FacebookからOAuthを停止されてわかった今時のセキュリティ - Uzabase Tech

2021/12/23 217 users Facebook NewsPicks 我ら セキュリティ 状態

NewsPicksの高山です。 この記事はUzabase Advent Calendar 2021の23日目の記事です。昨日は我らが赤澤剛さんによるAWS Organizationの記事でした。 去る2021年10月12日に突然NewsPicksのサービスでFacebookログインやFacebookへの投稿ができなくなりました。この状態は12月13日まで2ヶ月もの間継続していて、ユーザーさ... 続きを読む

「挫折しない OAuth / OpenID Connect 入門」のポイント - Authlete

2021/10/18 353 users AUTHLETE OIDC OpenID Connect

このビデオについて このビデオは、2021 年 10 月 6 日に開催された 「挫折しない OAuth / OpenID Connect 入門」の理解を深める会 のプレゼンテーション録画です。 2021 年 9 月 18 日発売の「Software Design 2021 年 10 月号」では、OAuth/OIDC が特集され、「挫折しない OAuth/OpenID Connect 入門・API を守る認証... 続きを読む

OAuthにおける認可コード横取り攻撃とその対策 - Akaki I/O

2021/07/04 236 users ディープリンク Akaki I 対策 挙動 シナリオ

​前回の記事で示したように、カスタムURLスキームを偽装した不正アプリは正規アプリへのディープリンクを乗っ取れる。この挙動の悪用シナリオとして、正規アプリと認可サーバー間のOAuthフローにおける認可コード横取り攻撃が知られている。この攻撃への対策を把握するためにiOS環境でシナリオを再現し、PKCEの有効性を... 続きを読む

認証と認可の超サマリ　OAuth とか OpenID Connect とか SAML とかをまとめてざっと把握する本

2021/05/02 940 users 個々 要素 概要 SAML 知識

認証と認可についての知識が必要になったので、基礎的なことを学んでいます。 一切何も知らない状態から手当たり次第に細かく調べるのは大変だったので、超サマリを整理してみようと思います。 この本は「個々の要素に詳しくなる必要はないんだけど、概要くらいはさっと把握しておきたい」とか「手当たり次第に詳細調査... 続きを読む

Google、12月14日の約45分間ダウンの原因と対策を詳解 - ITmedia NEWS

2020/12/20 218 users 詳解 Workspace ITmedia News 原因 対策

Gmailやカレンダーなど、ログイン認証が必要な多くのサービスが12月14日に約45分間使えなくなった問題について、Googleが原因と対策を説明した。 この障害は、14日の午前3時46分（日本時間では14日の午後8時46分）から47分間続き、Googleのログイン認証サービス「OAuth」を採用するGmailやWorkspaceなどの一連のサービス... 続きを読む

図解 X.509 証明書 - Qiita

2020/07/06 840 users Qiita 文書化 証明書 オンライン 一部

はじめに X.509 証明書について解説します。 ※ この記事は 2020 年 7 月 1 日にオンラインで開催された Authlete 社主催の『OAuth/OIDC 勉強会【クライアント認証編】』の一部を文書化したものです。勉強会の動画は公開しており、X.509 証明書については『#4 X.509 証明書（１）』と『#5 X.509 証明書（２）』で解説して... 続きを読む

トークンを利用した認証・認可 API を実装するとき Authorization: Bearer ヘッダを使っていいのか調べた - Qiita

2019/02/14 186 users Authorization Qiita トークン API 認可

トークンを利用した認証・認可 API を実装するとき Authorization: Bearer ヘッダを使っていいのか調べた TL;DR HTTP でトークンを利用した認証・認可をする手法として RFC 6750 がある OAuth に限らず、トークンを利用して認証・認可する機構の一部として Authorization: Bearer ヘッダを使うことができる 使い方につい... 続きを読む

一番分かりやすい OAuth の説明 - Qiita

2017/07/13 978 users Qiita サーバー 方々 ユーザー 結果

はじめに 過去三年間、技術者ではない方々に OAuth （オーオース）の説明を繰り返してきました。その結果、OAuth をかなり分かりやすく説明することができるようになりました。この記事では、その説明手順をご紹介します。 説明手順 （１）ユーザーのデータがあります。 （２）ユーザーのデータを管理するサーバーがあります。これを『 リソースサーバー 』と呼びます。 （３）ユーザーのデータを利用したい『... 続きを読む

HTTPS でも Full URL が漏れる？OAuth の code も漏れるんじゃね？？ - OAuth.jp

2016/07/27 316 users Pac DHCP https code Windows

なんですかこれは！ New attack bypasses HTTPS protection on Macs, Windows, and Linux DHCP につなぐと PAC ファイルがダウンロードされて HTTPS であろうとアクセス先の Full URL は漏れるですって？ Web Proxy Autodiscovery ですって？ チョットニホンゴデオネガイシマス ってことで、まぁこれが... 続きを読む

