単なる OAuth 2.0 を認証に使うと、車が通れるほどのどでかいセキュリティー・ホールができる

OAuth 2.0 の implicit grant flow を認証に使うと、車が通れる程どてかいセキュリティ・ホールが開くよ、と言う、ジョン・ブラッドレー氏[1]による良記事。コメントも読み応えあります。ちょっとチェックした見たところは、全滅。RP側を治さなきゃいけないから、…

さらに表示 単なる OAuth 2.0 を認証に使うと、車が通れるほどのどでかいセキュリティー・ホールができる

OpenID Foundation からのクリスマスプレゼント

という訳で、OpenID AB+Connect WGから、皆さんにクリスマスプレゼントです。 本日付で OpenID Connect 仕様群が2月6日までの45日間の実装者ドラフト・レビュー期間に入りました。全てが上手く行けば、翌日から1週間の投票に入り、2月14日、そうバレンタ…

さらに表示 OpenID Foundation からのクリスマスプレゼント

spモードメール問題

spモードメール問題、あの、アドレスが付け変わってしまうというやつが話題になっています。ただ記事を読んだだけではよくわからなかったので、NTT DOCOMOテクニカル・ジャーナル Vol.18 No.3 の Technology Report [1] なども参考にしながら絵を書い…

さらに表示 spモードメール問題

サイバー空間上の信頼フレームワークとパーソナルデータ経済~東京大学 融合情報学特別講義Ⅱ (2011/12/07)

今日は、 「サイバー空間上の信頼フレームワークとパーソナルデータ経済 インターネット・アイデンティティとプライバシー保護の観点から」 と題して東京大学 融合情報学特別講義Ⅱをやってきた。 融合情報学特別講義(グローバルCOE特別講演) 日 時 : 12月7日(水) 4限 14:4…

さらに表示 サイバー空間上の信頼フレームワークとパーソナルデータ経済~東京大学 融合情報学特別講義Ⅱ (2011/12/07)

「PCデータの盗み取りに成功−VISTAのセキュリティは大丈夫か?」というセンセーショナルな記事

この記事、タイトルは大層刺激的だが何のことはない。 Windows XP の PC が壊れたのでハードディスクを取り出してVistaの入った新しいPCにくっつけたら簡単に読み出せてびっくり、という話だ。 当たり前である。曰く、 壊れたPCには指紋認証のハードがついていた。また、メ…

さらに表示 「PCデータの盗み取りに成功−VISTAのセキュリティは大丈夫か?」というセンセーショナルな記事

暗号の解き方とセキュリティポリシー

今年の6月に「DES がたった3日半で解けた」と、大ニュースになったが、これの意義は、原理的には分かっていたこと – 実質鍵長をうまく減らしてやれば、Brute Force Effort でもかなり効率よく鍵を見つけ出すことができる – を、実際にやってみ…

さらに表示 暗号の解き方とセキュリティポリシー