebサイトであれば、個別にユーザー登録することなく、mixiの認証情報(登録メールアドレスとパスワード)でログインして利用できる。 ミクシィによれば、OpenIDの対応Webサイトは既に世界中で10,000サイト以上あるという。 同社では、「フィッシング対策のため、mixi OpenIDのログイン画面にアクセスした際には、URLがmixi(https://mixi.jp/〜)であることを確認してほしい」と呼びかけている。
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
