OpenID TechNight vol.17 まとめ

1
ログインしてこの広告を非表示にする
前へ 1 2 3 ・・ 8 次へ
kura @kura_lab

SameSite属性をつけるとCross SiteのリクエストでCookieを付与するか制限できる。Noneは制限なし。LaxとStrictは制限あり。LaxはTop LevelのNavigationであること、Safe HTTP Methodであること(GETなど) #openid #technight

2020-08-20 17:17:51
samiii @samiii_xyz

novさん: StrageAccessAPIを使えば可能になるがユーザインタラクションなしでは基本的に不可 #openid #technight

2020-08-20 17:18:27
kura @kura_lab

Laxの場合、iframeではCookieがついてこない。POSTの場合は影響が大きかったので2分以内は付与されるがいつ仕様変更になるかはわからない #openid #technight

2020-08-20 17:18:41
samiii @samiii_xyz

novさん: 3つめ 7日間インタラクションのないドメインのデータは全削除(Tracker判定にかかわらず) #openid #technight

2020-08-20 17:18:57
kura @kura_lab

SameSite=Noneを明示的に指定すれば制限は回避可能。ただしSecrure属性(HTTPS)の場合という条件つき #openid #technight

2020-08-20 17:19:27
samiii @samiii_xyz

novさん: SameSite=Lax はChromの仕様 #openid #technight

2020-08-20 17:19:36
makicamel @makicamel

SameSite=Lax as default 影響が大きかったので POST では現状 Set-Cookie して 2 分以内は付与されている #openid #technight

2020-08-20 17:19:38
@pzt @pzt

2分以内の緩和策は「Chrome will make an exception for cookies set without a SameSite attribute less than 2 minutes ago.」の話。とはいえ、いつ無くなるか分からない。 chromestatus.com/feature/508814… #openid #technight

2020-08-20 17:19:55
kura @kura_lab

SafariではIdPとRP間をGETで遷移すると影響を受ける #openid #technight

2020-08-20 17:19:57
kura @kura_lab

特定のブラウザーで複数のRPと連携する場合、そのIdPはTracker認定される可能性がある #openid #technight

2020-08-20 17:20:36
nhosoya @nhosoya

Tracker認定されるかどうかの明確な基準が気になる #openid #technight

2020-08-20 17:20:58
samiii @samiii_xyz

novさん: IdPとRP間をgetでやり取りすると、IdPがTracker認定される可能性がある。 (IdP:複数のRPとやり取りがされる) → 30日間インタラクションがないと全データ消される #openid #technight

2020-08-20 17:21:47
@pzt @pzt

SafariのITPはあまり理解してなかった。30日とか7日とかややこしいな…。 #openid #technight

2020-08-20 17:21:56
kura @kura_lab

Tracker認定されると、30日間インタラクションがないと全データが消える。強制ログアウトするような挙動になる。7日間アクセスなければデータが消えるため、SPAなRPは強制ログアウトされるような挙動になる #openid #technight

2020-08-20 17:22:07
samiii @samiii_xyz

novさん: →強制ログアウトさせられる #openid #technight

2020-08-20 17:22:11
kura @kura_lab

IdPとRP間をPOSTで遷移するとCookieがつかない #openid #technight

2020-08-20 17:22:45
makicamel @makicamel

OpenIDConnectはレスポンスもGETだから影響ない? => 複数の RP と連携するブラウザ上では Tracker 認定されてログイン情報が削除され 30 日 or 7 日間で強制ログアウトされる #openid #technight

2020-08-20 17:23:11
samiii @samiii_xyz

novさん: postで遷移すると、Cookieが付与されない可能性がある。 #openid #technight

2020-08-20 17:23:28
samiii @samiii_xyz

novさん: 認証リクエストがpostの場合。 IdPへのリクエストにCookieがつかない。 IdPログイン済みの場合でも毎回ログイン画面出される挙動になる。 #openid #technight

2020-08-20 17:23:48
kura @kura_lab

OpenID Connectの認証リクエストはGETだけでなくPOSTを用いる場合がある。POSTを用いる場合、IdPへのCookieが付与されなくなる #openid #technight

2020-08-20 17:23:54
nerocrux @nerocrux

出遅れたけど今日の一限目は session management の話かな…? #openid #technight

2020-08-20 17:25:18
samiii @samiii_xyz

novさん: 認証レスポンスがpostの場合。 SPへのリクエストにCookieがつかない。 ログイン後の遷移先をセッションに入れてたりするので、トップページにしか戻らなくなる。 CSRF対応で設定しているstateとかが取れなくなる。ログインできなくなったりも。 #openid #technight

2020-08-20 17:25:31
kura @kura_lab

SAMLは認証レスポンスがPOSTのためログイン後の遷移先がわからないなどの影響が出る #openid #technight

2020-08-20 17:25:32
makicamel @makicamel

SAMLの場合レスポンスがPOSTなのでログイン後に利用したかった値をセッションに入れていたらCookieが利用できないので利用できない #openid #technight

2020-08-20 17:25:34
samiii @samiii_xyz

novさん: 続いてiframeについて。 #openid #technight

2020-08-20 17:27:06
前へ 1 2 3 ・・ 8 次へ

いま話題のタグ

315 ソ連407 心霊現象40 2566 草津町111 ホラー1619 ちいかわ438 グルメ12808 クリスチーネ剛田12 任天堂1059 インターネット老人会404 日本学術会議313 イギリス1051 食レポ73 鬼滅の刃1251