OAuth Security Workshop 2017で発表をしてきました。(2017/7/14) 何しろ、Basin教授(ETH Zurich)とCremers教授(オックスフォード大学)が揃い踏みするところだったので、良い機会なので、無謀にも彼らの論文を元にして、RFC67…
さらに表示 OAuthを将来にわたって安全にするためには~OAuthセキュリティ・ワークショップ2017
タグ: oauth
API Days Paris に「Financial Grade OAuth and OpenID Connect」と題して出演します
「IT、ビジネス、そして社会全体をAPIで自動化する」というキャッチフレーズを持つ、1200人規模のカンファレンス「API Days 2016」が、来る12月13日・14日とパリのTapis Rougeで開催されます。 わたしは、1日目の午後の「WORKSHOP CA」で「Ope…
さらに表示 API Days Paris に「Financial Grade OAuth and OpenID Connect」と題して出演します
JSON Web Key (JWK) Thumbprint が、RFC 7638 として発行されました。
Mike Jones と私が共著者としてクレジットされている「JSON Web Key (JWK) Thumbprint」 が、[RFC 7638] として発行されました。 この規格はJSON Web Key (JWK)の安定的なハッシュ値を計算するための方法を規定しています。具…
さらに表示 JSON Web Key (JWK) Thumbprint が、RFC 7638 として発行されました。
サイロを超えて、繋ぐ。産官学が集結する日本初のアイデンティティサミット-JICS2013
サイロを超えて、繋ぐ。産官学が集結する日本初のアイデンティティサミット「Japan Identity & Cloud Summit 2013」が来る 3/4, 3/5 に東京一橋の学術総合センターで開催されます。私もプログラム委員の一人として、ここ数ヶ月プログラム作成に関…
さらに表示 サイロを超えて、繋ぐ。産官学が集結する日本初のアイデンティティサミット-JICS2013
単なる OAuth 2.0 を認証に使うと、車が通れるほどのどでかいセキュリティー・ホールができる
OAuth 2.0 の implicit grant flow を認証に使うと、車が通れる程どてかいセキュリティ・ホールが開くよ、と言う、ジョン・ブラッドレー氏[1]による良記事。コメントも読み応えあります。ちょっとチェックした見たところは、全滅。RP側を治さなきゃいけないから、…
さらに表示 単なる OAuth 2.0 を認証に使うと、車が通れるほどのどでかいセキュリティー・ホールができる
「番号」制度の情報連携基盤は複雑か?
国民ID制度、「番号」制度(あやまって、共通番号制度とも呼ばれることがあるが)のコンテキストで語られるシステム基盤に、「情報連携基盤」とよばれるものがあります。下の図(内閣官房情報連携基盤技術ワーキンググループ中間報告より)のオレンジの箱がそれです。 どうもここの部分が、各界の「…
さらに表示 「番号」制度の情報連携基盤は複雑か?Twitter、アプリのDMアクセスを自動削除へ
TechCrunchの記事によると、twitterがようやく重い腰を上げて、OAuthのアクセス権限の詳細化に取り組むようです。 これによると、承諾画面が従来の極めて簡単なものから以下のような詳細なものになるとともに、DMアクセスを必要としていないアプリからは自動的にDMアクセス…
さらに表示 Twitter、アプリのDMアクセスを自動削除へOAuth Wrap Web App Profile まとめ
ちょっくら、OAuth Wrap Web App Profile をシーケンス図にまとめてみた。 #こんなの、spec自体に入っていてほしいんですが…。 注意点:
さらに表示 OAuth Wrap Web App Profile まとめ
コメントを投稿するにはログインしてください。