Yahoo! JAPANのアカウントがOpenIDとして利用可能に 34
ストーリー by nabeshin
作ったものより動いているものが圧倒的に少ないもの、なーんだ 部門より
作ったものより動いているものが圧倒的に少ないもの、なーんだ 部門より
kanie 曰く、
Yahoo! JAPAN プレスリリースより。Yahoo! JAPANは、外部サイトでYahoo! JAPAN IDを利用可能にするOpenIDの発行サービスをベータ版として開始した。OpenID 2.0に対応したサービスのOpenID欄に、『yahoo.co.jp』(米Yahoo!の場合は『yahoo.com』)と入力するだけで、アカウントの取得・ログインが可能になる。ただいまのところOpenIDを利用できるサービスは1.1までのところが多く、2.0への対応が待たれるところだ。
アカウントをOpenIDとして使える日本の大規模サービスはほかに、livedoor、はてながある。サービス開発者は面倒なアカウント作成画面を作る手間が省け、利用者はOpenIDのURIを憶えておくだけでよく、パスワードやメイルアドレス入力も必要なくなる。Yahoo! JAPANの導入によって爆発的な普及は目前と思われる。
目前に (スコア:4, 興味深い)
見えない壁があったりして。
>OpenIDとは、webサイトのURL 形式で構成されたユーザーの身元確認をするためのIDです。
って説明があるけど、普通に言われる身元確認とは違うよね?クレジットカードで身元を担保することが多いけど、それに置き換わるものではなく、横断的に使えるIDだからあっちのイチローさんとこっちのイチローさんは同じ人らしいということがわかるだけでないの?
正直何度説明を読んでもURL形式など、特徴はほんの少し分かっても利点が理解できません。だ、誰か説明を。いや、それ以前に、分散されていたリスク(別の言葉でもいいけど)を個別に管理していたのがまとめられて一括管理するようになる、って理解でいいんだよね?これはインターネットに接木をしているだけで別の保障を持ち込もうとしているわけではないと読んだんだけど。
>自分のサイトのURLをOpenIDとして利用
という文章は、自分のサイトのURLが今までユーザー確認として用いられてきたものに変わるというわけではない、ということを理解するのに時間がかかったくらいなので何もかもに自信がもてない。
Re:目前に (スコア:3, 参考になる)
ここから始まる「OpenIDの仕様と技術」という一連の記事が
極めて良い説明文章でした。
一連のバックナンバー(?)全部読むのをお勧め。
どれくらい良いかというと、
OpenIDどころかセキュリティ一般に疎いことを自認してる自分でも
OpenIDの特徴(や限界)が理解できたくらいに…。
で、原理は、
http://www.atmarkit.co.jp/fsecurity/rensai/openid02/openid02.html [atmarkit.co.jp]
>ConsumerはEnd UserのUser-Agentを特定のクエリーパラメータを付与したIdPのエンドポイントURLに対してリダイレクトさせます。
(略)
>いずれの手続きも正しく完了した場合、IdPは事前にConsumerが指定したURLにEnd UserのUser-Agentをリダイレクトさせます。
要するに、
「いわゆるログインページの
外観(基本的には)も、また機能も、
自サイトじゃなくよその認証サイトに委譲する仕組み」
ですよねこれ。
Re:目前に (スコア:2, 参考になる)
つまりIDを見れば、どこの誰が認証を請け負ってくれるかがわかる。さらに、そのID(URL)を自身のブログサイトなどに張っておくと、AuthenticationのDelegationができたりする。
とまぁ、それはOpenID 1.0で対応できていたことで、2.0ではむしろXRI(eXtensible Resource Identifier)を採用したことにより、URL/IRIを一段抽象化した世界での識別子である、xri://=hogeとか、@company/dept/meという識別子に対する名前解決でXRDS文書を取得し、そのIDを認証する主体の場所を知ることができる点がウリ。yahooはこれに未対応。
ちなみに、OpenIDのFormにOpenIDを入れても良いが、OP Identifierも入れることができる。この場合は跳んでいった認証請負サイトでIDもパスワードも入力することになる。これはyahooでも対応してる。
OpenID 2.0の問題点は、
1.Associationを作ったとしてもMIM攻撃に弱い点
2.Associationを作ったRP-OPが確かな相手かどうかを確認できない点(Reputation問題)
3.SREG/AX等のPiggy Back方式で情報をOPから引っ張ってこれるが、SSLが使えないと全くセキュアじゃない点
4.インフラとして取得できる情報の型をそろえようとすると大変
5.そもそもAuthentication規格以外の規格に適当なものがある点
6.などなど
とはいえ、SAMLみたいな、密結合なSSOよりは世界に浸透していきそうな気はする。
超セキュアだけど広がりに欠けるSAML/WS-Securityに対して、セキュリティが甘いが疎結合の利点があるOpenIDの弱点が埋められて、結局疎結合の利点を持っているOpenIDのほうが世界には受け入れられるんでなかろうか。
Re:目前に (スコア:1, 興味深い)
OpenIDの人たちはメールアドレスを怪しいサービス用、普段用、大事な事用と複数持つように、
TPOに合わせて複数のIDを使うのが自然とか言ってた気がする。
Re:目前に (スコア:1)
(今のOpenIDだとサイト間の情報交換を行うためのフレームワークがないので、)
「1つのアカウントで、複数のサイトにパスワードロックされた領域が持てる」
以上の意義は今のところ無いです。ニックネームなどの情報は共有できますが、積極的に活用されてるかは。。?
