Yahoo!の人の話

大切な処理ではたとえ認証中であってもパスワードを聞きましょうってことでパスワードを聞いているよって話しと、ログイン履歴やログインアラートなどの機能を提供しているよという話でした。
だけど、ログインアラートとかは、後で入れたものだからなかなかユーザーに利用してもらえないらしい。。。
これからは、リスクベース認証(普段行わない行為をやったとかそういうリスクを計算して必要であればパスを聞くなど)をやっていくよという話でした。

「ユーザから見て、非常時以外は何も変わらないる利便性を保ちつつ、セキュリティを提供する。」はいい言葉だと思った。

OpenIDのモバイル対応の話

OpenIDの人の話

OpenIDがガラケーフィーチャーフォンで利用できない問題についての話。
そして、それを改善する仕組みについての話。

OpenIDはことさがで利用させてもらったので大体知ってる。
http://cotosaga.com/

現在でも仕様が複雑でライブラリーも巨大になっているのを何とかして欲しいなぁ。

OpenIDでは、認証のほかにメールアドレスなどのユーザ属性というものを定義していて、それ利用したいサイトに渡すことができる。
ここで問題なのが、その利用したいサイトをどれだけ信用できるかにある。
そこで、サイトの認定制度を利用しようという動きがあるらしい。
米国政府が作成した企画書?があるらしい。

なにっ。
これは第2のベリサインの誕生ではないか。
これって絶対儲かる仕組みだよな。
これは、やったもん勝ち。

個人的には、EV-SSLの劣化版ぐらいの厳しさでサイトのグレード(松竹梅)を示す程度でいいんぢゃね？とか思うんだけど、
金になりそうだから、独自企画とかぶったててくるんだろうか。

さて、話が元に戻って、ガラケーフィーチャーフォン対応のOpenIDの話。
GETが長いなら減らせばいいぢゃんということで 属性などのデータはOpenIDの認証局とサイトが直接やり取りする仕組みにするらしい。

1.
             OpenID認証局

ユーザー
    →→→→→
   openid使わせろ
              利用したいサイト
             


2.
             OpenID認証局
    →→→→→
   認証すっぞ
ユーザー
              利用したいサイト


3.
             OpenID認証局
                     (属性データファイル作成)
    ←←←←←
   結果できたぞ
   xxxxってファイルにデータあるから
ユーザー
              利用したいサイト


4.
             OpenID認証局
                     (属性データファイル作成)
ユーザー
    →→→→→
  認証できたぜ、使わせろ
  あとOpenID認証局の
  xxxxってファイルにデータあるよ
  
              利用したいサイト


5.
             OpenID認証局
                 ↑    (属性データファイル)
                 ↑
ユーザー         ↑認証できたとかまじかよ、
                 ↑こいつ属性ちょうだい
                 ↑
              利用したいサイト

6.
             OpenID認証局
                 ↓    (属性データファイル)
                 ↓
ユーザー         ↓ユーザーのデータだぜ
                 ↓
                 ↓
              利用したいサイト


7.
             OpenID認証局

ユーザー
    →→→→→
   利用できるぜー
              利用したいサイト

デモ？
https://openid4.us/

属性どう表現するか。
海外の仕様なのでふりがながとかがないらしい。
ActiveDirectoryも最近までふりがななかったよねぇ。

KDDIから案がでているらしい。
//例: http://axschema.org/namePerson#ja_Kana_JP

単純に思ったんですが、グループとかどうんだろう。
複数グループに属することができるなどの表現ができるんだろうか。

RESTだから、グループを表現したければ、属性をだーーーと並べていくしかないんだろうな。

あと、時間がなくて質問できなかったけど、、、openidはOSの認証になるのかどうかを聞きたかったな。

pam_openid というソフトがある。
http://code.google.com/p/pam-openid/

linuxの認証にOpenIDを利用しようという先進的なソフトウェアだ。
ネットワークOSなどの出現によって、OSの認証すらもネットに依存するケースが増えていくのではないだろうか。

