みたいな画面が出るパターン。 観点1: 第三者のメールアドレス・電話番号の登録状況が確認できてしまう この仕様は、多くのサイトで実装されています。 が、二つの観点で注意が必要です。 「サービスに登録している」という事実が漏洩してしまう サービスの性質や法務的観点・ポリシーなど考慮しつつ判断が必要です リスト型攻撃の攻撃準備に悪用されてしまう 流出済みID/パスワードの組を利用する際、登録済みIDだけを抽出する作業に悪用されてしまいます セシールオンラインショップへの不正アクセス、二重登録防止機能を悪用しリストをスクリーニング(ディノス・セシール) 事例とともにすでに解説記事があったので引用します 「大手サイトもやっているじゃないか!」という意見もあるかと思いますが、認証機能への監視・リスト型対策・自動化対策が成熟していると思われるサービスの仕様を新規に作るサービスで真似するのは、難しい場合
See you at Oktane in Las Vegas on October 15-17, 2024. Read more about the activities planned with you mind here. JSON Web Tokens (JWTs) are so hot right now. They’re all the rage in web development: Trendy? ✓ Secure? ✓ Scalable? ✓ Compact? ✓ JSON? ✓ With all these amazing things going for JWTs, they seem like an unstoppable hype train headed straight for Stack Overflow fame and fortune! But… toda
こんばんは、ritouです。 最近はOpenID Connectばっかりなので、たまには現役のOpenID Auth 2.0の話をしましょう。 今日の内容は、「OpenIDでRPが必要な時にPW再確認をさせる方法」です。 Yahoo!(米)はGoogle/Facebookのアカウントを受け入れていますが、昔からアカウント情報の修正などの処理時には毎度PW再確認による本人確認を行ってきました。外部のOpenIDやアカウントを受け入れた状態で同じレベルの処理を行うために、RPからOPに強制的にPW再確認をしてもらうように要求できなければなりません。 では、それってどう実装するの?ってことで新しい仕様ではないのですが、動作確認を交えて紹介します。 PAPEという拡張のmax_auth_ageというパラメータを使えばいい 結論から行きます。 PAPE拡張を使います。 Final: OpenID P
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
