Toru Yamaguchi, profile picture
Uploaded byToru Yamaguchi
PPT, PDF2,059 views

Mobile Openid

日本の携帯向けOpenIDの考察

Embed presentation

Downloaded 47 times
Considering OpenID for Mobile (jp) Toru Yamaguchi id:ZIGOROu <zigorou@cpan.org>
アジェンダ Mobile OpenID を考える 日本の特殊なモバイル事情を考慮して、Mobile での OpenID が実現可能かどうかを探ってみます その際にプロトコルを弄る必要があるかどうかも考えてみます またモバイルの特徴をユーザビリティなどに活かせないかも考えてみます
Mobile OpenID の前に Mobile OpenID を考える前に携帯の制約と特徴について考える 技術的な制約 URL の最大長問題 Cookie サポート IP アドレス帯制約+個体識別番号 デバイスとしての制約 さすがに URL の手打ちとか無いよね?w ID/PW を入れるのもめんどくさそう
URL の最大長問題 (1) DoCoMo 「全機種共通の画面を作成する場合の目安・基準」より http://www.nttdocomo.co.jp/service/imode/make/content/html/notice/standard/ URL エンコード後の文字長は最大 512 バイト au 「オープンアプリ (Java) 」より http://www.au.kddi.com/ezfactory/tec/spec/openappli.html 最大 256 バイトの文字列で ascii のみ オープンアプリ (Java) の制約なのでこの情報は不確かかも。 Softbank 「 WEB & NETWORK 技術資料・開発ツール」の「 HTML 編 - 2.5.8 URI の制限」より http://creation.mb.softbank.jp/doc_tool/web_doc_tool.html 概ね 1024 byte つまり 256 バイト以下を想定しておく必要がありそう 意外と少ない、、、大丈夫? au はソース元が Java の話なので良くても 512 byte を想定すべき
URL の最大長問題 (2) 実際に試してみる pibb に myopenid で実験 (using SREG) checkid_setup -> 567 byte id_res -> 921 byte checkid_immediate -> 430 byte Mobile OpenID 終了のお知らせ 本当にありがとうございました
URL の最大長問題 (3) 安西先生曰く 諦めたらそこで試合終了ですよ と言う訳でもう少し頑張る 冷静に考えよう UA を介した Indirect Communication は checkid_setup/checkid_immediate, id_res/setup_needed/cancel のみ checkid_* は認証要求 つまりこの部分は GET or POST が可能 POST にすれば URL にパラメータを含める必要がなくなる id_res/setup_needed/cancel は HTTP リダイレクトで来る認証応答 GET でしか受け取れない クマッター><
URL の最大長問題 (4) POST 時の Content-Body の制約 http://mobilehacker.g.hatena.ne.jp/ziguzagu/20070919/1190169316 id:ziguzagu++ ミニマムは DoCoMo PDC の 5KB なので余裕 Indirect Communication 時のレスポンスのみ未解決 id_res で必須になってるパラメータが多い もうだめか?
URL の最大長問題 (5) id_res の内訳 (key + val のバイト数 ) openid.response_nonce : 47 openid.ns.sreg : 51 openid.mode : 17 openid.sreg.nickname : 27 openid.sreg.email : 42 openid.claimed_id : 45 openid.assoc_handle : 50 token_url : 42 openid.ns : 41 openid.signed : 130 openid.sig : 38 openid.op_endpoint : 48 openid.identity : 43 openid.return_to : 107 URL, QUERY_STRING URL : 194 (? も含めて ) QUERY_STRING : 728
URL の最大長問題 (6) id_res ってそもそも 認証結果をクエリパラメータに付与して return_to URL にリダイレクトしてくること 認証結果はどうだった? (openid.mode=id_res) プロトコルバージョン (openid.ns) このアサーションセッションに対する OP が発行する一意な値 (openid.response_nonce) アソシエーションで使われた署名方式 (openid.assoc_handle) 署名したキー (openid.signed) 署名 (openid.sig) それ以外は署名検証に必要なだけでそんな重要じゃない? 何が重要なのか
URL の最大長問題 (7) アサーションの検証を再考 OpenID Authentication 2.0 の 11. Verifying Assertion を今一度確認 return_to URL が一致するか ディスカバリしたデータと一致するか 重複した response_nonce でないか 署名が一致するか 最初の二つはわりとなくてもいいのではないか 本質的な目的は何か Indirect Communication によるメッセージ通信を鵜呑みに出来ないから検証するのが目的 署名と nonce の確認だけ出来れば良いんじゃないか 署名検証は check_authentication をそもそも拡張すればどうにかなる?
URL の最大長問題 (8) と言う訳で mode, signed, sig, response_nonce に URL を加えてみる 468 byte になる! しかも良く考えたら OP 丸投げならば reponse_nonce と op_endpoint だけあれば良さそう 289 byte になる 結論 id_res を極力ミニマムにして、 response_nonce をキーにして Direct Communication で OP に問い合わせる枠組みがあればいい ( んじゃないか? ) identity, claimed_id などのパラメータは OP への Direct Communication のレスポンスで受け取ればいいんじゃないか
Cookie のサポート Cookie と携帯 DoCoMo はそもそも Cookie 使えない au は secure 属性のあるなしで SSL/ 非 SSL で使い分けられるが、 secure 属性なしの Cookie の取り扱いに罠がある Softbank は SSL 領域での Cookie に対して非 SSL からアクセス出来ない (secure 属性ありのような動作 ) と言う訳で余り使えない技術 orz…
IP アドレス帯制約 + 個体識別番号 (1) 携帯ウェブセキュリティ神話 提示されている IP アドレス帯以外からのアクセスはないはず 但し提示方法が http だったりするのに関しては今は考えない^^; 個体識別番号は全サイトに対して提供しているような状況 IP アドレス制約に加えると一意に特定の端末を認識出来るはず
IP アドレス帯制約 + 個体識別番号 (2) 使う値について 出来れば携帯端末ごとに割り振られる値より契約毎に割り振られる値が望ましい i モード ID EZ 番号 x-jphone-uid Cookie 等で session_id を管理する変わりに用いる事が出来る また一般的には簡易ログインの判断基準となる checkid_setup/checkid_immediate の際に OP 上でのログイン処理を簡略化できる
Mobile OpenID の世界 どんな世界が広がるか PC の世界と携帯の世界が一つの Identity で繋がる つなげられそうなこと PC サイトの方が当たり前のように便利だが、モバイルの方が便利なものにつなげたい 持ち運びたいプライベートな情報をシームレスに携帯に あるいは決済だけモバイルで出来る枠組みだったり
まとめ 問題になること URL の最大長問題 そもそも URL を短くする必要あり それでもはみ出る可能性があるのでプロトコルに手を加えないと出来ない Auth 2.1 での =nat さんに期待w 個体識別番号 +IP 利便性を上げることが出来そうだが、 IP 帯の更新は絶対に忘れないこと と言う訳で モバイルでの OpenID は来年辺りに活発に議論したいななんて思ってたりします!

