Se ha denunciado esta presentación.
Se está descargando tu SlideShare. ×

Whats wrong oauth_authn

21 de mar de 2013
6 recomendaciones 1.411 visualizaciones
Anuncio
Anuncio
Anuncio
Anuncio
Anuncio
Anuncio
Anuncio
Anuncio
Anuncio
Anuncio
Anuncio
Anuncio
Próximo SlideShare
OAuth認証再考からのOpenID Connect #devlove
OAuth認証再考からのOpenID Connect #devlove
Cargando en…3
×

Eche un vistazo a continuación

ID連携のあるとき~、ないとき~ #エンプラ編
Takashi Yahata
Cloud Identity Summit 2011 TOI
Tatsuo Kudo
[SC07] Azure AD と Ruby で学ぶ OpenID Connect!
de:code 2017
TwitterのOAuthってなんぞ?
deflis
Idcon11 implicit demo
Ryo Ito
サバフェス 2016 Yahoo! ID連携のご紹介 〜OpenID Connect入門〜
Masaru Kurahayashi
認証の課題とID連携の実装 〜ハンズオン〜
Masaru Kurahayashi
1 de 45 Anuncio

Whats wrong oauth_authn

21 de mar de 2013
6 recomendaciones 1.411 visualizaciones

Descargar para leer sin conexión

Licencia: CC Attribution License
Anuncio

Recomendado

OAuth認証再考からのOpenID Connect #devlove
Nov Matake
5.5k vistas
49 diapositivas
OpenID Connect - Nat Sakimura at OpenID TechNight #7
OpenID Foundation Japan
6.5k vistas
44 diapositivas
ID & IT 2013 - OpenID Connect Hands-on
Nov Matake
3.6k vistas
20 diapositivas
JWT Translation #technight
Nov Matake
8.5k vistas
38 diapositivas
安全なID連携のハウツー
Masaru Kurahayashi
4.4k vistas
39 diapositivas
これからのネイティブアプリにおけるOpenID Connectの活用
Masaru Kurahayashi
25.1k vistas
94 diapositivas
PDSを実現するにあたっての技術動向の紹介 (OAuth, OpenID Connect, UMAなど)
Tatsuo Kudo
7.2k vistas
38 diapositivas
俺が考えた最強のID連携デザインパターン
Masaru Kurahayashi
9.4k vistas
69 diapositivas
Anuncio

Más Contenido Relacionado

Presentaciones para usted (7)

ID連携のあるとき~、ないとき~ #エンプラ編
Takashi Yahata
7.3k vistas
Cloud Identity Summit 2011 TOI
Tatsuo Kudo
6.9k vistas
[SC07] Azure AD と Ruby で学ぶ OpenID Connect!
de:code 2017
2.2k vistas
TwitterのOAuthってなんぞ?
deflis
580 vistas
Idcon11 implicit demo
Ryo Ito
4.1k vistas
サバフェス 2016 Yahoo! ID連携のご紹介 〜OpenID Connect入門〜
Masaru Kurahayashi
4.8k vistas
認証の課題とID連携の実装 〜ハンズオン〜
Masaru Kurahayashi
8.5k vistas
ID連携のあるとき~、ないとき~ #エンプラ編
Takashi Yahata
7.3k vistas
34 diapositivas
Cloud Identity Summit 2011 TOI
Tatsuo Kudo
6.9k vistas
31 diapositivas
[SC07] Azure AD と Ruby で学ぶ OpenID Connect!
de:code 2017
2.2k vistas
74 diapositivas
TwitterのOAuthってなんぞ?
deflis
580 vistas
13 diapositivas
Idcon11 implicit demo
Ryo Ito
4.1k vistas
62 diapositivas
サバフェス 2016 Yahoo! ID連携のご紹介 〜OpenID Connect入門〜
Masaru Kurahayashi
4.8k vistas
65 diapositivas