Basic認証とOAuth - Qiita

2014/09/08 319 users Qiita username Email BASIC認証 認可

Basic認証とOAuthとその辺の情報について整理しておく。OAuthや認証・認可について説明しようとすると、1文字記述するたびに誤りが含まれてしまう可能性があるので、本当に緊張感を持って記述しなければならない。それでもなお、この文章にはたくさんの誤りが含まれている。 UsernameとPasswordを受け取って認証する形式の認証方法。UsernameにはEmailを使うこともある (要は全ユ... 続きを読む

OAuth/OpenID Connectを用いてID連携を実装するときに気を付けること #yapcasia // Speaker Deck

2014/08/30 146 users yapcasia Speaker Deck ID連携

All slide content and descriptions are owned by their creators. 続きを読む

OAuth - アクセストークンに有効期限を設けるべきかどうか - Qiita

2014/08/27 243 users アクセストークン Qiita GitHub API 主張 仕様

OAuthプロバイダを提供することになったとして、アクセストークンに有効期限を設けるべきかどうかについて考えたい。OAuth 2.0の仕様にはアクセストークンの期限切れに関係する仕様が定義されているし、セキュリティをより強固にするためにアクセストークンは一定期間で期限切れにするべきだという主張があったと思う (確認していないので無いかもしれない)。しかしながら、例えばGitHub API v3では... 続きを読む

OAuthとOpenIDに深刻な脆弱性か--Facebookなど大手サイトに影響も - CNET Japan

2014/05/07 397 users Facebook OpenID OpenSSL シンガポール

OpenSSLの脆弱性「Heartbleed」に続き、人気のオープンソースセキュリティソフトウェアでまた1つ大きな脆弱性が見つかった。今回、脆弱性が見つかったのはログインツールの「OAuth」と「OpenID」で、これらのツールは多数のウェブサイトと、Google、Facebook、Microsoft、LinkedInといったテクノロジ大手に使われている。 シンガポールにあるNanyang Tec... 続きを読む

OAuth認証を一手に行うOAuth.ioのJavaScriptクライアント「oauth-js」|オープンソース・ソフトウェア、ITニュースを毎日紹介するエンジニア、デザイナー向けブログ

2013/08/10 211 users OpenID OAuth認証 エンジニア ソフトウェア 仕様

oauth-jsはJavaScript製のソフトウェア（ソースコードは公開されていますがライセンスは明記されていません）です。ソーシャルなサービスが増えるのに伴ってOAuthプロバイダーはどんどん増えています。OpenIDと違って、同じ仕様で全てがこなせないのが辛いところです。そこで使ってみたいのがOAuthをまとめてくれるOAuth.ioで、さらにそれを簡単にしてくれるのがoauth-jsです。... 続きを読む

TwitterのOAuthの問題まとめ

2013/03/01 222 users Twitter 問題まとめ

どういう問題があったか 説明するのめんどい http://vividcode.hatenablog.com/entry/twitter-oauth-vulnerability フィッシング？ ユーザーの自衛策として「怪しいリンクをクリックするな」というのは無茶なので、そういった対策が必要なものはバグです、セキュリティホールです。怪しいリンクをクリックできない世界のほうが間違っている。 フィッシング... 続きを読む

Google Spread Sheet のクソ複雑で使う気がなくなるAPIを、さくっと使えるJSONP APIに変身させるたった1つの方法 - 冬通りに消え行く制服ガールは✖夢物語にリアルを求めない。 - subtech

2012/12/06 170 users subtech XML スコープ API 制服ガール

Google Spread Sheet の API は OAuth と XML を使ってシートを変更するものなのですが、これが非常に使いづらい。OAuth はいいとして、XML 作ったりするのがつらい。そのうえ JavaScript だけで完結させるのが、クロスドメインXHR が必要になるので難しい。あと XML 作ったりするのがつらい。OAuth のスコープもスプレッドシート全体への変更を許して... 続きを読む

OAuthの認証にWebViewを使うのはやめよう - Shogo's Blog

2012/11/26 420 users WebView Twitter ライブラリ Android

AndroidからTwitterへアクセスするためのライブラリとして，Twitter4Jが有名です． これを使ってみようと，「Android Twitter4J」と検索すると 認証にWebViewを使った例がたくさん出てきます． ・・・いや，ちょっとまて． それはちょっとまずいだろう． そういうわけでもうちょっと賢い方法を探してみました． 何がまずいのさ 「Android Twitter4J」と検... 続きを読む

