2009-08-01 はじめに 今回のDMスパムについての基本的な情報です。 「MobsterWorld」と書かれたDMが届いても無視しましょう 間違ってURLを踏んで、さらにTwitterの「ALLOW」ボタンを押してしまった人は、後述の「ALLOWをクリック 感染 してしまったら」の対処をしましょう(URLを踏んでも、ALLOWボタンを押していなければ大丈夫です) ここから本題 これは初めてOAuthが悪用された事例になるかも。 TwitterでスパムDMが広がっている。これを踏むと、意図せずにフォロワーへスパムDMを送信してしまうというもの。 スパムDMについては ITmedia に記事がでている。 TwitterでスパムDM出回る フォロワーに自動でDM送りつけ - ITmedia News Twitterで8月1日ごろから、スパムDM(ダイレクトメッセージ)が出回っている。DMに
クロスドメインでのデジタルアイデンティティを守る APIアクセス権を委譲するプロトコル、 OAuthを知る 作島 立樹 NRIパシフィック 2008/1/21 マッシュアップと呼ばれる仕組みで、既存のWebサービスが次々とつながり、新たなサービスが登場している。しかし、メールアドレスなど重要な個人情報が意図せずに「つながれてしまう」可能性もある。そこで登場したのがアクセス権の「委譲」を目的としたプロトコル、OAuthである。本記事ではOAuthの仕組みとともに、なぜそれが登場したのかという背景にも触れる(編集部) マッシュアップの犠牲になるユーザーのアイデンティティ GETなどのHTTPメソッドをもちいてURLへリクエストする、いわゆる「RESTful」【注1】なWeb APIを使ったアプリケーション同士の交流は、いままさに隆盛を極めている。「マッシュアップ」と呼ばれているこのサービス形態
期間限定で Surface Pro 8 ご購入で対象のキーボードが無料になり、本体にも特別価格が適用されます。
夜中に目が覚めたのでカッとなって作ってみた。けど中途半端だな。 ↓下のURLに行って、はてなのopenidでログインすると、次の画面で10ポイント支払いを求められます。払うと見えるようになります。なんもないけどね:P http://lopnor.homeip.net/~danjou/authenopenid/ この前のApache2::AuthenOpenIDと組み合わせて使います。例によってhttpd.confで LoadModule perl_module modules/mod_perl.so PerlLoadModule Apache2::AuthenOpenID PerlLoadModule Apache2::AuthzHatenaPoint のようにしてモジュールをロードし、↓こんな感じで.htaccessを書きます。.htsentuserdbというところに支払済みユーザーをた
本日、任意の質問とその答えを登録しておき、正しい答えを入力した人だけに閲覧を許可する「なぞなぞ認証」機能を追加しました。はてなダイアリーの閲覧許可にお使いいただけます。 これまではてなダイアリーではユーザー名や自分が参加しているグループ名を直接指定することで、自分のダイアリーを特定のユーザーのみ閲覧を許可することができましたが、はてなのアカウントを持っている人しか許可することができませんでした。 なぞなぞ認証では「私の祖母の名前を漢字4文字で」など、その質問の答えを知っている人にならはてなのアカウントがなくても閲覧を許可することができるようになりました。これによって、ご家族やご親戚、会社の同僚などのプライベートな情報を知っている相手なら誰でも、自分のプライベートな日記を閲覧してもらうことができるようになっています。 また、なぞなぞ認証の追加に伴い、認証の設定をMyはてな以下のユーザー設定ペ
2007-09-25 miyagawa さんの Twitter で知ったけど、 OAuth という仕様が公開された。 日本語の情報は、OAuth - リソースへのアクセスを代行するプロトコルに、詳しいメモが書かれている。仕事が速いなぁ…。 OAuth は,第三者に対して,認証を要求するリソースへのアクセスを一時的に許可するためのプロトコルです. たとえば,写真印刷サービスがあるとします.そして,あなたは flickr に保存してある非公開写真の印刷を依頼しようとしています.このとき,写真を “公開” 状態にすることなく,また flickr へのログイン情報を教えることもなく,印刷を依頼することができます. 面白そうな仕様なので、ちょっと整理してみよう。 OAuthのメーリングリストなどは全然読んでいないので、勘違いがあるかもしれない。 OpenID が認証のための仕様だとすると、 OAut
