「Initiative Q」に対するわたしの考え方 – @_Nat Zone

2018/11/04 18 users Bitcoin わたし 考え方 仮想通貨 アプローチ

いろいろと「Q」が飛んでいる「Initiative Q」に関する私の考えを述べます。 Initiative Q は、クレジットカードなどの既存決済システムを引きずらない、次世代の決済ネットワークをデジタル通貨ベースで作ろうという試みです。ある意味、仮想通貨にも近いようにも思われますが、Bitcoinなどとはアプローチが全く異なり... 続きを読む

「Initiative Q」に対するわたしの考え方 – @_Nat Zone

2018/11/04 42 users Bitcoin わたし 考え方 仮想通貨 アプローチ

いろいろと「Q」が飛んでいる「Initiative Q」に関する私の考えを述べます。 Initiative Q は、クレジットカードなどの既存決済システムを引きずらない、次世代の決済ネットワークをデジタル通貨ベースで作ろうという試みです。ある意味、仮想通貨にも近いようにも思われますが、Bitcoinなどとはアプローチが全く異なり... 続きを読む

OAuth PKCEがRFC7636として発行されました。 | @_Nat Zone

2015/10/18 27 users ピクシー Ping 共著者 Google

私とJohn Bradley(Ping)とNaveen Agarwal(Google)が共著者としてクレジットされている「OAuth PKCE（ピクシー）」 が、[RFC 7636] として発行されました。元々はOAuth SPOP (Symmetric Proof of Posession)と言っていたものですが、Symmetricに限らない形に拡張したため、Proof Key for Code... 続きを読む

MacOS XとiOSのXARA脆弱性について | @_Nat Zone

2015/06/18 108 users iOS GIGAZINE BAI 黙殺 MacOS X

今日（６月１８日）午後、GigaZineで「iOSとOS XでiCloud・メール・ブラウザ保存のパスワードが盗まれる脆弱性が発覚、Appleは半年以上も黙殺」[1]というセンセーショナルな記事が出ました。まぁ、Webメディアだからしょうがないかという感じではありますが、記事を読んだだけでは何のことやらさっぱりなので、読みましたよ、元の論文。 その論文は、これです。 Xing, Bai, Li, ... 続きを読む

「番号」は漏れると危ないのか？ | @_Nat Zone - Identity, Privacy and Music

2015/06/09 94 users 違和感 生年月日 氏名 年金番号 住所

さて、マイナンバー対応バブル真っ盛りの夏を迎えつつありますが、皆さんいかがお過ごしでしょうか？ 折しも年金番号が盛大に漏れて、マイナンバーへの影響もあるのではないかとなども言われておりますが、そもそも「番号」が漏れることを「住所・氏名・生年月日」などの各種個人情報以上に大騒ぎするのには私は違和感があります。それは、こと漏洩に関して言うと、プライバシーインパクトは「番号」＜「住所・氏名・生年月日」＜... 続きを読む

【個人情報保護法改正】第三者提供記録義務について【Part 2】 | @_Nat Zone - Identity, Privacy and Music

2015/04/19 13 users 念頭 公式見解 identity 方々 本人同意

さて、3/12に指摘した第三者提供記録義務[1]についてだが、その後４月１日に板倉弁護士にご紹介いただいた内閣官房IT室の方々にいろいろ教えていただいたのでそれを共有しておこうと思う。ちなみに、あくまで個人的に教えていただいたのであって、IT室の公式見解では無いので、あとでひっくり返るかもしれないことは十分有り得ることを念頭においてお読みいただきたい。 1. これは名簿屋対策で、本人同意がある場合... 続きを読む

Yahoo! CEO メリッサ・マイヤー「消費者からの不信がパーソナル・インターネットの発展を阻害している。」「自己情報コントロールを！」 | .Nat Zone - Identity, Privacy and Music

2015/02/03 59 users 真っ向 オプトアウト CEO identity 主張

ちょっと前のニュースになりますが、日本でも流れてましたかね？パーソナル・データの取り扱いに関する、Yahoo! CEOのメリッサ・マイヤー氏の発言が、最近の某国の某社を中心とした「オプトアウトで目的変更可能に」という主張と真っ向対立しているというニュースです。 The Drum の報道によりますと、去る１月２２日に行われたパネル・ディスカッションで、米Yahoo! CEOのメリッサ・マイヤー氏は、... 続きを読む

縦割りスパゲッティの情報基盤整理しようとしているが… | .Nat Zone - Identity, Privacy and Music

2014/07/24 8 users identity Privacy and Music

尊敬する國領先生にお題を頂いたので、ちょっと時間がかかりましたが、ブログにまとめてみました。 まずは結論から。 (1) 識別子 → Identity Register+RA (2) 本人確認基盤 → IdP+CSP (3) 属性 → IIA/IIP (4) サービス → RP/SP と読み替えるならば、このように分割して分別管理するのが良さそう、ということになります。 以下、その解説です。 IdM... 続きを読む

オオカミが来た：人気のオープンソースセキュリティソフトウェアでまた1つ大きな脆弱性が見つかった？！ーCNETがダメダメな件 | .Nat Zone - Identity, Privacy and Music

