ワンストップ認証【OpenID,SAML,Live ID, BBAuth】
■ このスレッドは過去ログ倉庫に格納されています
>>32
OpenID.ne.jpはやめといた方がいい・・・
登録内容まる見えだわバグ放置だわでやる気があるのか分からん
あとメールが返ってこないのもそうだが
公式フォーラムでの反応もなくなったようだしサイトだけ作って放置してるんでは? openid.ne.jpの問題点
登録できないバグがある
運良く登録できたら情報が丸見え
SSLに対応してない
それなのに重い
こういった不具合情報を公式に書いていない
サポートフォーラムは開店休業状態
ここまで酷いのに検索順位は高い
etc..
何かの罠かこれは… サポートにメールしたが返事なし。
海外サイトはどうなんだろ? >>35
はてなかライブドアでOpenIDを作った方が無難かと。 サポートからメール来て登録しましたすみませんって言ってた 本質的な問題として、
OpenID方式は、認証プロバイダの信用を保証できないのかな
認証ではないけど、SSLなどは認証局の存在があるから、
それほどおかしなことはできないけど(VeriSignは一時問題になったけど)、
OpenID方式は全て自前でホスティングできるから、
認証プロバイダが例えばスパマーや反社会的企業だったら酷いことになる
第三者によるレイティングがあると参考にはできるかもしれない そういうこともあってか、はてなや他のRPもホワイトリストな流れになってると思う はてさて、IDは増えたけどどういう使い方がされるやら OpenID対応の各ウェブサービスで同じIDがあれば同一人物である可能性が高いということ?確実に同一人物?
ログインIDと各サービスでの表示ID(ニックネームなど)は別物?各サービスによる? まあ他サイトの良いユーザは歓迎するけど、悪いユーザは今まで通り排除でいいかと。
で、自分のサイトにOpenIDのユーザを受け入れるにはどうすれば良いのかな?
誤解があったらごめんなさい。
>>44
>OpenID対応の各ウェブサービスで同じIDがあれば同一人物である可能性が高いということ?確実に同一人物?
そのサービスが認証されたURLを表示してくれたら同一人物かどうか確認できるけど、そのURLが正しいものとも限りません。
>ログインIDと各サービスでの表示ID(ニックネームなど)は別物?各サービスによる?
表示IDは各サービスによる。livejournalとかはログインIDで表示されるっぽいですね。
OpenIDのURLを表示するところもあるけど、OpenIDはあくまで認証がメインなので・・・
少しずれて、
ClaimedIdentifierとかなんとかがわかれば、なんとか説明できそうだけど、よくわかってないです
誰か説明してくれませんかのう
>>45
openidenabledってとこでライブラリが紹介されてるので、そこで適当なものを見つけて実装すればよいかと
認証サーバ側はいっぱいあるけど「OpenIDだけでログインできるサイト」ってのがぜんぜんねぇよ。 いや、パイが大きくなるというのも必要な条件だから
Yahoo!ユーザの登録障壁が無くなれば、サービス提供側にとっても魅力的
後は、Googleあたりが対応してくれれば、対応サービスも増えるんじゃない?
最悪なのは、ユーザが増えない->サービスも増えないの悪循環
Bloggerが対応してるんだけど、そっちはいまいち広まりそうにない OpenIDだけでログインできるサイトって簡単に作れる訳じゃないしねえ。 >>51
ログインだけなら簡単に作れますけど?
OpenIDのURLが認証可能かどうかチェックするだけ。 結局なんだかんだ言ってホワイトリスト作る羽目になるんでしょ
意味ねええええ Yahooってどうやったらopenidでログオンできるの? YahooはOpenIDのサーバ側(ていう表現でいいのか?)になるだけでログインできるわけじゃない。
結局、会員登録フォームの入力簡便化にしかならんなー。 OpenID勉強中のものですが。
OpenIDのSREとかAXとかでEnd Userのメアドとか取れるってゆうけどさ、
例えば掲示板ConsumerがEnd Userに「お前の板書き込みあったぞ」って
メアドに通知することってできるの?
