OAuth 2.0でユーザーが認可をする"アプリケーション"とはサービス全体のことではない - r-weblife
単なる OAuth 2.0 を認証に使うと、車が通れるほどのどでかいセキュリティー・ホールができる
In some of the feedback I have gotten on the openID Connect spec, the statement is made that Connect is too complicated. That OAuth 2.0 is all you need to do authentication. Many point to Identity Pro… 英語読みたくないという人のために簡単に解説すると… OAuth 2.0 の implicit flow を使って「認証」をしようとすると、とっても大きな穴が開きます。 カット&ペーストアタックが可能だからです。 OAuth 認証?は、図1のような流れになります。 図1 OAuth 認証?の流れ 一見、問題なさそうに見えます。しかし、それはすべてのサイトが「良いサイト」ならばです。 Site_A
TwitterのOAuth仕様変更、DMアクセスには再度ユーザーの”許可”が必要 - うさぎ文学日記
非技術者のためのOAuth認証(?)とOpenIDの違い入門【2023年版】
bit.ly の OAuth 2.0 とか色々試してみたら色々アレだった : にぽたん研究所
OAuth 2.0になると2-legged OAuthはどうなってしまうのか - r-weblife
OAuth2 gemを使ってmixi Graph APIにアクセス - OAuth.jp
OAuth2 gemのインストール 現状OAuth2 gemはOAuth 2.0の古いspec (draft 0?) に準拠しているので、mixiがサポートしているdraft 10に対応したOAuth2 gemをここからgit clone & rake installする。 https://github.com/nov/oauth2 あとはこんな感じ。 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 require 'rubygems'require 'active_support/all'require 'oauth2' config = { :mo
進捗は95%?OAuth 2.0 Draft 13の内容をざっくりまとめる - r-weblife
OpenID Connect Core draft 01の内容をななめ読み - r-weblife
OAuth 2.0でWebサービスの利用方法はどう変わるか(1/3)- @IT
情報セキュリティ技術動向調査(2010 年上期):IPA 独立行政法人 情報処理推進機構
Twitterさん、OAuthのアクセス権限の細分化を! : akiyan.com
OAuthプロトコルの中身をざっくり解説してみるよ - ( ꒪⌓꒪) ゆるよろ日記
「おーおーっすっ!」 てなこって、TwitterのAPIのBASIC認証も6月末に終了してOAuth/xAuthに移行するというこの時期に、あらためてOAuthについて勉強してみたんですのよ? OAuth認証を利用するライブラリは各言語で出そろってきてるのでそれを使えばいんじゃまいか? というと話が終わるので、じゃあそのライブラリの中身はなにやってんのよってことを、OAuthするScalaのライブラリ作りながら調べたことをまとめてみました。 間違っているところもあると思うのでツッコミ歓迎です>< OAuthってそもそもなんなの? ものすごくざっくりというと「API利用側が、ユーザ認証をAPI提供サービス側にやってもらうための仕様」って感じでしょうか? BASIC認証の場合、API利用側が認証に必要なアカウントやパスワードを預かる必要があるわけです。悪意のあるAPI利用側が「なんとかメーカー
“OAuth”は何と読むか
Twitter APIのBASIC認証は2010年6月に「廃止予定」(→8月まで延長)(→廃止された模様)
Twitter APIのBASIC認証は2010年6月に「廃止予定」(→8月まで延長)(→廃止された模様) 2010年01月05日 11:51Twitter 昨年12月にパリで開催されたインターネットのイベント LeWeb’09 で Twitter のプラットフォームディレクターの Ryan Sarver さんが登壇して いくつかの発表を行ったらしいんだけど その中にこういうのがあった。 Twitter Spawned 50,000 Apps To Date, Will Open Up Firehose For More starting Basic Auth decprecation in June 2010. 2010年6月から Twitter API の BASIC 認証が deprecated になるとのこと。 Deprecated というのは「非推奨」「廃止予定」という意味で こ
OAuthのセッション固定攻撃について(翻訳) - ものがたり(旧)
Explaining the OAuth Session Fixation Attackという文章が興味深いものだったので翻訳してみた。何か解決策を思いついた人はOAuthのメーリングリストに送ってあげると良いと思う。って僕は参加してもいないのだけど。あと誤訳とかはコメントしてもらえれば対応します。ワタクシ実のところOAuthなんて使ったこともなかったりして。 (原文はリンク先にもある通り、Eran Hammer-Lahav氏からcc-by 3.0 usで提供されている。) 追記: 日本でもニュースになっていた: http://www.atmarkit.co.jp/news/200904/23/oauth.html 追記2: 元記事の画像がアップデートされていたので、追従して更新 以下翻訳: 先週、われわれが発見して対応したOAuthのプロトコルセキュリティ問題には語るべきことが多くある。
OAuth Sequence Diagram Template - 日向夏特殊応援部隊
OAuth Sequence Diagram Template とりあえず、OAuth のお勉強用にテンプレ化。Web Sequence Diagrams すげー便利だなー。 participant User participant Consumer participant "Service Provider" note over Consumer 6.1 Obtaining an Unauthorized Request Token end note Consumer->"Service Provider": "6.1.1. Consumer Obtains a Request Token" activate "Service Provider" "Service Provider"->Consumer: "6.1.2. Service Provider Issues an Unauth
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
https://hueniverse.com/2012/07/oauth-2-0-and-the-road-to-hell/
http://www.hueniverse.com/hueniverse/2009/04/explaining-the-oauth-session-fixation-attack.html
https://www.hueniverse.com/hueniverse/2009/03/sunday-morning-homework.html