Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

安全なID連携のハウツー

3,507 views

Published on

第3回合同勉強会@UZABASE on Jun. 5, 2014

Published in: Internet

安全なID連携のハウツー

  1. 1. 安全なID連携のハウツー 2014/06/05   OpenIDファウンデーション・ジャパン   倉林林雅
  2. 2. 倉林林  雅(通称:  kura)   OpenID  ファウンデーション・ジャパン   エバンジェリスト   ヤフー株式会社  IDサービス  エンジニア   ID厨   @kura_̲lab
  3. 3. Armour on display in the War Gallery by Royal Armouries ID・パスワードの管理理   ⾼高コスト Armour  on  display  in  the  War  Gallery  by  Royal  Armouries
  4. 4. 認証はIdPに任せよう!
  5. 5. OAuth・OpenID
  6. 6. Covert  Redirect? Question  Mark  Block  by  Jared  Cherup
  7. 7. OAuth  2.0  Implicitフロー
  8. 8. Userʼ’s   Browser Source:    developers.facebook.com
  9. 9. Your  App Source:    developers.facebook.com
  10. 10. Facebook Source:    developers.facebook.com
  11. 11. アプリ表⽰示 Source:    developers.facebook.com
  12. 12. ダイアログ表⽰示 Source:    developers.facebook.com
  13. 13. access  token  取得 Source:    developers.facebook.com
  14. 14. APIリクエスト Source:    developers.facebook.com
  15. 15. Covert  Redirect 254/365:  X  marks  the  spot  by  Addison  Berry
  16. 16. Source:    developers.facebook.com
  17. 17. 悪意あるサーバ Source:    developers.facebook.com
  18. 18. Weak  Point Source:    developers.facebook.com
  19. 19. アプリ表⽰示 Source:    developers.facebook.com
  20. 20. ダイアログ表⽰示 Source:    developers.facebook.com
  21. 21. access  token  取得 Source:    developers.facebook.com
  22. 22. access  token漏漏洩 Source:    developers.facebook.com
  23. 23. GET /me User Info : Profile  API取得 Source:    developers.facebook.com
  24. 24. APIの悪⽤用   フィッシング
  25. 25. Covert  Redirect   OAuth/OpenIDの脆弱性?
  26. 26. オープンリダイレクタ の脆弱性 Marsmettnn  Tallahassee
  27. 27. オープンリダイレクタの脆弱性 Source:    developers.facebook.com
  28. 28. Covert  Redirect  対策
 (オープンリダイレクタ対策)   コールバックURLで外部サイトへ
 リダイレクトしないようにする (090/365)  January  22,  2010:  Can't  stop  the  music  by  Jason  Alley
  29. 29. ID界隈でのトレンド Web  Trend  Map  4  (Detail)  /  20090914.10D.53870.P1  /  SML  by  See-‐‑‒ming  Lee
  30. 30. OpenID  Connect
  31. 31. ♥ OpenID  Connect OAuth  2.0  +  Identity  Layer  
  32. 32. 2014.2.25   OpenID  Connect   仕様最終版へ!! Nate  and  Birthday  Cake  (2  of  5)  by  Chris  Pencis
  33. 33. ご清聴ありがとう   ございました

×