2014/05/08 17 users OpenSSL identity Facebook 出所 人気

「OpenSSLの脆弱性「Heartbleed」に続き、人気のオープンソースセキュリティソフトウェアでまた1つ大きな脆弱性が見つかった。今回、脆弱性が見つかったのはログインツールの「OAuth」と「OpenID」で、これらのツールは多数のウェブサイトと、Google、Facebook、Microsoft、LinkedInといったテクノロジ大手に使われている。」（出所：OAuthとOpenIDに深刻... 続きを読む

OpenID Connect リリース～インターネットのアイデンティティ層 | .Nat Zone – Identity, Privacy and Music

2014/02/28 30 users identity OSI ワーキンググループ ISO レイヤー

苦節４年半、ワーキンググループを作るところから始めたら、苦節６年、ようやくOpenID Connectをリリースしました。 OpenID Connect は、インターネット上の「アイデンティティ層」をなすものです。ちょっと説明しましょう。 レイヤーとか「層」とかというと、よく使われるものにOSIの参照モデルというものがあります。これは、国際標準化機構(ISO)によって策定された、コンピュータの持つ... 続きを読む

パスワード等利用時の脅威対策、どの位できてるかな？！ | .Nat Zone

2014/02/05 20 users

某所でのパスワード管理が話題になっているので、私が手元で使っているパスワードを含むクレデンシャル管理に関する要求事項の目的・脅威部分をチラ見せ。ISO/IEC 29115 ベースに、ちょびっとだけ書き加えておりますです。 9.2       クレデンシャルの検証／認証 認証フェーズにおいて重要なのは、様々な手段を組み合わせることによって適切な認証レベルを獲得することである。 9.2.1      ... 続きを読む

共通番号／マイナンバーの保管と紐付け作業について : .Nat Zone

2012/02/29 19 users 符号 保管 マイナンバー 共通番号 内閣官房

まずは、マイナンバーに関する以下の内閣官房の絵を見ていただきましょう。「番号」となっているのがマイナンバーです。 この絵ではマイナンバー（「番号」）が、情報保有機関A、情報保有機関Bと複数箇所に保存されています。 これにはどうしても違和感があります。なぜならば、これでは情報連携基盤を使う意味が殆どなくなってしまうからです。 マイナンバーを保存するか、「符号」だけにするかというのは、プライバシー面で... 続きを読む

単なる OAuth 2.0 を認証に使うと、車が通れるほどのどでかいセキュリティー・ホールができる : .Nat Zone

2012/02/02 928 users 認証 ボール OAuth 2.0

In some of the feedback I have gotten on the openID Connect spec, the statement is made that Connect is too complicated. That OAuth 2.0 is all you need to do authentication. Many point to Identity Pro... 続きを読む

本人確認と保険証～元オウム信者・斎藤容疑者の偽名保険証取得を考える : .Nat Zone

2012/01/16 64 users 元オウム信者 Twitter 斎藤容疑者 偽名 保険証

元オウムの平田容疑者を匿っていた斎藤明美容疑者(49)が、偽名で保険証を取得し、さらにそれを身分証明書として銀行口座を開設していたことが話題になっています[1]。これを受けて、私の twitter のタイムラインにもいろいろな声が出ています。その多くは、報道等と同様に、身分証明書が偽名で作れてしまったということを問題視していますが、一方ではそれは違うんでないの、という声もあります。そこで、ちょっと... 続きを読む

spモードメール問題 | .Nat Zone

2011/12/23 40 users 認証方式 ヤツ 参考 話題 アドレス

spモードメール問題、あの、アドレスが付け変わってしまうというやつが話題になっています。ただ記事を読んだだけではよくわからなかったので、NTT DOCOMOテクニカル・ジャーナル Vol.18 No.3 の Technology Report [1] なども参考にしながら絵を書いて見ました。ちなみに、ここで網というのは、spモード網のことです。 独自認証方式によるメールアカウント取得というのは、 ... 続きを読む

RESTに対する７つの誤解 | .Nat Zone

2011/11/21 156 users REST コンシューマ エンタープライズ 決着 誤解

海外に行くと、既に REST対SOAPの決着は付いている[1]（エンタープライズでもコンシューマでも）ように見えるのだが、日本国内で話していると、まだまだ混乱しているようだ。さながら2009年ごろの状況を見るようだ。そこで、今日は RESTに関わる誤解について、幾つか書いてみたいと思う。（なお、以下の多くは、サービスステーション：RESTの詳細でより詳細に書かれている。） 誤解1. RESTはマッ... 続きを読む

非技術者のためのOAuth認証(?)とOpenIDの違い入門 | .Nat Zone

2011/05/15 1137 users OpenID OAuth 言説 OAuth認証 復習

昔から、「OpenIDは認証でOAuthは認可だ」などということが言われます。しかし、その言語の意味を取り違えている方が結構多い気がしています。「もうOpenIDなんていらね。OAuthだけでいいじゃん」というような言説がよく流れてくるのがその証拠だと思います。 そこで、今日はOAuthとOpenIDの違いを考えてみたいと思います。 OpenIDは紹介状、OAuthは合鍵 まずはOpenIDの復習... 続きを読む