PushするにはConsumerが恒常的にEnd Userのメアド抱えることになるよね?
教えてエロイヒト 受け取った属性値を恒常的に抱えてはならない、っていう仕様は普通になさそうだけど・・・ ChoixはブログのURLなども使えるdelegate仕様でのログインはできないのか?
http://www.choix.jp/ >>60で認証してみた。これって認証元と認証先が個別に信頼関係きづかないといけないわけ >62
そんなことない。
だれとでも連携できる。
それはそれでやばいので、ホワイトリスト方式のところもある。
だけどそもそも通信相手を正確に識別する方法がない(せいぜいURLのチェックくらい)ので、
お金がからむサービスには使いにくい。 LDAPとかみたいな統合認証と間違えてるヤツが多いのかな?
単にあっちこっちのコミュニティサイトにぜんぶ登録して回らなくても、
同じID、同じユーザ情報で書き込みが出来る程度の目的しかないはずだが。 >>65
何も勘違いしてないし、ロクな指摘出来ないなら出てくんな。 八重山毎日新聞がOpenIDに対応した。
離島の地方紙だと言ってあなどれない。 認証情報を自分のところに置かなくてすむから
サイト管理者にとっては管理者にとってはありがたいよな。
あくまでアカウントの有効性の確認だけであって、
本人性の確認はOpenIDとは別の問題だけど。
でも、「認証情報はOpenID対応サイトに保存されない
から安全」ということをどうやってユーザに理解して
もらうかが難しいよな。俺の周りでも非技術系の人は
「Yahoo!とかのパスワードが知られちゃうんでしょ?」
って課違いしている人もいるし。 実際のところ個人が識別できるってだけでサービスできるサービスって相当限られてるだろ。
本音は名前やらメアドやらほしいのに。 >>70
そういうオプションも OpenID 仕様の中にあったっけ? ホワイトリスト、超メンドイ。
自分がメインで使ってるところが駄目だったら、
いくつもOpenIDもつことになっちまう。 OpenID登録した後にメールアドレス変えたから
変更しようと思ったら入力フォーム自体ない
なんだこれ >>74
そのOpenIDサーバが糞なだけでしょ...
どこにID置くのかぐらい考えようよ
で思ったけど、どこがおすすめ?
やっぱ大手は安心でYahoo? つまりアレか、一番そのまんまなサイトのくせに
一番クズなわけか OpenID.ne.jp は明らかにヤル気ないだろw Yahoo IDをOpenIDとして使用した場合、
Yahooのカレンダーやヤフオク履歴などを
トレースされる可能性はありますか?
トレースされる可能性は事実上ないでしょうね。
Yahooは各々のOpenIDがYahoo!IDと結びつかないようになっています。 Yahoo!って一人に複数のOpenIDが発行されるの?