More Related Content

PDF
ビットコインアドレス生成のロジック
byTomohide Murata
 
PDF
情報セキュリティCAS 第四十三回放送用スライド
byKumasan, LLC.
 
PDF
Internship at PFI
byguest9a7519
 
PDF
古今東西 XML署名フォーマット
byNaoto Miyachi
 
PPTX
【ビットコインとか勉強会#1】トランザクションを読み解く
byTomohide Murata
 
PPTX
Wi-Fi電球ハッキング-バックドア経由での操作-
by黒 林檎
 
PPTX
SPED EFMP presentation
byFFSP WFL
 
PDF
PDSを実現するにあたっての技術動向の紹介 (OAuth, OpenID Connect, UMAなど)
byTatsuo Kudo
 
ビットコインアドレス生成のロジック
byTomohide Murata
 
情報セキュリティCAS 第四十三回放送用スライド
byKumasan, LLC.
 
Internship at PFI
byguest9a7519
 
古今東西 XML署名フォーマット
byNaoto Miyachi
 
【ビットコインとか勉強会#1】トランザクションを読み解く
byTomohide Murata
 
Wi-Fi電球ハッキング-バックドア経由での操作-
by黒 林檎
 
SPED EFMP presentation
byFFSP WFL
 
PDSを実現するにあたっての技術動向の紹介 (OAuth, OpenID Connect, UMAなど)
byTatsuo Kudo
 

Similar to Mobile Openid

PDF
OpenID Connect - Nat Sakimura at OpenID TechNight #7
byOpenID Foundation Japan
 
