.Nat Zone - Latest Comments

Re: 単なる OAuth 2.0 を認証に使うと、車が通れるほどのどでかいセキュリティー・ホールができる

Nat Sakimura — Mon, 02 Apr 2012 08:19:29 -0000

山のようにありますよ。Facebook でログインとかしているところは、OAuth でのログインです。たとえば、このコメントシステムの disqus もそうですよね。サイト自身への認証を他のサービスプロバイダに任せることを認証連携とか、フェデレーションとか言います。技術的には OpenID や SAMLなどもこの仲間ですね。普通のサイトは、殆どの場合、認証をしっかりやることができない（まさか、ユーザ名パスワードだけでやろうなんて思ってないですよね？GoogleやFacebookなどは、パスワード認証に見えて、実は裏ではバリバリにリスクベース認証を走らせています。）ので、ちゃんとやっているところに任せたほうが世のため人のためです。

逆にお聞きしますが、第三者に任せることの何が不安なんでしょうか？

Re: 単なる OAuth 2.0 を認証に使うと、車が通れるほどのどでかいセキュリティー・ホールができる

Yangkook Kim — Wed, 21 Mar 2012 00:06:22 -0000

勉強になりましたが。しかし、Oauthを認証に使っているサイトってそんなに沢山あるのでしょうか？Oauthを使って認証ということはつまり、サイト自身への認証を他のサービスプロバイダに任せてしまう、ということになるかと思いますが、このようなことが一般的に行われているのでしょうか？

自分が正しく問題を理解できているのかやや不安なので、Oauthを認証に使っているサイトを例として教えて頂けると助かります。

Re: 2012 NSTIC/IDtrust Workshop パネルに出演：トピック募集！

石橋秀仁 Ishibashi Hideto — Thu, 15 Mar 2012 12:52:59 -0000

> 「忘れられる権利」と「同意を翻す権利」
> 忘れられる（データ消去）はどのくらい現実的なのか？

これがいちばん興味あります。
・利用規約とプライバシーポリシーのハードコーディング（契約のコーディング）
・ユーザーの委任によるマシン間契約自動実行
・忘れられる権利の完全コード化
が実現したら「同意の翻し」によって全パーソナルデータの削除指令が原契約（＝利用規約への同意＝利用開始時の時点）に向かって遡及していくわけですよね、例えば。

Re: 共通番号／マイナンバーの保管と紐付け作業について

TANIGUCHI Kousuke — Wed, 07 Mar 2012 20:06:55 -0000

realm毎に違うidを払い出すOpenID 2.0実装がイメージ近いですね。

Re: 本人確認って何？(1)

toaster4.us — Tue, 28 Feb 2012 01:05:09 -0000

なるほどですね。第二回、楽しみにまってます。　お忙しいとは思いますが、お身体もご自愛ください。

Re: 本人確認って何？(1)

Nat Sakimura — Mon, 27 Feb 2012 22:06:58 -0000

日本語では何でもかんでも本人確認ですが、英語だと Identity Proofing, Identity Verification, Certification, Authentication などにわかれていて、それぞれ使い分けられています。日本語だとぐちゃっとしてしまって、精密な議論が出来ません。そこが残念なところです。実は、第２回では、英語だとどのように分かれているかということを書こうと思っていました。

Re: 本人確認って何？(1)

toaster4.us — Mon, 27 Feb 2012 20:52:29 -0000

あ。でも「ID CHECK」で検索したら、27億件でてきました。。Identity verification とか、いろいろ言葉があるということなんでしょうか。

Re: 本人確認って何？(1)

toaster4.us — Mon, 27 Feb 2012 18:04:13 -0000

この場合の「本人確認」というのは、英語で言う「Identity Proofing」なのでしょうか。
Googleで「本人確認」と検索すると、結果が780万件くらいあったのに対し、
「Identity Proofing」と検索すると、結果は220万件くらいでした。
「ホンニンカクニン」という概念は、英語圏であんまりポピュラーではない概念なのでしょうか？

