Hatena::ブログ(Diary)

Yet Another Hackadelic

2008-12-11 分かりやすい餌に食いついた

OpenID for mobile と言う題目で idcon #4 で話してきました

昨日ですが、idcon #4 にて日本のモバイルで OpenID が出来るかどうかと言う話をしてきました。

スライドの方はこちらにて。

補足

その後の議論で id_res などの Indirect Communication のレスポンスも POST で行けるんで、ここを form submit にしてしまえば、現状の枠組みでも行けるよねと言う話になった。

ただ、ユーザビリティ的に無いわーって感じ。

他の方のプレゼン

=hiroki さんの「People Service」

これは個人的には非常に面白く聞けました。

Liberty は役割を明確に分けていて、その役割ごとに特定のユーザーに対する仮名(かめい)が割り当てられてる。

仮に IdP にアカウントが無いシナリオで進んだとしても、ちゃんとフォローできる仕組みになってて面白かったなぁ。

=hiroki さんもそのうちスライドを公開すると思うので、是非観てください。

ちなみに二次会の際に「4者間でのやり取りは一般的ですヨ」と =nat さんが言ってた。

=nat さんの「OpenID の最近の動向」

TX 改め CX と AX 2.0 の話だとか。

もともと =nat さんが公開してるスライドを日本語で話してくれたので分かりやすかった。

他の人の感想など

次回予告

3月末くらいに NTT の武蔵野にて行われる予定デスヨ。

来年も3ヶ月ペースくらいで開催できたらいいなーと思います。NRI の皆さん会場提供ありがとうございました^^

2008-12-01

Identity Conference 4 参加募集中

詳しくは、

にて。

OpenID や SAML など認証全般興味あるよって方ならどなたでも歓迎します。

また、以前お会いしたしょこたん似の彼女もお待ちしています^^

個人的には、

の中の人に会ってみたい。*1

なんか告知ばっかりしてるとエンジニアのブログだと思えなくなってきたなぁ。

*1:しょこたん似の彼女のブログではありません^^;

2008-09-28

idcon #3 の発表資料を公開します

Emailアドレスの持ち主に対応する OpenID Identifier が取得出来たら便利だよねと言うお話です。

資料の補足

基本的にこの資料ですけど、公式のスペックである no title に沿って、かなり噛み砕いて説明していますので、プレゼン資料を読めば概ねこの規格については理解出来ると思います。

あとこの EAUT と言うスペック、何のためにあるのか長所について。思いついたことを列挙してみると、

  • email ベースの ID 体系を OpenID ベースに代える事が出来るかもしれない
  • email ベースの ID 体系からメタデータを取得出来るかもしれない

とかとかなんですかね。

資料で挙げているセキュリティに関しては、このスペックの便利な所がそのまま欠点でもある事を示唆していると言えると思います。

具体的に言えば、

  • zigorou@example.com

と言うメールアドレスと思しき文字列があるとして、example.com に EAUT discovery 掛けて、http://{username}.example.com/ と言う EAUT Template が返って来たとすると。

この時、この EAUT Template を使って transform して、http://zigorou.example.com/ と言う URL を得て、実際にこの URL にアクセスした際に、OpenID で言う discovery が出来てしまうような URL であるならば、特に対策していない OpenID Provider にとっては zigorou と言うユーザーが存在するのはほぼ間違い無いので、zigorou@example.com と言うメールアドレスが恐らく有効なアドレスである事がばれてしまう。

利便性の追求ってのは諸刃の剣なんだなぁと思わせる仕様ですねぇ。

2008-06-23 どう見ても二日酔いです

Identity Conference #2 に行って来ました

昨日、百度株式会社さんの会場をお借りして、Identity Conference #2 がありました。

ひとり琉球大学の修士の方が沖縄からこのカンファレンスの為だけに上京すると言う豪気な方もいらっしゃいました。どう見てもRubyKaigiの裏番組なんですが非常にありがたいですね。次にまた上京したい場合は個人的にご連絡下さいね。何らかのお手伝いが出来ればと思います。

以下各プレゼンの感想などと、次回の話などです。

プレゼン

基調講演 XRI, Reputation, Trust (=natさん)

今回は忘れずにいらして下さいましたw

XRI についての技術的な概要、また最近話題になっていた XRI vs URI の話にも触れ、Reputation は何故必要なのかと言うお話でした。

この資料、もう一度読みたいなー。

XRI のコンセプトは Web 中心では無く、XRI の対象としている世界において Web は一部でしかないと言う辺りが的を射た話であって、それに対して OpenID は Web の技術なので得てして議論されてしまう事なのかなと思いました。