Dropbox・Evernote・Twitter を使うアプリで見かける「OAuth認証」って何？ - iPhoneアプリのAppBank

2012/10/14 168 users Evernote AppBank Dropbox 主任 認証

Dropbox・Evernote・Twitter を使うアプリで見かける「OAuth認証」って何？ カテゴリ: ニュース | ライター: asyunin AppBank の主任です。 Dropbox や Evernote のデータにアクセスするアプリ・Twitter クライアントに欠かせないのが「OAuth 認証」。アプリのアップデートで「OAuth 認証に対応しました」という形で書かれている事が... 続きを読む

「OAuth」の基本動作を知る（1/2） － ＠IT

2012/08/27 667 users APIエコノミー API サードパーティ 一種 連載

第1回　「OAuth」の基本動作を知る OpenID Foundation Japan Nov 2012/8/27 いまWebの世界では、さまざまなWebサービスが提供するプラットフォームと、サードパーティが提供するアプリケーションがAPIを中心に結び付き、一種の「APIエコノミー」を形成しています。この連載では、そこで重要な役割を果たす「デジタル・アイデンティティ」について理解を深めていきます。... 続きを読む

多彩なフレームワークに対応したPHP向け認証ライブラリ「Opauth」 - MOONGIFT|オープンソース・ソフトウェア紹介を軸としたITエンジニア、Webデザイナー向けブログ

2012/06/03 302 users MOONGIFT OpenID Opauth フレームワーク

Webサービスで認証を用意すると言っても今は多様な技術が存在します。単なるID/パスワードに限らず、OpenIDやOAuthもあります。サービスプロバイダーごとに実装も若干変わったりします。そうした認証技術を統合して使えるのがOpauthです。 0 続きを読む

WebアプリにSNSアカウントでのログインを実装する（1/5）：CodeZine

2012/06/01 759 users CodeZine アクセストークン アクセ 認可 委任状

「ソーシャルネットワークサービス（SNS）のアカウントによるログイン」は、一般的にOAuth（オーオース）というオープンな仕様を利用して実現しています。OAuthとは　OAuthの詳細仕様の説明は省きますが、簡単に言うと、SNSユーザー本人の認可の下、SNS側からアクセストークン（委任状のようなもの）が発行され、それをソーシャルアプリ側が預かる仕組みです。以降、ソーシャルアプリのプログラムがアクセ... 続きを読む

複数のWordPressを一括管理・バックアップを驚くほど簡単にするWPRM｜WP Remote Manager

2012/03/11 427 users バックアップ WordPress 複数 一括管理 ステータス

複数のWordPressサイトのステータスを一元管理 OAuthによる認証技術でアカウント情報を公開することなく安全にアクセスすることが可能です。複数のWordPressサイトを簡単に管理運用することが可能になります。複数のWordPressサイトのステータスを一元管理 OAuthによる認証技術でアカウント情報を公開することなく安全にアクセスすることが可能です。複数のWordPressサイトを簡単... 続きを読む

OAuthにおける「クライアントサイドに対する認可」なのか「サーバーサイドに対する認可」なのか明確でない問題 - 金利0無利息キャッシング – キャッシングできます - subtech

2012/02/14 123 users bulkneets ritou クライアントサイド 認可 金利

ココらへんの問題について、適当に自分の考えを書いたりします。 http://www.sakimura.org/2012/02/1487/ http://d.hatena.ne.jp/ritou/20120206/1328484575 http://oauth.jp/oauth-20-implicit-flow https://twitter.com/#!/bulkneets/status/1669... 続きを読む

【ハウツー】Excel VBAでWebサービス - ExcelでTwitterと連携する | パソコン | マイコミジャーナル

2011/09/16 143 users Twitter ハウツー OAuth認証 Excel 天気予報

はじめに 最近のWebサービスでは新しい認証方式「OAuth」が必要なものが増えています。今回からTwitterをターゲットとしてOAuth認証を利用する方法を説明します。動作確認は、Windows 7、Excel 2010、VBA 7.0およびWindows XP、Excel 2007、VBA 6.5で行っています。 図1．完成サンプル Excel VBAでWebサービス - 天気予報を取得して... 続きを読む

OAuth 2.0やOpenIDの最新動向に追いつくために勉強したことまとめ。 - hsksnote

2011/08/07 542 users OpenID Ust hsksnote スライド きっかけ

OAuthやOpenID、仕組みもよく知らずに使ってきた僕が、その最新動向に追いつくために勉強したことをまとめます。きっかけは OpenID TechNight #7 をUstで見たことで、わからないことが山盛りだったので色々と調べてみた。OpenID TechNight #7 : ATND各発表のスライドへのリンクがあるよ。キーワードとしては、OAuth 2.0、OpenID Connect、C... 続きを読む