A los espectadores también les gustó (8)

IIW 16th Report at #idcon
Nov Matake
1.9k vistas
OAuth 2.0 #idit2012
Nov Matake
1k vistas
池澤あやかと学ぼう!: はじめてのOAuthとOpenID Connect - JICS 2014
Nov Matake
11.9k vistas
OPTiM StoreにおけるSCIM & OIDC活用事例 - ID&IT 2016
Nov Matake
1.3k vistas
API提供におけるOAuthの役割 #apijp
Tatsuo Kudo
10.8k vistas
OpenID Connect 101 @ OpenID TechNight vol.11
Nov Matake
10.4k vistas
デブサミ2017 【DevBooks】即売会サークル参加要項
Developers Summit
22.4k vistas
デブサミ2017 公募セッション募集要項
Developers Summit
25.4k vistas
IIW 16th Report at #idcon
Nov Matake
1.9k vistas
40 diapositivas
OAuth 2.0 #idit2012
Nov Matake
1k vistas
25 diapositivas
池澤あやかと学ぼう!: はじめてのOAuthとOpenID Connect - JICS 2014
Nov Matake
11.9k vistas
42 diapositivas
OPTiM StoreにおけるSCIM & OIDC活用事例 - ID&IT 2016
Nov Matake
1.3k vistas
55 diapositivas
API提供におけるOAuthの役割 #apijp
Tatsuo Kudo
10.8k vistas
39 diapositivas
OpenID Connect 101 @ OpenID TechNight vol.11
Nov Matake
10.4k vistas
55 diapositivas
Anuncio

Similares a Whats wrong oauth_authn (20)

なぜOpenID Connectが必要となったのか、その歴史的背景
Tatsuo Kudo
47.5k vistas
「Windows Phone アプリ と 認証」のまとめ
junichi anno
1.6k vistas
実装して理解するLINE LoginとOpenID Connect入門
Naohiro Fujie
20.9k vistas
FAPI Security について聞いてきた話(2017/08/18 社内勉強会)
Yoko TAMADA
593 vistas
0905xx Hybrid Memo
Ryo Ito
993 vistas
Introduction of OAuth 2.0 vol.1
Ryo Ito
1.3k vistas
Azure AD B2CにIdPを色々と繋いでみる
Naohiro Fujie
855 vistas
O Auth
Taizo Matsuoka
1.8k vistas
今更聞けないOAuth2.0
Takahiro Sato
68.7k vistas
OpenID Connect 入門 〜コンシューマーにおけるID連携のトレンド〜
Masaru Kurahayashi
144.1k vistas
なんとなくOAuth怖いって思ってるやつちょっと来い
Ryo Ito
14.2k vistas
.NET ラボ~開発者のためのアイデンティティテクノロジーw/ Windows Phone
junichi anno
1.4k vistas
ゼロからはじめるサーバーサイド Vol2
Taichi Inaba
3.9k vistas
091009 Identity Conference #6 ritou
Ryo Ito
1.2k vistas
OAuth 2.0による認可の流れ
Takeshi Mikami
230 vistas
Azure AD x LINE x Auth0
Naohiro Fujie
542 vistas
OpenID_Connect_Spec_Demo
Ryo Ito
1.4k vistas
TwitterのBasic認証が今度こそ終わります
Daisuke Nikura
362 vistas
クラウド時代の「ID管理」と「認証セキュリティ」
Tatsuya (達也) Katsuhara (勝原)
6.8k vistas
OCHaCafe#5 - 避けては通れない!認証・認可
オラクルエンジニア通信
3.1k vistas
なぜOpenID Connectが必要となったのか、その歴史的背景
Tatsuo Kudo
47.5k vistas
36 diapositivas
「Windows Phone アプリ と 認証」のまとめ
junichi anno
1.6k vistas
18 diapositivas
実装して理解するLINE LoginとOpenID Connect入門
Naohiro Fujie
20.9k vistas
28 diapositivas
FAPI Security について聞いてきた話(2017/08/18 社内勉強会)
Yoko TAMADA
593 vistas
41 diapositivas
0905xx Hybrid Memo
Ryo Ito
993 vistas
36 diapositivas
Introduction of OAuth 2.0 vol.1
Ryo Ito
1.3k vistas
18 diapositivas

