OpenIDにフィッシングの危険発覚

http://www.itmedia.co.jp/news/articles/0808/18/news014.html

OpenID at risk due to DNS flaw, warns researcher

http://news.zdnet.co.uk/security/0,1000000189,39461045,00.htm?r=2

[弱点1] by Robin Wilton

DNSキャッシュポイズニングの危険性

→OpenIDでインパクト大

→OpenIDはDNSが正しく動いているからこそ正しく機能する

→ウチの会社(Sun)はOpenIDじゃなくLibertyを使ってるから無問題(宣伝かよ！)

[弱点2] by Ben Laurie and Richard Clayton

OpenIDプロバイダーによっては証明書の鍵を比較的簡単に見破れる

→これはDebianの乱数生成処理に起因

→弱点1と併用で認証サーバー(OpenIDプロバイダー)なりすまし楽勝！

→SunもOpenIDプロバイダーやってっけどあんたんとこもこの鍵だからやべーぞ

An insecurity in OpenID, not many dead

http://www.lightbluetouchpaper.org/2008/08/09/an-insecurity-in-openid-not-many-dead/

Debianの鍵生成でたった32,768種類の鍵しか作れない

→この鍵がどんだけ転がってるか探そうぜ

→1.5%あった

→そのうちOpenIDプロバイダーはSun含めて3つ

→Sunは指摘したら対応してくれたみたいだがちゃんと

今までのを失効させないと出さないとダメだぞウィルトン(釘を刺す)

注：Wilton氏のブログでは失効リストに言及してるので

　　認識はあるが発行したという書き込みはまだない。

な、紳士淑女の皆様方へささやかながら。俺もOpenIDとかいうの初めて知ったし。

Q. OpenID？なにこれ

A.1回作っとくといろいろな「対応サイト」に好きなだけログインできます。

　あちこちで「ユーザ登録」しまくる手間が省けるワケです。

　http://ja.wikipedia.org/wiki/OpenID

　http://www.hatena.ne.jp/info/openid/

Q.実は？

A.実は別個にユーザ登録が必要なサイトも多いですがそれはおいといて。

　http://stack.nayutaya.jp/signup/new こことか

Q.ワケワカラン。早く登録させてよ。

　(1) OpenID.ne.jpのアカウント作成に行っちゃって下さい。

　　　http://www.openid.ne.jp/index.php?action=register

　(2)「ユーザID」「パスワード」などなど入力してボタン押して下さい。

　　　ユーザIDに記号は使えません。使えるのは半角英数字だけです。(A～Z、a～z、0～9)

　　　パスワードは当然ながら認証に使いますので忘れないで下さい。

　(3)OpenIDができましたのでsa.yona.laに戻って右上「register」へGo！

　(4)さっき作ったOpenIDでログインします。

　　　「さっき作ったID.openid.ne.jp」

　　　「http://さっき作ったID.openid.ne.jp」

　　　「http://さっき作ったID.openid.ne.jp/」

　　　どれ使ってもOKです。

　(5)いっぺんOpenIDのサイトに飛びます。パスワードを入力して下さい。

Q.できた！

A.おめでとうございます。画像やメール投稿は右上「setting」のとこに書いてあります。

Q.できんやんけ！

A.すんません。