nabeshinによる
2008年02月06日 18時56分の掲載
作ったものより動いているものが圧倒的に少ないもの、なーんだ部門より
作ったものより動いているものが圧倒的に少ないもの、なーんだ部門より
kanie 曰く、
Yahoo! JAPAN プレスリリースより。Yahoo! JAPANは、外部サイトでYahoo! JAPAN IDを利用可能にするOpenIDの発行サービスをベータ版として開始した。OpenID 2.0に対応したサービスのOpenID欄に、『yahoo.co.jp』(米Yahoo!の場合は『yahoo.com』)と入力するだけで、アカウントの取得・ログインが可能になる。ただいまのところOpenIDを利用できるサービスは1.1までのところが多く、2.0への対応が待たれるところだ。
アカウントをOpenIDとして使える日本の大規模サービスはほかに、livedoor、はてながある。サービス開発者は面倒なアカウント作成画面を作る手間が省け、利用者はOpenIDのURIを憶えておくだけでよく、パスワードやメイルアドレス入力も必要なくなる。Yahoo! JAPANの導入によって爆発的な普及は目前と思われる。
関連ストーリー
この議論は賞味期限が過ぎたので、保存されている。
新たにコメントを書くことはできない。
目前に (スコア:4, 興味深い)
見えない壁があったりして。
>OpenIDとは、webサイトのURL 形式で構成されたユーザーの身元確認をするためのIDです。
って説明があるけど、普通に言われる身元確認とは違うよね?クレジットカードで身元を担保することが多いけど、それに置き換わるものではなく、横断的に使えるIDだからあっちのイチローさんとこっちのイチローさんは同じ人らしいということがわかるだけでないの?
正直何度説明を読んでもURL形式など、特徴はほんの少し分かっても利点が理解できません。だ、誰か説明を。いや、それ以前に、分散されていたリスク(別の言葉でもいいけど)を個別に管理していたのがまとめられて一括管理するようになる、って理解でいいんだよね?これはインターネットに接木をしているだけで別の保障を持ち込もうとしているわけではないと読んだんだけど。
>自分のサイトのURLをOpenIDとして利用
という文章は、自分のサイトのURLが今までユーザー確認として用いられてきたものに変わるというわけではない、ということを理解するのに時間がかかったくらいなので何もかもに自信がもてない。
Re:目前に (スコア:3, 参考になる)
ここから始まる「OpenIDの仕様と技術」という一連の記事が
極めて良い説明文章でした。
一連のバックナンバー(?)全部読むのをお勧め。
どれくらい良いかというと、
OpenIDどころかセキュリティ一般に疎いことを自認してる自分でも
OpenIDの特徴(や限界)が理解できたくらいに…。
で、原理は、
http://www.atmarkit.co.jp/fsecurity/rensai/openid02/openid02.html [atmarkit.co.jp]
>ConsumerはEnd UserのUser-Agentを特定のクエリーパラメータを付与したIdPのエンドポイントURLに対してリダイレクトさせます。
(略)
>いずれの手続きも正しく完了した場合、IdPは事前にConsumerが指定したURLにEnd UserのUser-Agentをリダイレクトさせます。
要するに、
「いわゆるログインページの
外観(基本的には)も、また機能も、
自サイトじゃなくよその認証サイトに委譲する仕組み」
ですよねこれ。
親コメント
Re:目前に (スコア:2, 参考になる)
つまりIDを見れば、どこの誰が認証を請け負ってくれるかがわかる。さらに、そのID(URL)を自身のブログサイトなどに張っておくと、AuthenticationのDelegationができたりする。
とまぁ、それはOpenID 1.0で対応できていたことで、2.0ではむしろXRI(eXtensible Resource Identifier)を採用したことにより、URL/IRIを一段抽象化した世界での識別子である、xri://=hogeとか、@company/dept/meという識別子に対する名前解決でXRDS文書を取得し、そのIDを認証する主体の場所を知ることができる点がウリ。yahooはこれに未対応。
ちなみに、OpenIDのFormにOpenIDを入れても良いが、OP Identifierも入れることができる。この場合は跳んでいった認証請負サイトでIDもパスワードも入力することになる。これはyahooでも対応してる。
OpenID 2.0の問題点は、
1.Associationを作ったとしてもMIM攻撃に弱い点
2.Associationを作ったRP-OPが確かな相手かどうかを確認できない点(Reputation問題)
3.SREG/AX等のPiggy Back方式で情報をOPから引っ張ってこれるが、SSLが使えないと全くセキュアじゃない点
4.インフラとして取得できる情報の型をそろえようとすると大変
5.そもそもAuthentication規格以外の規格に適当なものがある点
6.などなど
とはいえ、SAMLみたいな、密結合なSSOよりは世界に浸透していきそうな気はする。
超セキュアだけど広がりに欠けるSAML/WS-Securityに対して、セキュリティが甘いが疎結合の利点があるOpenIDの弱点が埋められて、結局疎結合の利点を持っているOpenIDのほうが世界には受け入れられるんでなかろうか。
親コメント
もってるID (スコア:2, 参考になる)
もちろん全部利用してるわけでもないですが。
しかし、Yahoo!のはOpenID 2.0対応はいいんですが、1.1向けのURLが長いのと(これはしかたない?)