・ 一カ所パスワードを変更したら他所のサイト全部のログインパスワードも同時に変更できるのは便利だよね
とか、
・ 一度パスワードを入力したら、2週間(Yahoo!の場合)はキーボードに触れずに(適切なOpenID対応ブラウザを使用した場合)新しいサービスにログイン出来るのは便利だよね
程度の利便性しか提供しません。それでも十分に利便性はあると個人的には思ってますが。
あと、「特定のサイトのOpenIDプロトコルにだけ対応する」というサイトも幾つかあって、その場合、
・ (Yahooの方式では無理だけど)他所のサービスのアカウントIDと対応したログイン情報を持てる - 従来のはてな認証APIとかJugemKeyを代替する共通プロトコルとして使える
・ 信頼できるIdP(OpenIDのIDを実際に認証するプロバイダ)に対してだけサービスできる - いまのところこの目的が大半。はてな等。
という(サービス提供者から見た)利点があります。
Re:目前に (スコア:1)
これはOAuthの領分になるんではないかと思われます。もうすこし発展しないとどうにも...というのは変らないかも。
>「特定のサイトのOpenIDプロトコルにだけ対応する」というサイトも幾つかあって、その場合、
これは実装がマズいだけの場合もあるみたいです(実体験)。
あと、副次的にですが、ログインID=アカウント名の束縛が弱くなるとかもあるんじゃないかなー。
サービス提供側としては、ライブラリがそれなりにあり、パスワード/メールアドレスの管理から開放されるので、作業や責任が軽くなり結果素早い開始や展開もできるのではないでしょうか。
# 内部のユニークIDは管理しないといけないのは変りませんが...
# まだ、「すごく便利」ほどには実感はないけど、そこそこなのでID
M-FalconSky (暑いか寒い)
Re:目前に (スコア:1)
アトラクションに乗るのにそこのお姉さんにチケットを渡すのではなくて、
遊園地の入り口でフリーパスポートを買っておくようなものかな?
遊園地の入り口は仕様にのっとれば勝手に作ることが出来るし、
アトラクションと入り口は、さらにアトラクション同士に入り口同士も関係なかったりするので、
そこはそれ、自分で注意するようにと。
OpenID.ne.jp [openid.ne.jp]の(親コメントで文章引っ張ってきておきながらリンク示すの忘れてたや)
>OpenIDは、何百万もの人々がオンラインで対話することを可能にする
は大言壮語というか美辞麗句で、そこから考えてわざわざ泥沼にはまる必要はないみたいですね。
Re: (スコア:0)
いや、ちょっと違うんじゃないかな。
http://www.atmarkit.co.jp/fsecurity/rensai/openid01/openid01.html [atmarkit.co.jp]
(からの一連の連載)にも載っていますが、
認証プロバイダとコンシュマ(Webアプリとかを公開する側)とのあいだの
「信頼関係」は結局は重要になるみたいです。
どこのサイトが信頼できるか?を
「ホワイトリスト作って管理する」という
「OpenIDの精神を思えば残念な話だが、現実的な」運用を
してるところもある、と最後のほうで紹介されています。
遊園地の例を挙げたのは凄く適切だと思います。
もってるID (スコア:2, 参考になる)
もちろん全部利用してるわけでもないですが。
しかし、Yahoo!のはOpenID 2.0対応はいいんですが、1.1向けのURLが長いのと(これはしかたない?)
