はてブログ

はてなブックマーク新着エントリーの過去ログサイトです。



タグ r-weblife

新着順 人気順 5 users 10 users 50 users 100 users 500 users 1000 users
 
(1 - 9 / 9件)
 

パスワード、パスキー、生体認証...どんなユーザー認証にも"詰み"はあり得る - r-weblife

2024/12/19 このエントリーをはてなブックマークに追加 109 users Instapaper Pocket Tweet Facebook Share Evernote Clip ritou 別件 生体認証 ハスキー ユーザー認証

ritouです。 最近何度かパスキー関連の記事を書いていて、こんなコメントをいただくことが増えてきました。 ”もちろんパスキーでも詰んでしまうことはあり得るのですが” そこだよな ”パスキーでも詰んでしまうことはあり得る“話にならん、何言ってんだ?リカバリ方法のないそんなもん使おうと思う訳あらへん。 別件では... 続きを読む

パスキー認証の必須化/強制についての現状の課題と改善のための勘所 - r-weblife

2024/12/02 このエントリーをはてなブックマークに追加 106 users Instapaper Pocket Tweet Facebook Share Evernote Clip ritou FIDO qiita.com 強制 パスキー認証

ritou です。 Digital Identity技術勉強会 #iddance Advent Calendar 2024 初日の記事です。今年も頑張りましょう。 qiita.com パスキー認証の理想と現実 パスキー(というかFIDO)認証はパスワード認証を用いた脆弱な現状を打破すべく考えられた仕組みです。メディアの取り上げられ方はこんな感じでした。 とても安全で便... 続きを読む

SPA+Backend構成なWebアプリへのOIDC適用パターン - r-weblife

2024/10/22 このエントリーをはてなブックマークに追加 160 users Instapaper Pocket Tweet Facebook Share Evernote Clip

ritouです。 マシュマロでSPA+BE構成のWebアプリでOAuthやOIDCしたい!って話をよくいただきます。 最近だと、こんな質問がありました。 OIDCから発行されたトークンの取り扱いについて質問させてください。 SPA +OIDC(認可コードフロー)構成によるWEBアプリケーションの開発を考えています。 idPによる認証後、バックエ... 続きを読む

「使える人にだけ使わせる」 ~ マネーフォワードIDのログインUXから見るパスキー普及のポイント - r-weblife

2023/04/04 このエントリーをはてなブックマークに追加 230 users Instapaper Pocket Tweet Facebook Share Evernote Clip ritou k-tai.watch パスキー普及 ブラウザ

ritouです。 いよいよドコモさんもパスキー対応が始まりましたね!いや、これを書いている時点ではまだです。 k-tai.watch.impress.co.jp それよりも、今回はマネーフォワードIDのパスキー対応に注目します。 corp.moneyforward.com ブラウザのパスワードマネージャー機能を利用したパスワード認証のUX パスキー対応に触... 続きを読む

OAuth認証とは何か?なぜダメなのか - 2020冬 - r-weblife

2020/11/30 このエントリーをはてなブックマークに追加 895 users Instapaper Pocket Tweet Facebook Share Evernote Clip ritou OAuth認証 bot qiita.com 初日

こんばんは。ritouです。 Digital Identity技術勉強会 #iddance Advent Calendar 2020 1日めの記事です。 qiita.com 初日なのでゆるふわな話をしましょう。 何の話か もうだいぶ前ですね。9月のお話です。こんなTweetを見かけました。 社内Slackにいる「OAuth認証」と書くと訂正してくれるbotが丁寧な解説をするようにな... 続きを読む

Webアプリケーションのセッション管理にJWT導入を検討する際の考え方 - r-weblife

2019/11/30 このエントリーをはてなブックマークに追加 397 users Instapaper Pocket Tweet Facebook Share Evernote Clip JWT Webアプリケーション セッション管理 ritou

おはようございます、ritou です。 qiita.com これの初日です。 なんの話か 皆さんは今まで、こんな記事を目にしたことがありませんか? Cookie vs JWT 認証に JWT を利用するのってどうなの? JWT をセッション管理に使うべきではない! リンク貼るのは省略しますが、年に何度か見かける記事です。 個人的にこの話題の... 続きを読む

SPAなClientがトークンを安全に扱えるかもしれない拡張仕様「OAuth2.0 DPoP」とは - r-weblife

2019/04/19 このエントリーをはてなブックマークに追加 205 users Instapaper Pocket Tweet Facebook Share Evernote Clip トークン 拡張仕様

おはようございます、ritou です。 今日は日頃の情報収集方法の一つである Mike Jones氏のブログ記事に書いてあったドラフト仕様のご紹介です。 self-issued.info The specification is still an early draft and undergoing active development, but I believe the approach shows a lot of promise and is likely to b... 続きを読む

なんとなくOAuth怖いって思ってるやつちょっと来い - r-weblife

2013/03/29 このエントリーをはてなブックマークに追加 127 users Instapaper Pocket Tweet Facebook Share Evernote Clip ヤツ

こんばんは、ritouです。Twitterの問題が発覚した際、こんなgistも書きました。gist:5053810今朝、こんなTweetしました。 Consumer Secret管理の議論はいくらでもしていただいて結構だけど、なんとなく見ている開発者がそれをOAuthのアキレス腱のように思いそうなのが嫌。"第3者に取得される可能性がある"という前提の上でどこをおさえればユーザーに迷惑かけないかを啓... 続きを読む

OAuth 2.0 Implicit Flowをユーザー認証に利用する際のリスクと対策方法について #idcon - r-weblife

2012/02/06 このエントリーをはてなブックマークに追加 153 users Instapaper Pocket Tweet Facebook Share Evernote Clip idcon リスク ユーザー認証 対策方法

おはようございます、ritouです。今回は、一部で先週話題なりましたOAuth 2.0のImplicit Flowについてのエントリになります。 単なる OAuth 2.0 を認証に使うと、車が通れるほどのどでかいセキュリティー・ホールができる : .Nat ZoneThread Safe今回は以下の内容について整理したいと思います。 OAuth 2.0の何にセキュリティホールがあるのか 誰が悪さ... 続きを読む

 
(1 - 9 / 9件)