PDF
これからのネイティブアプリにおけるOpenID Connectの活用
byMasaru Kurahayashi
 
PDF
俺が考えた最強のID連携デザインパターン
byMasaru Kurahayashi
 
PDF
OpenID Connect, December 2011
byTatsuo Kudo
 
PDF
091009 Identity Conference #6 ritou
byRyo Ito
 
PDF
[Tech night]rakuten
bynkoshikawa
 
PDF
アイデンティティ2.0とOAuth/OpenID Connect
byShinichi Tomita
 
PDF
#idcon 15th ritou 2factor auth
byRyo Ito
 
PPT
OSS開発勉強会
byKohei KaiGai
 
PDF
エンタープライズIT環境での OpenID Connect / SCIM の具体的実装方法 idit2014
byTakashi Yahata
 
PDF
FAPI and Beyond: From an specification author's point of view #fapisum - Japa...
byFinTechLabs.io
 
PDF
なぜOpenID Connectが必要となったのか、その歴史的背景
byTatsuo Kudo
 
PPTX
FAPI and beyond - よりよいセキュリティのために
byNat Sakimura
 
PDF
電子政府のアクセシビリティ~国民ID制度の重要視点として~
byTatsuya (達也) Katsuhara (勝原)
 
PPTX
既存RailsアプリをSSO化して、本番環境で活用した話【WESEEK Tech Conf #12】
byWESEEKWESEEK
 
PDF
金融 API 時代のセキュリティ: OpenID Financial API (FAPI) WG
byNat Sakimura
 
PDF
Spring Social でソーシャルログインを実装する
byRakuten Group, Inc.
 
PDF
ID Management
byKohei MATSUOKA
 
PDF
API提供におけるOAuthの役割 #apijp
byTatsuo Kudo
 
PDF
へろくしーの挫折
byYuichiro Ebihara
 
OpenID Connect - Nat Sakimura at OpenID TechNight #7
byOpenID Foundation Japan
 
これからのネイティブアプリにおけるOpenID Connectの活用
byMasaru Kurahayashi
 
俺が考えた最強のID連携デザインパターン
byMasaru Kurahayashi
 
OpenID Connect, December 2011
byTatsuo Kudo
 
091009 Identity Conference #6 ritou
byRyo Ito
 
[Tech night]rakuten
bynkoshikawa
 
アイデンティティ2.0とOAuth/OpenID Connect
byShinichi Tomita
 
#idcon 15th ritou 2factor auth
byRyo Ito
 
OSS開発勉強会
byKohei KaiGai
 
エンタープライズIT環境での OpenID Connect / SCIM の具体的実装方法 idit2014
byTakashi Yahata
 
FAPI and Beyond: From an specification author's point of view #fapisum - Japa...
byFinTechLabs.io
 
なぜOpenID Connectが必要となったのか、その歴史的背景
byTatsuo Kudo
 
FAPI and beyond - よりよいセキュリティのために
byNat Sakimura
 
電子政府のアクセシビリティ~国民ID制度の重要視点として~
byTatsuya (達也) Katsuhara (勝原)
 
既存RailsアプリをSSO化して、本番環境で活用した話【WESEEK Tech Conf #12】
byWESEEKWESEEK
 
金融 API 時代のセキュリティ: OpenID Financial API (FAPI) WG
byNat Sakimura
 
Spring Social でソーシャルログインを実装する
byRakuten Group, Inc.
 
ID Management
byKohei MATSUOKA
 
API提供におけるOAuthの役割 #apijp
byTatsuo Kudo
 
へろくしーの挫折
byYuichiro Ebihara
 

More from Toru Yamaguchi

PDF
これからの Microservices
byToru Yamaguchi
 
PDF
OAuth 2.0 Web Messaging Response Mode - OpenID Summit Tokyo 2015
byToru Yamaguchi
 
PDF
Mobage Connect と Identity 関連技術への取り組み - OpenID Summit Tokyo 2015
byToru Yamaguchi
 
PPTX
革新的ブラウザゲームを支えるプラットフォーム技術
byToru Yamaguchi
 
PPTX
技術選択とアーキテクトの役割 (要約版)
byToru Yamaguchi
 
PPTX
技術選択とアーキテクトの役割
byToru Yamaguchi
 
PDF
How to bake delicious cookie (RESTful Meetup #03)
byToru Yamaguchi
 
KEY
JSON Based Web Services
byToru Yamaguchi
 
PDF
Yapc asia 2011_zigorou
byToru Yamaguchi
 
PPTX
ngCore engine for mobage platform
byToru Yamaguchi
 
PPT
Inside mobage platform
byToru Yamaguchi
 
PDF
mbga Open Platform and Perl
byToru Yamaguchi
 
PDF
Inside mbga Open Platform API architecture
byToru Yamaguchi
 
PDF
Introduction OpenID Authentication 2.0 Revival
byToru Yamaguchi
 
PDF
OpenID Mobile Profile
byToru Yamaguchi
 
PDF
Introduction OpenID Authentication 2.0
byToru Yamaguchi
 
PDF
OpenID 2009
byToru Yamaguchi
 
PPT
Client Side Cache
byToru Yamaguchi
 
PDF
The Security of OpenID Authentication 2.0
byToru Yamaguchi
 
PPT
Customization of DBIC::Schema::Loader
byToru Yamaguchi
 
これからの Microservices
byToru Yamaguchi
 
OAuth 2.0 Web Messaging Response Mode - OpenID Summit Tokyo 2015
byToru Yamaguchi
 