そうなった場合、OSに必要なカラムなどどうなるのだろうか。
たとえば、uidや、所属グループ、起動シェルなどだ。属性に格納するのだろうか。

企業内であれば、LAN上にActiveDirectoryを立てて統合認証をやっているところも多い。
業務で使うサイトもActiveDirectoryのグループによって制御しているところもあるだろう。
(ActiveDirectoryのOUは罠機能なので、そこれで制御するようにすると地獄を見るので注意するべきw(私の経験談) )

で、そうなっていくと、今後は企業内にADの代わりにローカルなOpenID認証局が作られるのだろうか。
そうなってくると、属性のパラメータの不足やOS間の不一致が問題になってくるだろう。

たとえば、LDAPと ActiveDirectory の問題、WindowsとLinuxの統合認証時の問題などだ。
あるOSにあって、別のOSにないグループ概念などが異種OSの統合認証時で絶対問題になってくる。
samba4はまだ開発中だけど、あれがでればここら辺の溝を埋めてくれるソフトになると思っている。
WindowsとLinuxの統合認証まで10数年の年月がかかっているのだ。

OpenIDはここら辺の問題をまた蒸し返すつもりなんだろうか。
それとも、きちんと吸収するつもりなんだろうか。

このような不幸がOpenIDでまた起きないようにしていただきたいと強く思う。

徳丸さんのケータイ2.0 が開けてしまったパンドラの箱

できないことによるセキュリティは破られるのは常だよなぁと。
制限がかかっていて、それはできない前提になっているとはいってもしょせんは人間が作ったしがらみにすぎないわけで。
歴史上、攻略されなかった砦はないわけだし。。。

キャリアのゲートウェアは不正なIDがあったら消して付け直すようにはできてはいるが、
USER-AGENTは消しても、 USER_AGENT はすり抜けで、やられちゃったり、
SSLを利用しているとそもそも書き換えられない(man-in-middleでもしない限りは)わけだから素通りなわけで。

SSLを利用した簡単ログインは信用してはいけないっていうのは、なんとも皮肉ですね。
SSLなのに信用できないとか、皮肉すぎる。

AJAXが利用可能か判別するツール
http://www.hash-c.co.jp/ajax/chkajax.cgi

高木先生のどうするケータイ認証

かんたんログインゆーなキャンペーン。

話を要約すると、現在のかんたんログインの仕組みでは、
努力しても安全なケータイサイトを作ることは難しいという話。

ケータイ個別識別IDによる簡単ログインなんかつかわないで、ふつーにクッキーを使えばいいではないかという話だった。

クッキーを食べれないのはDocomo1.0だけ。

クッキーを食べられるケータイブラウザの比率
モバツイしらべ

au 99.9%
sb 98.7
dc 28.0%(去年からスタートしてもう28%)

http://takagi-hiromitsu.jp/diary/20100520.html

たしかに個別識別IDのよる実装は楽だ。
私もケータイサイト作っていたことがあるからよく分かる。
セッションを保持するための仕組みとか、それようのデータベースとかKVSとか不要だし、
ログインしてクッキー食べさせてなども不要。

だけど、これでは安全なwebサイトは作ることはできない。

アプリを改良するときに機能を足すために関数を丸ごとコピペして名前を なんとか2にして一部書き換えてできましたーとかいうのとか、
とある条件をおきなくするためにグローバル変数で適当にフラグを作るとか、
Webアプリで本番じか書き換えで対応とか、
ソース管理使わないでディレクトリ丸コピーとか
そーゆー邪悪な甘さだよなぁ。

確かに甘いのはよくわかるし、楽なのも分かるんだけど、それではダメだし、あとで爆発する。

今の例だと、楽なほうに誘導していくと危険になっていくけど、
逆に楽なほうに誘導していければ、安全になるとかそういう仕組みはできないもんかなぁと思ってる。

以下略
そのうち書くかも。
資料を公開して欲しい。一部伏字や黒塗りにしてもいいから、、