その値の書換えがなんか上手く動いてくんないのは面倒ですねぇ。
# Googleやmixiが対応するのはいつごろだろう...
BOINC説明ページ(書きかけ) [bit.ly]
Re:もってるID (スコア:4, 参考になる)
なんで、Flickrも追加です。
Yahoo,YahooJの固有URLは変更できるわけじゃないですね。
ちなみに使ってるサービスは
なんかがありますね。
BOINC説明ページ(書きかけ) [bit.ly]
親コメント
リクナビ (スコア:2, 参考になる)
二重ログインしないと使用できない不便な仕様だったので、もしやと思い確認してみたら
OpenID使えるようになってますね。
Re:むしろ (スコア:4, 参考になる)
Openid.ne.jp [openid.ne.jp]
QAより抜粋
ということで、Yahooを信頼できなければヤメロという結論。
親コメント
Re:むしろ (スコア:5, 参考になる)
普通のフィッシング対策を取るのが前提です。
Yahooだったらログインシールとか、通常のサイトのようにURLとSSLの状態を確認するとか。 [yahoo.co.jp]
まぁ今は大衆向けのサービスが殆ど存在していないし普及もしていないので問題にはなってませんが、
今後ユーザの多くがOpenIDを体験するようになってそれに慣れてしまうと、
『当サイトはOpenID対応なのでYahoo IDでログインできます だから下のフォームにYahoo IDとPasswordを入れてね』
とか書いてあるサイトに引っかかる可能性は増えるでしょうね。
今は常識的に考えてYahoo以外のサイトはYahooIDではログイン出来ないわけですが、
その前提を崩すのがOpenIDなわけで。
YahooのIDじゃないけど、例えばTwitterは、Webメールのアドレス帳の内容を読み出す目的(自称)で
サインアップ時にgmail等のIDとPasswordを要求するんですが、そういうのが一般化すると色々不味いわけです。
要はOpenIDに限らず信頼できるフォーム以外にパスワードを入れちゃいけないのは変わらない事実なので
それを守る/守らせるように最大限の努力は必要だと思います。
そういう点で、YahooのOpenID対応はもうちょっと説明を入れた方が良いような気がする。
# 個人的にはブラウザへの統合も良いと思うけど。Verisign PIPのような。
親コメント
Re:むしろ (スコア:1, 参考になる)
http://www.atmarkit.co.jp/news/analysis/200704/23/openid.html [atmarkit.co.jp]
OpenIDサービス提供側から認証先に行く情報(名前とかメアドとか)は、事前にユーザーの確認が必要らしい。
IDやらパスワードやらはユーザーとOpenIDサービスとの間でしかやりとりされないってことでいいのかな?
捨てIDで実際に使ってみるのが一番わかりやすそうだけど、使えるサイト自体少なそうだ
親コメント
Re:爆発的に普及する要因が分からない (スコア:2, すばらしい洞察)
超カネ掛かるので新規にそういうことをするのは多分無理です。基本的にFeliCaは、
・共通鍵
かつ
・暗号処理アルゴリズムと暗号鍵を秘密に(PCから扱えないように)しておくことでセキュリティを保ってる
仕組みなので、そういう目的のためにCyber FeliCa Platform [sony.co.jp]とかの特別な機器が要ります。
例えばEdyとか既存のそういうサービスを提供しているところがOpenIDを提供するという方向性も考えられなくは無いですが、
個人的には期待できないと思います。
SSLクライアント認証のようなオープン標準であっても物理的な鍵(例えばiKeyとか最近のノートに内蔵されているようなTPMとか)を提供しているので
そういうのを採用したOpenIDプロバイダは有っても良いかなとは思います。
# なんで(技術的には使える)住民基本台帳カードはこういう目的に使えるようにしなかったんだろう
親コメント
Re:爆発的に普及する要因が分からない (スコア:2)
もしその機能もできるようにしていたとしたら,「国民総背番号制」っぽさがさらに濃くなってしまって,国会で賛成を得られず,そもそも住民基本台帳カード自体が無かったことになってたかもしれませんね。
住民基本台帳カードに,その機能をつけなかった場合でも,つけた場合でも,どちらにしても実現はしなかったということで,「無いものねだりなのだ」と考えてみるのも一興かも。
親コメント
Re:むしろ (スコア:1)
一人のユーザーの持つIDが多岐に渡って、わけのわからない方法で勝手に管理されているほうが不安では?
信頼の置ける場所に、一括して厳重管理で保存しておくということが大事。
ちなみに、OpenIDをうまくインプリしているOPでは、ユーザ情報を別の管理主体へ一括して引き継げたりもします。
気に入らなくなったらはいさようならができるんですね。
親コメント
Re:OpenIDの根本的なメリットがわからない (スコア:1)
たとえば自分のメールボックスを見る、ということすら無理だとおもうんだが。
開いてはどうやって「私の」メールボックスと「他人の」メールボックスを区別するのだろう?
さらにはどうやって「私」が【私】であることを確認するというのか。
識別手段が、ID/パスワードかOpenIDか
あるいは携帯電話の機器固有番号のような別のものかはともかくとして。
一切これすなわち空(くう)かもしんない
親コメント