PWA Night vol.57 ～認証・認可〜 にてパスキーの話をしました - r-weblife

2023/11/15 42 users ritou 認可 PWA Night 認証 ハスキー

ritou です。 これで話しました。 pwanight.connpass.com 発表資料と発表内容を公開します。 発表資料 speakerdeck.com 発表内容 台本チラ見しながら話したので実際にはこのとおりになってなかった部分もあります。 今日は、パスキーについて話します。 細かい自己紹介は省略します。 色々宣伝したいものがありますがブ... 続きを読む

β公開された1Passwordのパスキー対応について調べてみた - r-weblife

2023/06/19 20 users ritou iCloud Keychain プロバイダ 公開

こんにちは、ritouです。 β公開から少し時間が経ってしまいましたが、1Passwordのパスキー対応について確認して整理しました。 www.publickey1.jp これまでAppleのiCloud KeychainやAndroidのGoogleパスワードマネージャーなどが プロバイダとしてのパスキーのサポートをしてきた中で、1Passwordが同様の対応をすること... 続きを読む

プラットフォームアカウントに紐づけられたクレデンシャルを利用するユーザー認証について - r-weblife

2023/04/27 11 users クレデンシャル ritou passkey プラットフォーム

おはようございます、ritouです。 何の話？ 最近のユーザー認証を取り巻く状況について、次の2つの事例の共通点を考えましょう Passkey(FIDOアライアンスが言ってるMulti-Device FIDO Credentialsの方)はFIDOクレデンシャルがApple/Google/MSといったプラットフォーム(など)のアカウントに紐づけられる仕組み Google Aut... 続きを読む

「使える人にだけ使わせる」 ~ マネーフォワードIDのログインUXから見るパスキー普及のポイント - r-weblife

2023/04/04 230 users ritou k-tai.watch パスワード認証 ブラウザ

ritouです。 いよいよドコモさんもパスキー対応が始まりましたね！いや、これを書いている時点ではまだです。 k-tai.watch.impress.co.jp それよりも、今回はマネーフォワードIDのパスキー対応に注目します。 corp.moneyforward.com ブラウザのパスワードマネージャー機能を利用したパスワード認証のUX パスキー対応に触... 続きを読む

フィッシング対策観点でメールでリンクが送られない世界を目指すために我々は何ができるか - r-weblife

2022/10/09 11 users ritou 前者 フィッシング 我々 現状

ritou です 急に寒くなりましたね。 この記事は何の話か 最近のメール経由のフィッシングの話で、 その辺のユーザーにとって、メールの送信元が正規のものかどうかの確認は容易ではない さらに、メール本文に含まれるURLの確認が容易ではない という現状があります。 前者がうまいこと解決されると一番良いんでしょうけ... 続きを読む

FIDOの最新動向から考える巨大プラットフォーマーとの関係 - r-weblife

2022/05/23 14 users FIDO プラットフォーマー Passwords ritou

おはようございます、ritouです。 Google I/O の "A path to a world without passwords" っていう発表、ご覧になりましたか？ www.youtube.com FIDO, WebOTP, FedCM...いいネタ揃ってますね！今回はFIDOの話をしましょう。 パスワード認証はもう終わり！時代はパスワードレス認証ですよと言い続けてはや数年経ちました... 続きを読む

Appleの発表したPasskeys in iCloud KeychainはWebAuthnをどう変えるのか - r-weblife

2021/06/14 14 users ritou WebAuthn WWDC2021 Apple

おはようございます、ritouです。 先日のWWDC2021の "Move beyond passwords" というセッションにて発表された "Passkeys in iCloud Keychain" という仕組みについてどんなものかを紹介します。 developer.apple.com WebAuthn 数年前からパスワード認証を置き換えると言われ続けている認証技術の一つである "WebAuthn" (... 続きを読む

OAuth認証とは何か?なぜダメなのか - 2020冬 - r-weblife

2020/11/30 895 users ritou OAuth認証 bot qiita.com 初日

こんばんは。ritouです。 Digital Identity技術勉強会 #iddance Advent Calendar 2020 1日めの記事です。 qiita.com 初日なのでゆるふわな話をしましょう。 何の話か もうだいぶ前ですね。9月のお話です。こんなTweetを見かけました。 社内Slackにいる「OAuth認証」と書くと訂正してくれるbotが丁寧な解説をするようにな... 続きを読む

認証機能を独自実装する代わりにIDaaSのREST APIを使うアプローチ - r-weblife

2020/08/19 22 users ritou IDaaS 既存 REST API フロントエンド

こんにちは、ritou です。 最近のあれこれでIDaaSと呼ばれる機能に注目が集まっているような気がしますが、どうしてもフロントエンドでの導入部分が目に付きます。 「新規サービスで使っていこう」ならまだしも「既存のを何とかしたい」みたいな場合にフロントエンドまでごっそり変えるのなんて腰が重くなって仕方ない感... 続きを読む

