👹秋田の猫🐱

37.7K posts

👹秋田の猫🐱 banner
👹秋田の猫🐱

👹秋田の猫🐱

@ritou

デジタルアイデンティティの世界で迷子になった猫 本を書きました → 「はじめてのデジタルアイデンティティ」 https://t.co/YYiK0O9JO3 気軽に質問してください! https://t.co/pNTh0lI2Hs

Katılım Mart 2008
451 Takip Edilen3.8K Takipçiler
👹秋田の猫🐱
👹秋田の猫🐱@ritou·
「正規のAI Agentに不正取得したIDTokenを渡したり、AI Agentの代わりにToken Exchange叩くリスクに繋がるから」というIdPが判断しての非推奨はいいけど、フロー自体の全否定まではしなくて良いかもしれない。
日本語
0
1
4
1.4K
👹秋田の猫🐱 retweetledi
徳丸 浩
徳丸 浩@ockeghem·
OWASP ASVSのV4では元々セッショントークンをlocalStorageに保存することを禁止していた(V3.2.3)のですが、Issue 2010の議論を経て、ASVS V5ではlocalStorageを含むブラウザストレージへのセッショントークンの保存を容認しています(V14.3.3)。私の説明の(2)のケースが現実に広く用いられており、XSSのリスクは他の方法で緩和できるとの判断です。私は妥当…というか、そりゃそうだろうと思いました。V5は「ここが変だよASVS v4」が結構是正されていてよいなと思っています。 github.com/OWASP/ASVS/iss…
徳丸 浩@ockeghem

はい、これはウェブAPI呼び出しの歴史から考えると腑に落ちるのですが、CORSの機能にCookie付与があることからもわかるように、 (1) 昔はクロスオリジンのAPIをCookieによるセッション管理で呼び出す方法が用いられていましたが、 (2) サードパーティクッキー規制などでそれが難しくなり、Authorizationヘッダによるトークン(保存先はlocalStorage)に変わるものの、 (3) 各APIの生トークンをクライアントに保持するのはやはり危険ということでBFFにトークンを隔離すると、 (4) もはやJWTによるセッション管理をクライアントでする必要はないということで伝統的なCookieによるセッション管理に回帰するという流れで考えるとわかりやすいと思います。

日本語
0
41
217
66.4K
👹秋田の猫🐱 retweetledi
徳丸 浩
徳丸 浩@ockeghem·
はい、これはウェブAPI呼び出しの歴史から考えると腑に落ちるのですが、CORSの機能にCookie付与があることからもわかるように、 (1) 昔はクロスオリジンのAPIをCookieによるセッション管理で呼び出す方法が用いられていましたが、 (2) サードパーティクッキー規制などでそれが難しくなり、Authorizationヘッダによるトークン(保存先はlocalStorage)に変わるものの、 (3) 各APIの生トークンをクライアントに保持するのはやはり危険ということでBFFにトークンを隔離すると、 (4) もはやJWTによるセッション管理をクライアントでする必要はないということで伝統的なCookieによるセッション管理に回帰するという流れで考えるとわかりやすいと思います。
thinas@ren_nwengineer

@ockeghem この話毎回宗教論で終わるんですけど、 結局BFF構築するのが正解なんですかね

日本語
2
196
1.1K
234.7K
7032
7032@7032·
Open ID Foundation 関連のイベント、FIDO関係を除けば実に16年ぶりかもしれない #OpenIDTechNight …ていうかSocial Web Conference だった😅 当時はOAuth1.0だったか…何もかもが懐かしい
日本語
2
0
8
1.5K
👹秋田の猫🐱
👹秋田の猫🐱@ritou·
某社は自分達がくらったら新しい攻撃みたいに何かをアピールするのでどうかと思います。クロスデバイスの攻撃/対策はずっと前からあるので、合わせて紹介しましょう。 ietf.org/archive/id/dra… #OpenIDTechNight
あよくら@ayokura

デバイスコードを使った認証への攻撃が流行る前に、FIDO等のフィッシング耐性がある認証手段が利用可能な状態になっていて本当によかったよなあ (もし、なかったとしたらって考えるとやばい) 特にパスキー・FIDOのクロスデバイスでのフロー(QRコード+BLE)あってよかった #openidTechNight

日本語
0
2
22
4.6K
👹秋田の猫🐱
👹秋田の猫🐱@ritou·
ちょっと告知してもらいましたが、初学者向けの勉強会をやります。詳細はもうちょいお待ちください! 2026年07月02日(木)15:00~ “ID沼入口” - 基本とセキュリティから始める、考え続けるためのID管理技術勉強会 #OpenIDTechNight
日本語
1
18
43
5.2K
👹秋田の猫🐱 retweetledi
OpenID Foundation JP
OpenID Foundation JP@openidjp·
本日19時開催です📣オンライン参加の方は「参加者への情報」をご確認ください。現地参加の方は、いつもと会場が異なりますのでお気をつけて!freee大崎オフィスで開催ですよ👈 OpenID TechNight vol.23 ~ AI x API x Enterprise openid.connpass.com/event/391821/ #OpenIDTechNight
日本語
1
10
18
2.9K
👹秋田の猫🐱
👹秋田の猫🐱@ritou·
今はやりのやつ、わいはおじさんじゃなくて猫だから対象外よな…
日本語
0
0
4
430
👹秋田の猫🐱 retweetledi
keiko
keiko@keikoit2·
来週月曜にCross App Accessについてお話しさせていただきます。(中心人物であるUSメンバのメッセージも調整中)AIエージェントを含むアプリケーションの認可の未来について考えたい方は是非!明日参加者の抽選が行われるようです。 openid.connpass.com/event/391821/
日本語
0
3
6
834
👹秋田の猫🐱
👹秋田の猫🐱@ritou·
ログインはセッション管理の始まりとすると、再認証やログアウトの重要性も認識できます。 ID連携も認可フローを通した時に始まり、システム/ユーザー/クライアントが無効化したら終わる。 考慮すべきライフサイクルがいくつかあって、状態遷移に必要な機能を揃える必要があることを意識しましょう。
日本語
0
2
2
504
👹秋田の猫🐱
👹秋田の猫🐱@ritou·
それぞれの認証方式で防げる部分は気にしなくても良く、そうではない弱い部分を意識する必要があります。例えば多要素認証ではアクセス先に特に気をつけるといった部分まで言いたいですね。
👹秋田の猫🐱 tweet media
日本語
0
1
1
303
👹秋田の猫🐱
👹秋田の猫🐱@ritou·
攻撃のトレンドやサービスの要件などから、フィッシング耐性が△ならダメな理由を示すと理解しやすいでしょう。
👹秋田の猫🐱 tweet media
日本語
1
0
0
286
👹秋田の猫🐱 retweetledi
ニキヌス
ニキヌス@nikinusu·
第2回しろおびセキュリティの振り返り & 登壇資料の公開です! コミュニティ運営に興味がある人にも役立つように、前回に続き参加率など細かい数値も公開します。 nikinusu.hatenablog.com/entry/2026/05/… #shirosec
日本語
0
25
85
14.7K

Keşfet

@7032 @elonmusk @BarackObama @taylorswift13 @cristiano @BillGates @NASA @nikifrancismediavine