第3回合同勉強会@UZABASE on Jun. 5, 2014

1. 安全なID連携のハウツー
2014/06/05
OpenIDファウンデーション・ジャパン
倉林林雅

2. 倉林林 雅（通称: kura）
OpenID ファウンデーション・ジャパン
エバンジェリスト
ヤフー株式会社 IDサービス エンジニア
ID厨
@kura_̲lab

7. Armour on display in the War Gallery by Royal Armouries
ID・パスワードの管理理
⾼高コスト
Armour on display in the War Gallery by Royal Armouries

8. 認証はIdPに任せよう！

9. OAuth・OpenID

11. Covert Redirect?
Question Mark Block by Jared Cherup

12. OAuth 2.0 Implicitフロー

13. Userʼ’s
Browser
Source: developers.facebook.com

14. Your App
Source: developers.facebook.com

15. Facebook
Source: developers.facebook.com

16. アプリ表⽰示
Source: developers.facebook.com

17. ダイアログ表⽰示
Source: developers.facebook.com

18. access token 取得
Source: developers.facebook.com

19. APIリクエスト
Source: developers.facebook.com

20. Covert Redirect
254/365: X marks the spot by Addison Berry

21. Source: developers.facebook.com

22. 悪意あるサーバ
Source: developers.facebook.com

23. Weak Point
Source: developers.facebook.com

24. アプリ表⽰示
Source: developers.facebook.com

25. ダイアログ表⽰示
Source: developers.facebook.com

26. access token 取得
Source: developers.facebook.com

27. access token漏漏洩
Source: developers.facebook.com

28. GET /me
User Info
:
Profile API取得
Source: developers.facebook.com

29. APIの悪⽤用
フィッシング

30. Covert Redirect
OAuth/OpenIDの脆弱性？

31. オープンリダイレクタ
の脆弱性
Marsmettnn Tallahassee

32. オープンリダイレクタの脆弱性
Source: developers.facebook.com

33. Covert Redirect 対策
（オープンリダイレクタ対策）
コールバックURLで外部サイトへ
リダイレクトしないようにする
(090/365) January 22, 2010: Can't stop the music by Jason Alley

34. ID界隈でのトレンド
Web Trend Map 4 (Detail) / 20090914.10D.53870.P1 / SML by See-‐‑‒ming Lee

35. OpenID Connect

36. ♥
OpenID Connect
OAuth 2.0 + Identity Layer

37. 2014.2.25
OpenID Connect
仕様最終版へ!!
Nate and Birthday Cake (2 of 5) by Chris Pencis

39. ご清聴ありがとう
ございました