いりきん
@irikintwtr
サンプルで紹介されたこっちの方が気になった Lyft http://t.co/8YYMJCkvHi #JICS2014 #tech
2014-01-14 11:31:14
Nat Sakimura/崎村夏彦
@_nat
参考)モバイルアプリである程度安全に渡すために、1つの攻撃ベクターを潰している拡張ドラフトがこれ。 http://t.co/xNT0Ku8LH1 #jics2014 #tech
2014-01-14 11:36:39
Nat Sakimura/崎村夏彦
@_nat
アカウント乗っ取りの説明。 @nov 「昨日リハであやかちゃんに僕のRPにログインしてもらったので、すでにアクセス・トークン持ってます。」 #jics2014 #tech
2014-01-14 11:42:07
Nat Sakimura/崎村夏彦
@_nat
この脆弱性 (token replace)、先々週くらいまで gnosyにあった。foursquare も去年の春まではあった。 #jics2014 #tech
2014-01-14 11:43:18
Nat Sakimura/崎村夏彦
@_nat
脆弱性回避のためには、ユーザIDだけでなく、アプリのIDもチェックしないとダメ。これがOpenIDだと最初から考慮されている。 #jics2014 #tech
2014-01-14 11:44:49
Nat Sakimura/崎村夏彦
@_nat
ID Tokenを見れば、誰が発行して、誰宛、いつまでのかとか分かる。ID Tokenさえちゃんとチェックすれば認証が安全にできる。 #jics2014 #tech
2014-01-14 11:47:03
lef/HAYASHI, Tatsuya
@lef
OpenID ConnectはYahoo! JapanとmixiとGoogleで使える。仕様も来月fixされます。 #JICS2014 #tech
2014-01-14 11:48:10
Nat Sakimura/崎村夏彦
@_nat
OpenID Connect は現在最終パブリックレビュー中。2月18日まで。2月25日にFinalになる予定。 #jics2014 #tech
2014-01-14 11:48:59
Nat Sakimura/崎村夏彦
@_nat
@nov 「OpenIDファウンデーションJAPAN 入会金20万円、年会費10万円」 @ikeay 「たっけ~」 @nov 「スーツな人たちにはそうでもない」 #jics2014 #tech
2014-01-14 11:50:14