Mobage Connect と Identity 関連技術への取り組み - OpenID Summit Tokyo 2015
byToru Yamaguchi
 
革新的ブラウザゲームを支えるプラットフォーム技術
byToru Yamaguchi
 
技術選択とアーキテクトの役割 (要約版)
byToru Yamaguchi
 
技術選択とアーキテクトの役割
byToru Yamaguchi
 
How to bake delicious cookie (RESTful Meetup #03)
byToru Yamaguchi
 
JSON Based Web Services
byToru Yamaguchi
 
Yapc asia 2011_zigorou
byToru Yamaguchi
 
ngCore engine for mobage platform
byToru Yamaguchi
 
Inside mobage platform
byToru Yamaguchi
 
mbga Open Platform and Perl
byToru Yamaguchi
 
Inside mbga Open Platform API architecture
byToru Yamaguchi
 
Introduction OpenID Authentication 2.0 Revival
byToru Yamaguchi
 
OpenID Mobile Profile
byToru Yamaguchi
 
Introduction OpenID Authentication 2.0
byToru Yamaguchi
 
OpenID 2009
byToru Yamaguchi
 
Client Side Cache
byToru Yamaguchi
 
The Security of OpenID Authentication 2.0
byToru Yamaguchi
 
Customization of DBIC::Schema::Loader
byToru Yamaguchi
 

Mobile Openid

  • 1.
    Considering OpenIDfor Mobile (jp) Toru Yamaguchi id:ZIGOROu <zigorou@cpan.org>
  • 2.
    アジェンダ Mobile OpenIDを考える 日本の特殊なモバイル事情を考慮して、Mobile での OpenID が実現可能かどうかを探ってみます その際にプロトコルを弄る必要があるかどうかも考えてみます またモバイルの特徴をユーザビリティなどに活かせないかも考えてみます
  • 3.
    Mobile OpenID の前にMobile OpenID を考える前に携帯の制約と特徴について考える 技術的な制約 URL の最大長問題 Cookie サポート IP アドレス帯制約+個体識別番号 デバイスとしての制約 さすがに URL の手打ちとか無いよね?w ID/PW を入れるのもめんどくさそう
  • 4.
    URL の最大長問題 (1)DoCoMo 「全機種共通の画面を作成する場合の目安・基準」より http://www.nttdocomo.co.jp/service/imode/make/content/html/notice/standard/ URL エンコード後の文字長は最大 512 バイト au 「オープンアプリ (Java) 」より http://www.au.kddi.com/ezfactory/tec/spec/openappli.html 最大 256 バイトの文字列で ascii のみ オープンアプリ (Java) の制約なのでこの情報は不確かかも。 Softbank 「 WEB & NETWORK 技術資料・開発ツール」の「 HTML 編 - 2.5.8 URI の制限」より http://creation.mb.softbank.jp/doc_tool/web_doc_tool.html 概ね 1024 byte つまり 256 バイト以下を想定しておく必要がありそう 意外と少ない、、、大丈夫? au はソース元が Java の話なので良くても 512 byte を想定すべき
  • 5.
    URL の最大長問題 (2)実際に試してみる pibb に myopenid で実験 (using SREG) checkid_setup -> 567 byte id_res -> 921 byte checkid_immediate -> 430 byte Mobile OpenID 終了のお知らせ 本当にありがとうございました
  • 6.
    URL の最大長問題 (3)安西先生曰く 諦めたらそこで試合終了ですよ と言う訳でもう少し頑張る 冷静に考えよう UA を介した Indirect Communication は checkid_setup/checkid_immediate, id_res/setup_needed/cancel のみ checkid_* は認証要求 つまりこの部分は GET or POST が可能 POST にすれば URL にパラメータを含める必要がなくなる id_res/setup_needed/cancel は HTTP リダイレクトで来る認証応答 GET でしか受け取れない クマッター><
  • 7.
    URL の最大長問題 (4)POST 時の Content-Body の制約 http://mobilehacker.g.hatena.ne.jp/ziguzagu/20070919/1190169316 id:ziguzagu++ ミニマムは DoCoMo PDC の 5KB なので余裕 Indirect Communication 時のレスポンスのみ未解決 id_res で必須になってるパラメータが多い もうだめか?