また Reputation の実際の例として、某飛行機の会社の事例を説明頂きました。(これ凄い面白かった)

言われないと OpenID を使っているかどうか分からない*1位、奇麗にまとまっていて、こういう使い方もあるんだなーと言う風に思いました。

さらに freeXRI の持っている XRI に関する機能の説明なども。

f:id:ZIGOROu:20080623121859p:image

の Tools の機能ですね。今度じっくり触ってみます。

前に OpenID Tech Night #2 の時に =katsu さんに聞いたんだけど、非否認性ってのがやっぱり良く分からない。誰か具体的なシナリオと共に説明して欲しいww *2

Apache2::AuthenOpenID (id:lopnor)

えー、意外な事に id:lopnor さんは技術系イベントでのプレゼンは初との事で、idcon でのデビューとなりました。おめでとうございます。

このプレゼン、実に面白くてオープンソース系の人から見た OpenID ってこういうもんでしょーという熱意も感じられて素敵でした。

実装の話なんでいきなりあーした方がいいとかそういう話になったんですけど、

  • SREG で取得したデータが環境変数か何かに渡されると良いかも。
  • group 管理出来るといいかも
  • Verified Identifier では無く Claimed Identifier で管理出来る方がいいかも

などと具体的アイデアなど出たので id:lopnor さんが対応してくれるんじゃまいかと。

Attribute Exchange Sucks (id:ZIGOROu)

Attribute Exchange のメモ - Yet Another Hackadelic の焼き直しです。資料は後ほど公開します。(と言っても公開する程の内容は無いのですがw)

AX は現時点で対応している OP が myopenid, sxipper しか無く、また仕様上もかなり gdgd で罠も多いと。余り現時点で使える代物ではありません。

また Indirect Communication における GET/POST の問題についても少し話題になりました。

この話は何かと言えば、RP に User-Supplied Identifier を渡して、Initiation, Discovery が終わった際に、RP は何らかの形で User Agent を OP Endpoint URL に openid.mode=checkid_setup または openid.mode=checkid_immediate で飛ばさねばならないのですが、この際にほとんどのケースで Redirect を用いるのですが、仕様上は POST でも OK になっています。

GET の欠点はクエリ変数として渡されると言う所で、POST の場合は余計な一画面を挟まねばならない、あるいは JavaScript で強制的にフォームを作成、送信を行わなければならないと言う所です。

などでも触れられていますね。

SAML はこの手の間接通信では JS で POST してるようです。

POST としたい場合の動機は、

  • メッセージを本文として送りたい
  • メッセージが長い場合、URLの最大長問題に引っかかる可能性がある

辺りが動機だと思いますので、この際は、

  • JS OFF でも問題無く動作するように
  • XSS, CSRF などには十分注意して実装する

辺りなんですかね。

ID-WSF (伊藤さん)

SAML の話ですね。今回は属性交換の話。ちょっと駆け足だったので完全に付いていけなかったんですが、取得したい属性を XPath で指定するってのがちょっと面白かった。

また SAML の属性交換の場合、IdP と 属性交換サーバー (DS だっけ?何の略か忘れた) が別でも構わないと言う辺りはいいなと思った。

この話は「第三回 Liberty Alliance 技術セミナー」にて聞けそうです。今度は参加したいなぁ。

次回の話

次回の前に、今回幹事として会場提供、飲み会の手配など奔走して下さった id:mizuno_takaaki さんに改めて感謝です!お疲れ様でした。

IDCon#2を終えて - id:lopnor であるように次回は自重しないが社訓の株式会社ソフリット様の大会議室*3をお借りして9月くらいに開催予定です。

今回はだいぶスピーカ−の選定に苦戦したので、次回は指名してしまいました(ぉぃ

id:kmachuさん、=katsuさん、id:shinichitomita さん宜しくお願い致します。

またどういう訳か、飲み会で偶然お会いした方が OpenID などのキーワードに刺さったらしく乱入、そして id:shinichitomita さんの旧知の方と言う偶然。

偶然ついでで基調講演をお願いしました。いいのか、本当にw

ちなみにニュアンスに誤解があるかもしれないので蛇足として付け加えますが、飲み会での乱入は楽しかったし、本当に基調講演をお願いする予定です。

参加告知、募集などなどは、Google グループ で行っておりますので、お気軽にご参加下さい。

ともあれ、今回は =nat さんの話がきちんと聞けて良かったです。しかし相変わらず =nat さんはニコニコしている。

他の人の感想など

ブログに書くまでが idcon ですので皆さん宜しくお願い致します。

*1:ここは賛否両論ありそうですが

*2:いや、後でググるかw

*3:6畳*2