Re: 非技術者のためのOAuth認証(?)とOpenIDの違い入門

Seiji Deguchi — Mon, 13 Feb 2012 15:29:30 -0000

ちょうどOpenIDConnectについて調べ物していたので、わかりやすくてよかったです！

Re: 単なる OAuth 2.0 を認証に使うと、車が通れるほどのどでかいセキュリティー・ホールができる

Nat Sakimura — Sun, 05 Feb 2012 22:20:37 -0000

SiteよりRPと書いたほうが良かったですね。今にして思うと。なんか、RPじゃわかんない人居るかなと思って、途中でClientに書きなおし、さらにそれをSiteに書きなおして失敗しました。
シーケンスも、かきながら、後で直そうと思ってそのまま...。

Re: 単なる OAuth 2.0 を認証に使うと、車が通れるほどのどでかいセキュリティー・ホールができる

ritou — Sun, 05 Feb 2012 10:41:38 -0000

ご指摘のとおり、OP側ではアクセストークンとRP識別子などを紐付けて管理していると思いますし、セッション情報などを指定して引き回すstateパラメータも紐付け、確認できるようにすれば検証は可能ですね。しかし、アクセストークンはリソースアクセスのためのものですし、現行のOAuth 2.0のアクセストークンの仕様ではそうなっておりません。OpenID Connectで提案されたID Tokenはアクセストークンと別に認証イベントの情報取得のためのトークンとして定義されており、OAuth 2.0の仕様に影響を与えないように考慮しています。また、stateパラメータと同じような意味合いのnonceパラメータを含むことでリプレイアタックも防げるというような仕様となっています。

Re: 単なる OAuth 2.0 を認証に使うと、車が通れるほどのどでかいセキュリティー・ホールができる

murakami shingo — Fri, 03 Feb 2012 08:41:20 -0000

ありがとうございます。implicitで払い出されたaccess tokenが例えば払い出し先のログインセッション情報(cookieとか)と結びつけられてAuthZ/Rscサーバがそれをもとにチェックできればまだ防げるのでしょうが、そんなにうまくはいかないんでしょうね。

Re: 単なる OAuth 2.0 を認証に使うと、車が通れるほどのどでかいセキュリティー・ホールができる

Nov Matake — Thu, 02 Feb 2012 23:53:26 -0000

Siteってかかれると混乱するかもですね。図1では、code flowだろうがimplicit flowだろうが、攻撃者が運営するSite Aがaccess_tokenを取得できれば何でもいいです。なので、Site-AはiPhoneアプリかもしれないし、apps.facebook.com上のiframeアプリかもしれないし、NY TimesみたいにFB連携してる外部サイトかもしれないです。図2では、UAを攻撃者が持ってるJailbreak済のiPhone、Site-BがZy○gaの新作iPhoneゲームだと思うと、考えやすいかもしれません。ここではSite-Aのスクリプトは特に必要ありません。

Re: 単なる OAuth 2.0 を認証に使うと、車が通れるほどのどでかいセキュリティー・ホールができる

murakami shingo — Thu, 02 Feb 2012 22:51:12 -0000

図１はimplicit flowの通常のflowようですが、implicit flowではbrowserにoauth clientが存在するようなケースなので、もしsite-Aがサーバサイドを示すのであれば、site-Aにaccess_tokenを渡す図は少しcode flowと混乱してしまうかもしれません。そういう意味ではFB devのclient-side flowの'Your app'の書き方もややわかりにくい気がします。もちろんclient(site-Aのスクリプト）がサーバサイドにaccess_tokenをおくってしまうのは防ぎようがないですが。
図２によるとトークン置き換え攻撃はUA側でやっているようですが、Site-Aの悪意あるスクリプトはSite-BへのHTTP redirect responseを捕捉可能なのでしょうか？ブラウザのセキュリティがないことが前提なのでしょうか？
興味あるトピックなので質問させていただきました。全然ピント外れでしたらすいません。

Re: 「雪やこんこ」はドボルザーク作曲だったんだ…

Nat Sakimura — Sat, 21 Jan 2012 01:07:08 -0000

...

Re: 「雪やこんこ」はドボルザーク作曲だったんだ…

Nat Sakimura — Fri, 20 Jan 2012 12:23:23 -0000

滝廉太郎の雪やこんこんは別の曲です。明治３４年(1901年)７月出版「幼稚園唱歌」の１８曲目。こちらは、「雪やこんこん」で始まります。Wikipedia も直しておきました。混同される方が意外といるみたいだから、これも別記事にしておきましょうかね。

Re: 「雪やこんこ」はドボルザーク作曲だったんだ…

Hideyukiax — Fri, 20 Jan 2012 08:15:17 -0000

ほほぉ。滝廉太郎がオリジナルとして1900年に作詞作曲したとなっているが、どちらが正しいんだろうか。

Re: Contact

Sami Tikkala — Thu, 20 Oct 2011 03:34:03 -0000

Hi Nat - trying to reach you through this form, CAPTCHA not working properly... ("Could not read CAPTCHA token file. Try again.")