Más de Nov Matake (20)

#idcon vol.29 - #fidcon WebAuthn, Next Stage
Nov Matake
360 vistas
FedCM - OpenID TechNight vol.19
Nov Matake
353 vistas
Safari (ITP) & Chrome (SameSite=Lax as default) が Federation に与える影響 - OpenID ...
Nov Matake
1.3k vistas
Sign in with Apple
Nov Matake
3.5k vistas
FIDO @ LINE - #idcon vol.24
Nov Matake
1.6k vistas
W3C Web Authentication - #idcon vol.24
Nov Matake
1.6k vistas
NIST SP 800-63C - Federation and Assertions (FINAL)
Nov Matake
973 vistas
NIST SP 800-63C #idcon vol.22
Nov Matake
1.4k vistas
NIST SP 800-63-3 #idcon vol.22
Nov Matake
1.3k vistas
ID連携入門 (実習編) - Security Camp 2016
Nov Matake
1.7k vistas
ID連携概要 - OpenID TechNight vol.13
Nov Matake
37k vistas
ミスコンとプライバシー ~ IdentityDuck誕生秘話 ~ #idcon
Nov Matake
2k vistas
SAML / OpenID Connect / OAuth / SCIM 技術解説 - ID&IT 2014 #idit2014
Nov Matake
98k vistas
FIDO alliance #idcon vol.18
Nov Matake
4.5k vistas
MIT-KIT Intro at #idcon sattelite
Nov Matake
2.2k vistas
Self isssued-idp
Nov Matake
2.1k vistas
Account Chooser #idit2012
Nov Matake
1.8k vistas
諸外国の国民ID制度 #idcon 13th
Nov Matake
2.7k vistas
OpenID Connect via WebIntents
Nov Matake
1.8k vistas
OAuth 2.0 & OpenID Connect @ OpenSource Conference 2011 Tokyo #osc11tk
Nov Matake
12k vistas
#idcon vol.29 - #fidcon WebAuthn, Next Stage
Nov Matake
360 vistas
39 diapositivas
FedCM - OpenID TechNight vol.19
Nov Matake
353 vistas
24 diapositivas
Safari (ITP) & Chrome (SameSite=Lax as default) が Federation に与える影響 - OpenID ...
Nov Matake
1.3k vistas
62 diapositivas
Sign in with Apple
Nov Matake
3.5k vistas
35 diapositivas
FIDO @ LINE - #idcon vol.24
Nov Matake
1.6k vistas
31 diapositivas
W3C Web Authentication - #idcon vol.24
Nov Matake
1.6k vistas
44 diapositivas
Anuncio