JSON Web Signatureを簡単かつ安全に使うためのkid/typパラメータの使い方 - r-weblife

2020/03/31 11 users ＫＩＤ 使い方

こんにちはこんにちは、ritou です。 現状、様々な用途で利用されているJWTですが、今後はますます開発者にとって "簡単に" かつ "安全に" 利用できる状況が求められていくと考えられます。 今回はそのために重要になる、各種パラメータの扱いに注目します。 とりあえずライブラリ使えで終わりでは？ JWTを扱うためには ... 続きを読む

OAuth 2.0/OpenID Connectで使われるBindingの仕組みについて整理する - r-weblife

2019/12/02 14 users ritou OIDC Binding qiita.com 攻撃

おはようございます、OAuth警察を装っている ritou です。 qiita.com 認証認可技術 Advent Calendar 2019 2日目の記事です。 今日もやっていきましょう。 今回の内容 OAuth 2.0/OpenID Connect(OIDC)の新しい拡張仕様の記事などを書くときに 「OAuth 2.0のこのフローにはこういう攻撃が考えられる」... ●●●が置き換え可... 続きを読む

Webアプリケーションのセッション管理にJWT導入を検討する際の考え方 - r-weblife

2019/11/30 397 users JWT Webアプリケーション セッション管理 ritou

おはようございます、ritou です。 qiita.com これの初日です。 なんの話か 皆さんは今まで、こんな記事を目にしたことがありませんか？ Cookie vs JWT 認証に JWT を利用するのってどうなの？ JWT をセッション管理に使うべきではない！ リンク貼るのは省略しますが、年に何度か見かける記事です。 個人的にこの話題の... 続きを読む

GitHubの2要素認証がWebAuthnに対応したらしいので触ってみた - r-weblife

2019/08/22 98 users GitHub WebAuthn セキュリティキー ritou

どーも、ritouです。 世の中みんながこの話題に夢中かと思います(大げさ)。 github.blog GitHubは以前から2要素認証の方式としてセキュリティキーをサポートしてきました。2015年ですって。 github.blog 今回、その実装がWebAuthnに変更になったということです。 forest.watch.impress.co.jp 将来的には“Windows Hello”... 続きを読む

SPAなClientがトークンを安全に扱えるかもしれない拡張仕様「OAuth2.0 DPoP」とは - r-weblife

2019/04/19 205 users トークン 拡張仕様

おはようございます、ritou です。 今日は日頃の情報収集方法の一つである Mike Jones氏のブログ記事に書いてあったドラフト仕様のご紹介です。 self-issued.info The specification is still an early draft and undergoing active development, but I believe the approach shows a lot of promise and is likely to b... 続きを読む

OIDC Client Initiated Backchannel Authentication Flow (CIBA)とは - 概要編 - r-weblife

2018/12/30 23 users OpenIDファウンデーション ritou 仕様 概要編 一品

ritouです。 今回ご紹介する仕様は、OpenID Connect の Client Initiated Backchannel Authentication Flow(CIBA) でございます。 openid.net OpenIDファウンデーションの MODRNA WG でただいま絶賛 Public Review 中の一品であります。 Public Review Period for OpenID Connect Client Initiated Backchannel Authenti... 続きを読む

RFC6736として発行されたOAuth PKCEとは - r-weblife

2015/10/19 32 users

おひさしぶりです、ritouです。今日は家で風邪治してましたが、TLに流れてきた次世代なんちゃらの話題に乗っかって、ざっくりとした仕様紹介です。ベンダー個別のパスワード管理には課税せよ！？ 次世代Webカンファレンス『identity』 #nextwebconf #nextwebconf407 - TogetterまとめOAuth PKCEがRFC7636として発行されました。 | @_Nat Z... 続きを読む

OAuth 2.0のAccess TokenへのJSON Web Token(JSON Web Signature)の適用 - r-weblife

2014/09/27 89 users Access Token JWS 適用 ritou 用語

こんばんは、ritouです。久々の投稿な気がしますが、今回はOAuth 2.0のリソースアクセス時の設計の話です。ずーっと前から書こうと思いつつ書いてなかったので、ここに書いておきます。出てくる用語や仕様は、下記の翻訳リンクを参照してください。The OAuth 2.0 Authorization FrameworkJSON Web Signature (JWS)想定する環境わりとよくある環境を想... 続きを読む