Would you be available for meeting / coffee / tea / lunch in Tokyo next week?

Br,
Sami Tikkala / NorthID Finland
sami.tikkala@northid.com

Re: 「雪やこんこ」はドボルザーク作曲だったんだ…

浩明乾 — Wed, 27 Jul 2011 05:15:15 -0000

勉強になりました。

Re: 幸福の国「ニポン」の寓話

Hiroaki Inui — Wed, 13 Jul 2011 16:54:01 -0000

うむ。考えさせられます。JALの入社式の写真に説得された。

Re: 幸福の国「ニポン」の寓話

Nat Sakimura — Sun, 10 Jul 2011 03:15:45 -0000

ちなみに、北朝鮮の幸福度指数が 98/100 という話は→ http://www.yukawanet.com/archi...

Re: 非技術者のためのOAuth認証(?)とOpenIDの違い入門

bluemooninc — Wed, 18 May 2011 14:41:23 -0000

解りやすい解説、有り難うございます！

Re: 非技術者のためのOAuth認証(?)とOpenIDの違い入門

Nat Sakimura — Wed, 18 May 2011 14:02:55 -0000

よく読んでいただければおわかりになると思いますが、この文書の目的は、認証と認可の違いをきちんと認識してもらうことにあります。そのことを明確に感じることができるように、Twitter のOAuth認証の例を出して、安易に認可を認証の代わりに使うとまずいことを実感してもらっています。その上で、認可のフレームワークを認証に使うならば、Scopeをまずはよく考えるべき（現在はあまりに広く権限を与えすぎる傾向にある）、さらにそのScopeは標準化されるべきであろうと言っています。また、認証として使うのにはそれだけでは実は十分でなく、いわゆる認証コンテキストも必要になってきます。これの表現も標準化しないと、非常に不便なことになります。また、分散系として機能するためには、標準化された識別子体系とAccess Tokenのsyntaxも必要になります。OpenID ConnectはこれらをOAuthのExtensionとして実現するためのものです。

上記のとおり、OpenID Connect はOAuth 2.0のExtensionです。OAuthに対するFUDを行うインセンティブはありません。自分の足を撃つことになりますから。

立場的な話で言えば、私はOpenID Foundation の Chairですが、同時にOAuth2.0のContributorのひとりです。OAuth 2.0の著者のEranもDickもDavidもよく知っていますし（←EranはXRD1.0を一緒につくりました。Dick, DavidはOpenID Foundationで一緒です)、OAuth 2.0 Bearer Token の著者のMike (JWT, Connectを一緒に書いています）もよく知っています。その意味からもOAuthを貶める意味はありません。

安易にOAuthを認証に使うべからずというのは、しかしFUDでも何でもなく事実であろうかと思います。ちゃんとそのあたりをしていかないと、そのうちOAuth自体にダメプロトコルの烙印が押されてしまいます。それは避けなければなりません。

Re: 非技術者のためのOAuth認証(?)とOpenIDの違い入門

fast — Tue, 17 May 2011 20:45:12 -0000

Twitter の OAuth が権限をこまかくあたえられないのは、Twitter の問題であって、OAuth の問題ではありませんよね?

一般的な OAuth サーバーは、権限をこまかくあたえられるようになっているのが普通かとおもいます。たえば facebook, mixi などはそうなっています。基礎的なプロフィールの閲覧のみをおこなえるように権限を付与することが可能ですよね? その場合、認証がわりにつかっても問題はないのではないでしょうか。
とくに Nat さんは OpenID Foundation の理事長という肩書をおもちなので、この記事は、OpenID Connect を宣伝するために、OAuth にたいする FUD をおこなっているようにみえますが、この点についてはどのようにおかんがえでしょうか。

Re: 非技術者のためのOAuth認証(?)とOpenIDの違い入門

takuice — Mon, 16 May 2011 03:18:22 -0000

うぉぉ。非技術者なのでめちゃくちゃわかりやすかった。