Whats wrong oauth_authn

  1. 1. ここがダメだよOAuth認証 @nov
  2. 2. よ り 情 に 事 よ び 人 の お 大 愛 ま す 部 割 い 一 れ て 換 さ 置
  3. 3. @nov - Nov Matake OpenID Foundation Japan Evangelist Idcon Organizer ID厨 OAuth.jp OAuthおにーさん Rubyist GREE Power Lunch 2013.03
  4. 4. 外部IDを受け入れる セキュリティ上の利点・欠点 GREE Power Lunch 2013.03
  5. 5. Passwords Leak GREE Power Lunch 2013.03
  6. 6. Twitter、25万人のパスワードを含む個人情報漏えいの可能性 (ITMedia, 2013.02.02) 使い回しパスワードは特に注意、米Yahoo!でアカウント情報流出 (@IT, 2012.07.13) LinkedIn、侵入および「一部」ユーザーのパスワード漏洩を認める (TechCrunch, 2012.06.07) Facebookのパスワードが1万件以上流出の恐れ、真偽は未確認 (ITPro, 2011.10.20) GREE Power Lunch 2013.03
  7. 7. 池田信夫、自らのメールアカウントを 乗っ取られ今日も見事な醜態を晒す GREE Power Lunch 2013.03
  8. 8. GREE Power Lunch 2013.03
  9. 9. GREE Power Lunch 2013.03
  10. 10. いやー、馬鹿って 本当に面白いですね。 GREE Power Lunch 2013.03
  11. 11. Same password on Twitter and Facebook? GREE Power Lunch 2013.03
  12. 12. How many sites are you using? GREE Power Lunch 2013.03
  13. 13. 1 Leak All Hacked GREE Power Lunch 2013.03
  14. 14. リスクは分散すべきもの リソースは集中すべきもの GREE Power Lunch 2013.03
  15. 15. パスワードは使い分けるもの できないならID連携 GREE Power Lunch 2013.03
  16. 16. 100 sites 100 different password 100 sites 1 password + 99 OpenID GREE Power Lunch 2013.03
  17. 17. GREE Power Lunch 2013.03
  18. 18. GREE Power Lunch 2013.03
  19. 19. OAuth認証 「アクセス権限付与 + UserIDを返すAPI」 アクセス権限付与のプロトコル (= OAuth) は標準化 UserID取得APIは各API Providerごとにバラバラ GREE Power Lunch 2013.03
  20. 20. OAuth使って認証するための RFCなど無い。 GREE Power Lunch 2013.03
  21. 21. 単なる OAuth 2.0 を認証に 使うと、車が通れるほどの どでかいセキュリティー・ ホールができる GREE Power Lunch 2013.03
  22. 22. Demo GREE Power Lunch 2013.03
  23. 23. Your Server GET /me User Info
  24. 24. Your Server Token Replace GET /me User Info Different User Data :
  25. 25. OAuthの仕様を理解して FB APIの仕様も理解して ドキュメント通りに実装したら アカウント乗っ取られる。 GREE Power Lunch 2013.03
  26. 26. 割 愛 よ り 情 に の 事 大 人
  27. 27. Weak Point Token Replace GET /me User Info Different User Data :
  28. 28. OAuth + 認証 どうすればセキュアに...? GREE Power Lunch 2013.03
  29. 29. それ、OpenID Connect でできるよ。
  30. 30. ♥ OpenID Connect ~ OpenID based on OAuth 2.0 ~
  31. 31. 12
  32. 32. Access Token + ID Token End User Relying Party OpenID Provider Initiate Request Authorization Authenticate & Authorize Authorization Grant Authorization Grant Access Token + ID Token
  33. 33. ID Token • JWT token representing logged-in session • Claims: • iss – Issuer • sub – Identifier for user • aud – Audience for ID Token • iat, exp - issued at & expiry
  34. 34. JSON Web Token • JSON + Signature (+ Encryption) • XML Signature for JSON
  35. 35. 誰が (issuer) 誰を (subject) 誰のために (audience) 認証したのか
  36. 36. Signed using FB private key Your Server Verified using FB public key
  37. 37. 最後に
  38. 38. ****よりFB / Googleの方がセキュアだし 外部IDは受け入れた方がよい。 「1password使えや」とかユーザーに言えるの 空気読めない楽⃝社長くらい
  39. 39. ただし「OAuth認証」は仕様通り (とDeveloperが思ってる通り) に実装すると穴ができるので注意。 たぶん既に穴何カ所かある気がする...
  40. 40. ****がOpenID Connect Providerに なるのは大変そうだけど ID Tokenだけ発行するならあり。 Backend API Call無いと認証できないとか けっこうつらくない?
  41. 41. twitter.com/nov slideshare.net/matake github.com/nov

×