OAuth 2.0 の implicit grant flow を認証に使うと、車が通れる程どてかいセキュリティ・ホールが開くよ、と言う、ジョン・ブラッドレー氏[1]による良記事。コメントも読み応えあります。ちょっとチェックした見たところは、全滅。RP側を治さなきゃいけないから、…
さらに表示 単なる OAuth 2.0 を認証に使うと、車が通れるほどのどでかいセキュリティー・ホールができるカテゴリー: identity
本人確認と保険証~元オウム信者・斎藤容疑者の偽名保険証取得を考える
元オウムの平田容疑者を匿っていた斎藤明美容疑者(49)が、偽名で保険証を取得し、さらにそれを身分証明書として銀行口座を開設していたことが話題になっています[1]。これを受けて、私の twitter のタイムラインにもいろいろな声が出ています。その多くは、報道等と同様に、身分証明書…
さらに表示 本人確認と保険証~元オウム信者・斎藤容疑者の偽名保険証取得を考えるOpenID Foundation からのクリスマスプレゼント
という訳で、OpenID AB+Connect WGから、皆さんにクリスマスプレゼントです。 本日付で OpenID Connect 仕様群が2月6日までの45日間の実装者ドラフト・レビュー期間に入りました。全てが上手く行けば、翌日から1週間の投票に入り、2月14日、そうバレンタ…
さらに表示 OpenID Foundation からのクリスマスプレゼントspモードメール問題
spモードメール問題、あの、アドレスが付け変わってしまうというやつが話題になっています。ただ記事を読んだだけではよくわからなかったので、NTT DOCOMOテクニカル・ジャーナル Vol.18 No.3 の Technology Report [1] なども参考にしながら絵を書い…
さらに表示 spモードメール問題死を前にした友人からの手紙〜プライバシーと存在性について
ちょっと前に友人からメールを受け取った。インターネットの創成期からかなり中心的な役割を果たし、ここ10年ほどは、ネット上でのアイデンティティやプライバシーの改善に取り組んでいた人だ。健康を害しているのは知っていたが…。彼が死を前にして送ってきたメール。いわば遺言のよう…
さらに表示 死を前にした友人からの手紙〜プライバシーと存在性についてサイバー空間上の信頼フレームワークとパーソナルデータ経済~東京大学 融合情報学特別講義Ⅱ (2011/12/07)
今日は、 「サイバー空間上の信頼フレームワークとパーソナルデータ経済 インターネット・アイデンティティとプライバシー保護の観点から」 と題して東京大学 融合情報学特別講義Ⅱをやってきた。 融合情報学特別講義(グローバルCOE特別講演) 日 時 : 12月7日(水) 4限 14:4…
さらに表示 サイバー空間上の信頼フレームワークとパーソナルデータ経済~東京大学 融合情報学特別講義Ⅱ (2011/12/07)OpenID Summit Tokyo 開催
12/1に OpenID Summit Tokyo を開催します。 私の他、米国から Google, Microsoft 他の、この分野の主要人物を呼んで、講演&パネルディスカッションをします。 現状のアジェンダはこんな感じ: ※Conferenceへの参加費は無料です。 ※講演…
さらに表示 OpenID Summit Tokyo 開催safari.com M-PESA
東アフリカは実はモバイル決済が盛んだ。今回使ったSafari.comのSIMでも使っている。これはSIM Applicationとして提供されている。使っている通信プロトコル(?)はUSSDというそうだ。セキュアなSMSの類。日本ではほぼ使われていないのが不思議。
さらに表示 safari.com M-PESA「番号」の民間活用のためには
「番号」/マイナンバー制度(相変わらず「共通番号」としているメディアが多いのは嘆かわしいことです)に関連して、『「番号」を民間利用させろ!』『4情報(氏名、生年月日、性別、住所)を取得させろ!』というような声が、あんな団体やらこんな団体やらから聞こえてきます。 もともと、私はデー…
さらに表示 「番号」の民間活用のためには「番号」制度の情報連携基盤は複雑か?
国民ID制度、「番号」制度(あやまって、共通番号制度とも呼ばれることがあるが)のコンテキストで語られるシステム基盤に、「情報連携基盤」とよばれるものがあります。下の図(内閣官房情報連携基盤技術ワーキンググループ中間報告より)のオレンジの箱がそれです。 どうもここの部分が、各界の「…
さらに表示 「番号」制度の情報連携基盤は複雑か?