  • 8.
    URL の最大長問題 (5)id_res の内訳 (key + val のバイト数 ) openid.response_nonce : 47 openid.ns.sreg : 51 openid.mode : 17 openid.sreg.nickname : 27 openid.sreg.email : 42 openid.claimed_id : 45 openid.assoc_handle : 50 token_url : 42 openid.ns : 41 openid.signed : 130 openid.sig : 38 openid.op_endpoint : 48 openid.identity : 43 openid.return_to : 107 URL, QUERY_STRING URL : 194 (? も含めて ) QUERY_STRING : 728
  • 9.
    URL の最大長問題 (6)id_res ってそもそも 認証結果をクエリパラメータに付与して return_to URL にリダイレクトしてくること 認証結果はどうだった? (openid.mode=id_res) プロトコルバージョン (openid.ns) このアサーションセッションに対する OP が発行する一意な値 (openid.response_nonce) アソシエーションで使われた署名方式 (openid.assoc_handle) 署名したキー (openid.signed) 署名 (openid.sig) それ以外は署名検証に必要なだけでそんな重要じゃない? 何が重要なのか
  • 10.
    URL の最大長問題 (7)アサーションの検証を再考 OpenID Authentication 2.0 の 11. Verifying Assertion を今一度確認 return_to URL が一致するか ディスカバリしたデータと一致するか 重複した response_nonce でないか 署名が一致するか 最初の二つはわりとなくてもいいのではないか 本質的な目的は何か Indirect Communication によるメッセージ通信を鵜呑みに出来ないから検証するのが目的 署名と nonce の確認だけ出来れば良いんじゃないか 署名検証は check_authentication をそもそも拡張すればどうにかなる?
  • 11.
    URL の最大長問題 (8)と言う訳で mode, signed, sig, response_nonce に URL を加えてみる 468 byte になる! しかも良く考えたら OP 丸投げならば reponse_nonce と op_endpoint だけあれば良さそう 289 byte になる 結論 id_res を極力ミニマムにして、 response_nonce をキーにして Direct Communication で OP に問い合わせる枠組みがあればいい ( んじゃないか? ) identity, claimed_id などのパラメータは OP への Direct Communication のレスポンスで受け取ればいいんじゃないか
  • 12.
    Cookie のサポート Cookie と携帯 DoCoMo はそもそも Cookie 使えない au は secure 属性のあるなしで SSL/ 非 SSL で使い分けられるが、 secure 属性なしの Cookie の取り扱いに罠がある Softbank は SSL 領域での Cookie に対して非 SSL からアクセス出来ない (secure 属性ありのような動作 ) と言う訳で余り使えない技術 orz…
  • 13.
    IP アドレス帯制約 +個体識別番号 (1) 携帯ウェブセキュリティ神話 提示されている IP アドレス帯以外からのアクセスはないはず 但し提示方法が http だったりするのに関しては今は考えない^^; 個体識別番号は全サイトに対して提供しているような状況 IP アドレス制約に加えると一意に特定の端末を認識出来るはず
  • 14.
    IP アドレス帯制約 +個体識別番号 (2) 使う値について 出来れば携帯端末ごとに割り振られる値より契約毎に割り振られる値が望ましい i モード ID EZ 番号 x-jphone-uid Cookie 等で session_id を管理する変わりに用いる事が出来る また一般的には簡易ログインの判断基準となる checkid_setup/checkid_immediate の際に OP 上でのログイン処理を簡略化できる
  • 15.
    Mobile OpenID の世界どんな世界が広がるか PC の世界と携帯の世界が一つの Identity で繋がる つなげられそうなこと PC サイトの方が当たり前のように便利だが、モバイルの方が便利なものにつなげたい 持ち運びたいプライベートな情報をシームレスに携帯に あるいは決済だけモバイルで出来る枠組みだったり
  • 16.
    まとめ 問題になること URL の最大長問題 そもそも URL を短くする必要あり それでもはみ出る可能性があるのでプロトコルに手を加えないと出来ない Auth 2.1 での =nat さんに期待w 個体識別番号 +IP 利便性を上げることが出来そうだが、 IP 帯の更新は絶対に忘れないこと と言う訳で モバイルでの OpenID は来年辺りに活発に議論したいななんて思ってたりします!