http://www.itmedia.co.jp/news/articles/0707/24/news041.html このニュースが面白いのは、これでlivedoor IDは3つの認証仕様のIdP(アイデンティティ・プロバイダ)になった、ってとこだな。 livedoor Auth OpenID SAML2.0(aka. Liberty ID-FF) SAMLのインターフェースについては、”Circle of Trust”という性質上、OpenIDのように市井の開発者が勝手に使えるような感じでは多分ない。基本的に一方向じゃなくって双方向の信頼を求められるから。まあここらへんへのアンチテーゼであのDick Hardtの名プレゼンが出て来たわけだけども。 でもSAMLは、比較的大きなサービサー同士とか、エンタープライズとの連携では、そうした用途で古くから仕様が練られていることもあり、おそらく使
はてなスターは、とりあえず、何をするサービスなのかわかりにくいことが一番面白い所だと思う。何なのかわからないので、しばらくの間、これを読み解く記事でブログ界がにぎわうことになるだろう。 それで私も頭をひねって考えてみたのだけど、はてなスターは認証系プラットフォームと見るべきではないかと私は思う。 その意味は、難しいことを言うより、ブログ以外のサービスに星がついている様子を想像すればわかってくる。つまり、YouTubeや2ちゃんねるの個々のアイテムに星がついていることを想像するのだ。 その星をクリックすると、その動画やレスを投稿した人に拍手を送ることができる。その人が自分のFriendになっていれば、コメントをすることができる。 これは、サイトの運営者、つまりYouTubeや2ちゃんねるがはてなスターの機能を実装しないとできないことだ。だから、それが実現するかどうかはわからないが、はてなスタ
にわかに注目を集めている、URLをIDとして利用する認証プロトコル、OpenID。本連載ではこのプロトコルの仕組みを技術的に解説するとともに、OpenIDが今後どのように活用されていくのかを紹介する(編集部) OpenIDってなんだろう? 現在、国内外でにわかに注目されつつあるOpenIDという仕組みを聞いたことがあるでしょうか? これはユーザー中心の分散ID認証システムですが、まだ日本での普及は進んでいない状況です。 これにはいくつか原因が挙げられるでしょうが、筆者はOpenIDが正しく理解されていないことが原因だと考えます。 本連載ではOpenIDの現行仕様、およびその拡張仕様とともに、実装を例に取りつつOpenIDとは何かということを明らかにしていきます。最終的にはOpenIDが切り開く未来を見るため、現在策定中の次期仕様についても触れていきたいと思います。 広がりつつあるブラウザベ
AOLのOpenAuthという認証APIがあります。YahooのBBAuthだったり、Google Account Authentication、日本で言うならはてな認証、livedoor Authなどに代表される、最近流行のサービスプロバイダによる認証APIの一種なんだと思います。ただ、少なくともAOL IDを使うことはほぼないから、アナウンスは聞いてもとりあえずスルーしてたのだけど、たまたま仕様を読んでいたらかなりびっくりした。なんと通信経路にJSONPを使って認証トークンをやり取りできてしまう。JSONPはパブリック情報の配信以外に使うな、ってのが常識になりつつあった人たちから見たら、これはたぶん衝撃。 でも、これがセキュリティ的にヤバいかっていうと、決してそうではなくって、OpenAuthではいわゆる「リファラによるサイト制限」を実装しているところがポイント。つまり、JSONPリク
livedoor Authの運営終了のお知らせ 2021年3月末をもちまして、livedoor Authの運営を終了いたしました。 長きに渡りご愛顧をいただきまして、誠にありがとうございました。 livedoorホームへ戻る
JamesDam.com ? AJAX Login System Demo This is an example of a login system that does not require page refreshes, but is still very secure. Ajax+PHPでの画面遷移なしのログイン画面作成サンプルが公開されています。 フォームに、user1, pass1 を入力すると即時認証が行われ、次のようにログイン状態になります。 認証には、Ajaxを使ったワンタイムパスワード方式が使われます。 具体的には、Ajaxでサーバからチャレンジコードを取得し、チャレンジコードとパスワードをmd5でハッシュして、更にその値をサーバに送信し、認証を取ります。 このため、従来の方式よりは安全な認証が可能となります。 Ajaxが出てきたことで、ブラウザを開いたままの状態でインタ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