OpenIDがからYahoo!IDはばれるよね? 乱数を使ってるとか、完璧な一方向ハッシュを使ってるとか、
ちゃんとアルゴリズムを開示してくれないと、
ごにょごにょしたらばれましたってならないか不安だよな アルゴリズム開示したほうがばれやすくなりそうなのは気のせいだろうか 本にはそう書いていたけど、時間がかせぎって大切だと思う。 >>91
簡単でいいので説明してくれるとありがたいです。
>>92-93
? >>94
誤解を恐れずにいえば、アルゴリズムを秘密にすることで保たれるセキュリティなんて
凄腕ハッカーにかかればすぐに解明されちゃうYOってことかな。
>>95
ありがとうございます。
時間稼ぎにもならないんですね・・・納得できました。 ただ、OpenIDってお客集客に必死な
企業ばっかりだってね。
これじゃ技術自体意味ないwwwwww >>37
Verisignがやってる。開発段階だけど。
ちょっと気になることを
http://www.atmarkit.co.jp/fsecurity/rensai/openid04/openid02.html
>Googleで「"Identity Page for" site:*.myopenid.com」を検索
今は結果として出てこないよ。
だけどね。別のところでやってみ。百度とか百度とか百度とか。 yahooに関していえばこの問題は(たぶん)ないよね openid.netとopenid.ne.jpはUNICEFと日本ユニセフのような関係。 ユニセフ駐日事務所(国連ユニセフ親善大使:黒柳哲子)(国連機関)と
日本ユニセフ協会(日本ユニセフ協会大使:アグネス・チャン)(ユニセフと協定を結んで寄付を集めてピンハネする団体)
くらいの違いじゃないか? SREG、もしくはAXに対応した日本のRPを教えてほしい…。
これに対応してないと、OpenIDを使うメリットが感じられないんだが。
とりあえず、mixi会員限定サービスとかしてみたら、そこそこ好評だったよ 今気づいたんだが、sf.jpってOpenIDでログインできるんだな OpenIDのログインページ、SSLじゃないんだけど >>110
俺もあとでそれに気づいたクチ。
ほとんどのゲームで否定的なRMTサイトを運営している辺り
既にあまりまともじゃないと思う……。
でも登録解除自体がフォームではなく面倒だよな。
Yahoo!オークションの入札時もパスワードがいるんだけどSSLじゃない。 ちゃんと設置したsslは安全でしょ
送ったデータの漏洩を担保するには不十分だけど SSLがもう安全じゃないって、この話?
MD5コリジョンでインチキ認証局は作れる(ネットにとっては悪い報せ)
http://jp.techcrunch.com/archives/20081230md5-collision-creates-rogue-certificate-authority/
確かこれ、現実的には脅威にならないという続報があった気がするんだが、
見つからないなあ。
>>122
自分が使ってる銀行のサイトとかをしらべるとMD5使ってるのはひとつもなかった。
けど、適当に検索して出てきたどっかの信金はまだ使ってた。 SHA1使いましょう
つか、MD5使っている認証局ってまだあるんかいな Google の OpenID IP って、同一ユーザでも return_to URL によって異なった identifier 返してくる気がするんだけど。
俺が間違ってる?
identifierを同一にすると、ユーザーの行動をRP側にトラッキングされてしまうことがあるので、RP(return_to?)ごとに別のidentifierを返すようにしていることはある。
その類ではないかと。 うん、その意図はわかるんだけどもさ。
そうすると、RP は return_to URL が単一であるだけでなく絶対不変であることも強制される。もし URL を変えなきゃいけない事態になったら、それだけで実質的に全ユーザーのデータが あぼーん じゃないか。そんな OP 怖くて対応したくないお。
まあ、指摘されている問題だね。
iKnowはsmart.fmになって、GoogleのOpenIDユーザーに再設定の対応を求めている。
それに限らず、OPが消滅することもあるので、OpenIDにすべてを任せるのはまずい。 あ、やっぱ問題になってるんだー。無知すぎるぞ俺。
ていうか「Google OpenID 問題」とかでググってはいたんだけど、こういう話題はみつかんなかったよ。(問題ですらない常識だったとか?)どのへんで指摘されてたのか、教えてくれると嬉しいデス。
> OpenIDにすべてを任せるのはまずい。
そうなると、結局は自サイト独自の認証キーも用意しとかなきゃいけないのね。。。現実的には、最低限メルアド入力させてidentifierとセットで保管しとけって所か。できればメルアド収集したくなかったんだけど、しかたなさそうだね。
ありが?ォ。勉強になりますた。 なかのひとは矛盾に気がつけ。あの解説の多さに分かりにくさでは利便性を感じられない Community-ID
http://source.keyboard-monkeys.org/
1.0.0 がリリースされたけどこのスレでいいのかな? Yahoo!メインだからOpenIDのことも噂で知ってるけど
国内企業56社しか対応してないってことは化石みたいなセキュリティ技術って事? ■ このスレッドは過去ログ倉庫に格納されています
