viktw2 | sa.yona.la ヘルプ | タグ一覧 | アカウント登録 | ログイン

viktw2

OpenID

DNS騙しと弱鍵でOpenIDなりすまし

返信

OpenIDにフィッシングの危険発覚

http://www.itmedia.co.jp/news/articles/0808/18/news014.html


OpenID at risk due to DNS flaw, warns researcher

http://news.zdnet.co.uk/security/0,1000000189,39461045,00.htm?r=2

[弱点1] by Robin Wilton

DNSキャッシュポイズニングの危険性

→OpenIDでインパクト大

→OpenIDはDNSが正しく動いているからこそ正しく機能する

→ウチの会社(Sun)はOpenIDじゃなくLibertyを使ってるから無問題(宣伝かよ!)

[弱点2] by Ben Laurie and Richard Clayton

OpenIDプロバイダーによっては証明書の鍵を比較的簡単に見破れる

→これはDebianの乱数生成処理に起因

→弱点1と併用で認証サーバー(OpenIDプロバイダー)なりすまし楽勝!

→SunもOpenIDプロバイダーやってっけどあんたんとこもこの鍵だからやべーぞ


An insecurity in OpenID, not many dead

http://www.lightbluetouchpaper.org/2008/08/09/an-insecurity-in-openid-not-many-dead/

Debianの鍵生成でたった32,768種類の鍵しか作れない

→この鍵がどんだけ転がってるか探そうぜ

→1.5%あった

→そのうちOpenIDプロバイダーはSun含めて3つ

→Sunは指摘したら対応してくれたみたいだがちゃんと

今までのを失効させないと出さないとダメだぞウィルトン(釘を刺す)

注:Wilton氏のブログでは失効リストに言及してるので

  認識はあるが発行したという書き込みはまだない。

投稿者 viktw2 | 返信 (1)

「で、どうやって入会すりゃいいのよ」

返信

な、紳士淑女の皆様方へささやかながら。俺もOpenIDとかいうの初めて知ったし。


Q. OpenID?なにこれ

A.1回作っとくといろいろな「対応サイト」に好きなだけログインできます。

 あちこちで「ユーザ登録」しまくる手間が省けるワケです。

 http://ja.wikipedia.org/wiki/OpenID

 http://www.hatena.ne.jp/info/openid/


Q.実は?

A.実は別個にユーザ登録が必要なサイトも多いですがそれはおいといて。

 http://stack.nayutaya.jp/signup/new こことか


Q.ワケワカラン。早く登録させてよ。

 (1) OpenID.ne.jpのアカウント作成に行っちゃって下さい。

   http://www.openid.ne.jp/index.php?action=register

 (2)「ユーザID」「パスワード」などなど入力してボタン押して下さい。

   ユーザIDに記号は使えません。使えるのは半角英数字だけです。(A~Z、a~z、0~9)

   パスワードは当然ながら認証に使いますので忘れないで下さい。

 (3)OpenIDができましたのでsa.yona.laに戻って右上「register」へGo!

 (4)さっき作ったOpenIDでログインします。

   「さっき作ったID.openid.ne.jp」

   「http://さっき作ったID.openid.ne.jp」

   「http://さっき作ったID.openid.ne.jp/」

   どれ使ってもOKです。

 (5)いっぺんOpenIDのサイトに飛びます。パスワードを入力して下さい。


Q.できた!

A.おめでとうございます。画像やメール投稿は右上「setting」のとこに書いてあります。


Q.できんやんけ!

A.すんません。

投稿者 viktw2 | 返信 (3)

API | 利用規約 | プライバシーポリシー | お問い合わせ Copyright (C) 2018 HeartRails Inc. All Rights Reserved.