OpenID ファウンデーション・ジャパン

株式会社日立製作所様にエバンジェリスト派遣制度をご利用いただきました。

By nov | 2017年01月28日

先日1/20に、株式会社日立製作所様にエバンジェリスト派遣制度をご利用いただきました。

当日は、事務局長(兼エバンジェリスト?)の @nov とエバンジェリスト3号の @kura が2名で訪問させていただき、OAuth / OpenID Connect の Code 漏洩パターンや Code / Token 置換攻撃のリスク分析、IdP Mix-up などの最近 OAuth / OpenID Connect プロトコル界隈での Security Issue などについて、議論させていただきました。

OAuth / OpenID Connect のセキュリティモデルについては、あまり全体を俯瞰しながら整理して議論する場がなかったので、よい機会をいただきました。

ありがとうございました。

ps.

実費(謝金,交通費など)はご相談となりますが、

会員企業以外でも社内勉強会も実施しておりますので、ぜひ事務局にお声がけください!

また、OpenID ConnectやOAuthだけでなく、SAMLやSCIMの技術解説なども可能です。

どうぞOpenIDファウンデーション・ジャパンをよろしくお願いします。

続きを読む

日本IBM様にエバンジェリスト派遣制度をご利用いただきました。

By nov | 2016年06月29日

金融分野での API 化の動向なども踏まえ、OAuth2 や OpenID Connect の技術概要について、エバンジェリストの倉林が訪問させていただきました。

ps.
記事公開が遅れましたが (2017年1月執筆)、記録のため。

続きを読む

「de:code 2016」にてID連携相談会を実施します

By staff | 2016年05月18日

こんにちは。母(2号)です。

マイクロソフト主催の技術コンファレンスde:code 2016」にて、OpenIDファウンデーション・ジャパンのエバンジェリストによるID連携相談会を実施します。

実施日時は、5月25日(水)13:45-15:00 で、ID連携に関するあれやこれやについて、わかり易くご説明いたします!!

広い会場のどこかに設置される展示ブースで、エバンジェリストがみなさまをお待ちしておりますので、「de:code 2016」に参加される方は是非、上記時間に展示ブースへお越し下さい。

どうぞよろしくお願いします。

続きを読む

RICOH様にて社内勉強会を実施しました

By staff | 2016年05月10日

どうも。母です。あ、2号の方です。

巷ではOpenIDファウンデーション・ジャパンのエバンジェリストは、エバンジェリストらしい活動をしていないのでは?!と話題になっておりますが、

昨日(5月9日,月曜日)に海老名にあるRICOH様にて、エバンジェリスト1号のnovが社内勉強会を実施しました。

ebina_ricoh.jpg

前半はOpenID ConnectやOAuthの技術解説をし、

後半は座談会形式で、エバンジェリストとRICOH様のエンジニアが実サービスの問題解決に向けて議論いたしました。

ebina_ricoh2.jpg

実費(謝金,交通費など)はご相談となりますが、

会員企業以外でも社内勉強会も実施しておりますので、ぜひ事務局にお声がけください!

また、OpenID ConnectやOAuthだけでなく、SAMLやSCIMの技術解説なども可能です。

どうぞOpenIDファウンデーション・ジャパンをよろしくお願いします。

続きを読む

OpenID Foundation RISC Working Groupのご紹介 (翻訳)

By nov | 2015年07月28日

以下、OpenID Foundationのブログポストからの翻訳転載です。

--

Gallupによる調査によると、近年では、自宅への不法侵入を心配する人よりも、オンラインアカウントがハックされることを心配する人の方が多くなっています。オンライン上でのデジタルな生活空間が広がれば広がるほど、攻撃者は我々の個人情報を盗むモチベーションを高め、相互に結びついたWebサービスやアプリの関係性を悪用して、あるアカウントから次のアカウントへと侵入を続けます。

攻撃者は往々にして、ある個人が各サービスプロバイダにまたがって所有する複数のアカウントをターゲットにします。これは一般的ユーザーがすべてのインターネットサービスに対して数種類のメールアドレスしか登録しないことを攻撃者が知っているからです。例えば、あるソーシャルネットワークではパスワードリカバリー用の情報を登録済メールアドレスに送ったりしますし、ある写真共有サービスにログインするために該当ソーシャルネットワークアカウントが利用できたりします。このような状況では、サービス同士の結びつきを悪用され、ある単一の情報漏洩がその他のサービスでのアカウント詐取を引き起こすことも考えられます。

OpenID Foundationでは、このような現状を鑑み、アカウント保護のため事業者同士が共同で取り組むことを決定しました。Aol, Confyrm, Deutsche Telekom, Google, LinkedIn, Microsoft, Nomura Research Institute, およびPing Identityが合同で、あるアカウントがリスクにさらされている場合の早期警戒システム構想を打ち出しました。

この Risk & Incident Sharing and Collaboration Working Group (RISC) イニシアチブは、複数プロバイダにまたがったアカウント不正アクセスを防止し、不正アクセスがあった場合には相互に協力してアカウント回復を行うための標準仕様の構築を初期ミッションとしています。

RISCワーキンググループは、オープンなコラボレーションを通じて、インターネット業界全体としてアカウントハイジャックのインパクトを大幅に低減するメカニズムを構築することを目指します。そのためにまずは個々のアカウントごとに発生したセキュリティイベント (ある特定のアカウントが不正アクセス疑いにより停止された等) の共有にフォーカスします。また同時にユーザーのプライバシに与える影響の最小化も考慮します。なお、マルウェアやその他のシステム/ネットワークレベルの攻撃に関しては、RISCワーキンググループでは扱いません。

続きを読む

アーカイブ