Yahoo!ウォレット Fastpayのようなクレカ情報をやりとりするしくみに対する懸念 - r-weblife

2014/02/15 29 users ritou FastPay マーチャント しくみ 懸念

こんにちは、ritouです。Y!Jが今後出そうとしてるFastPayってやつの開発環境が提供されてるみたいです。Yahoo!ウォレット FastPay決済をシンプルにしたいという思いは重要だと思います。しかし、クレジットカード情報を決済サービス - マーチャント間でやりとりするしくみについて、いくつか懸念があります。懸念1 : マーチャントからのカード情報流出など(ここでは一旦、「クレカ情報入力す... 続きを読む

Cookie使ったセッション管理も認可だと思うわって話 - r-weblife

2014/02/03 13 users 認可 cookie セッション管理 OAuth ritou

こんばんは、ritouです。OAuthが認可の仕組みだっていうのはだいぶ広まった感ありますね。でも、なんかまだしっくりこないっていう人いると思います。その理由の一つとして、Webアプリケーションでよく使われている”Cookieを使ってログインセッションを保持する”しくみ、あれが一般的に認証って言われてるせいじゃないかと思ったりします。こいつ、OAuthと同じで、途中で認証もしてるけど、全体で見ると... 続きを読む

特定条件下におけるOAuth 2.0の認可応答を奪取されるリスクとその対策について - r-weblife

2013/12/26 46 users ritou モバイルアプリ リスク 特定条件下 対策

こんにちは、ritouです。やっと”なんちゃらAdvent Calendar”がおさまり、これからは”一年を振り返って(遠い目”みたいな記事が増えることでしょう。その間のタイミングを狙います。何の話かmixi Platformが導入したっていうOAuth 2.0のCSRF対策拡張を使ってみた - r-weblife の最後にちょっと書いたんですけど、モバイルアプリでOAuth 2.0を使う際にやっ... 続きを読む

YAPC::Tokyo 2013にてOpenID Connectについて話しました - r-weblife

2013/09/23 18 users YAPC ritou idcon スライド トーク

こんばんは, ritouです.タイトルの通りです.普段発表とかしてる idcon に来る方々と別の層にも知ってもらいたいという思いからトーク申し込んだのですが, 基本的に出不精なので, かなりアッウェーイ感が漂う感じでしたがなんとか行ってまいりました. スライドはこちらです. YAPC::Tokyo 2013 ritou OpenID Connect from Ryo Ito内容はこんな感じです.... 続きを読む

なんとなくOAuth怖いって思ってるやつちょっと来い - r-weblife

2013/03/29 127 users ヤツ

こんばんは、ritouです。Twitterの問題が発覚した際、こんなgistも書きました。gist:5053810今朝、こんなTweetしました。 Consumer Secret管理の議論はいくらでもしていただいて結構だけど、なんとなく見ている開発者がそれをOAuthのアキレス腱のように思いそうなのが嫌。"第3者に取得される可能性がある"という前提の上でどこをおさえればユーザーに迷惑かけないかを啓... 続きを読む

OAuth 2.0でユーザーが認可をする"アプリケーション"とはサービス全体のことではない - r-weblife

2012/03/11 27 users 認可 アプリケーション ユーザー サービス全体

こんにちは、ritouです。今回の内容は、Webブラウザからのみ利用できるサービスや特にiPhoneアプリのみ提供しているサービスではなく、「一つのサービスをWebブラウザからもモバイルアプリからも利用できるようなサービス」についての話です。こちらで取り上げられている内容です。http://subtech.g.hatena.ne.jp/mala/20120214/1329199851内容は OAu... 続きを読む

OAuth 2.0 Implicit Flowをユーザー認証に利用する際のリスクと対策方法について #idcon - r-weblife

2012/02/06 153 users idcon リスク ユーザー認証 対策方法

おはようございます、ritouです。今回は、一部で先週話題なりましたOAuth 2.0のImplicit Flowについてのエントリになります。 単なる OAuth 2.0 を認証に使うと、車が通れるほどのどでかいセキュリティー・ホールができる : .Nat ZoneThread Safe今回は以下の内容について整理したいと思います。 OAuth 2.0の何にセキュリティホールがあるのか 誰が悪さ... 続きを読む

OpenID Connectを体験できるデモ環境の紹介 - r-weblife

2011/08/17 15 users Rack OpenID Connect Rub ritou

こんばんは、ritouです。最近、OpenID Connectのフローを体験できるサンプルOP/RPが出てきています。OpenID Connect Sample OPまずはこちら。FbGraph と Rack::OAuth2 と OAuth.jp の中の人です。OpenID Connect RubyGem リリース - OAuth.jpOpenID Connect の OP & RP 用の Rub... 続きを読む