その値の書換えがなんか上手く動いてくんないのは面倒ですねぇ。
# Googleやmixiが対応するのはいつごろだろう...
M-FalconSky (暑いか寒い)
Re:もってるID (スコア:4, 参考になる)
なんで、Flickrも追加です。
Yahoo,YahooJの固有URLは変更できるわけじゃないですね。
ちなみに使ってるサービスは
なんかがありますね。
M-FalconSky (暑いか寒い)
登録してみた(OpenID.ne.jp) (スコア:0)
しかし送られてきたメールの件名が文字化けしていた。
生のUTF-8で送ってきました。
なんだかなぁ、と感じた。
Re: (スコア:0)
リクナビ (スコア:2, 参考になる)
二重ログインしないと使用できない不便な仕様だったので、もしやと思い確認してみたら
OpenID使えるようになってますね。
Yahooは既にサービスイン (スコア:0)
私は知らなかったんですがlivedoor、はてな以外にどんな対応サイトがあるんでしょうか。
むしろ (スコア:0)
外部企業がIDとPWを持っているのってなにか不安があるなぁ
Re:むしろ (スコア:1, 参考になる)
http://www.atmarkit.co.jp/news/analysis/200704/23/openid.html [atmarkit.co.jp]
OpenIDサービス提供側から認証先に行く情報(名前とかメアドとか)は、事前にユーザーの確認が必要らしい。
IDやらパスワードやらはユーザーとOpenIDサービスとの間でしかやりとりされないってことでいいのかな?
捨てIDで実際に使ってみるのが一番わかりやすそうだけど、使えるサイト自体少なそうだ
Re:むしろ (スコア:1)
一人のユーザーの持つIDが多岐に渡って、わけのわからない方法で勝手に管理されているほうが不安では?
信頼の置ける場所に、一括して厳重管理で保存しておくということが大事。
ちなみに、OpenIDをうまくインプリしているOPでは、ユーザ情報を別の管理主体へ一括して引き継げたりもします。
気に入らなくなったらはいさようならができるんですね。
Re: (スコア:0)
その辺はどのようにガードしているのだろうか。
Re:むしろ (スコア:5, 参考になる)
普通のフィッシング対策を取るのが前提です。
Yahooだったらログインシールとか、通常のサイトのようにURLとSSLの状態を確認するとか。 [yahoo.co.jp]
まぁ今は大衆向けのサービスが殆ど存在していないし普及もしていないので問題にはなってませんが、
今後ユーザの多くがOpenIDを体験するようになってそれに慣れてしまうと、
『当サイトはOpenID対応なのでYahoo IDでログインできます だから下のフォームにYahoo IDとPasswordを入れてね』
とか書いてあるサイトに引っかかる可能性は増えるでしょうね。
今は常識的に考えてYahoo以外のサイトはYahooIDではログイン出来ないわけですが、
その前提を崩すのがOpenIDなわけで。
YahooのIDじゃないけど、例えばTwitterは、Webメールのアドレス帳の内容を読み出す目的(自称)で
サインアップ時にgmail等のIDとPasswordを要求するんですが、そういうのが一般化すると色々不味いわけです。
要はOpenIDに限らず信頼できるフォーム以外にパスワードを入れちゃいけないのは変わらない事実なので
それを守る/守らせるように最大限の努力は必要だと思います。
そういう点で、YahooのOpenID対応はもうちょっと説明を入れた方が良いような気がする。
# 個人的にはブラウザへの統合も良いと思うけど。Verisign PIPのような。
Re:むしろ (スコア:1)
> とか書いてあるサイトに引っかかる可能性は増えるでしょうね。
もう少し巧妙な手口 [fkoji.com]もあるようです。これだとOpenIDについて分かってる人でも、うっかり引っかかりそう…。
Re:むしろ (スコア:4, 参考になる)
Openid.ne.jp [openid.ne.jp]
QAより抜粋
ということで、Yahooを信頼できなければヤメロという結論。
Re: (スコア:0)
> ということで、Yahooを信頼できなければヤメロという結論。
いやそうじゃなくって、「ウチはOpenID使ってるのでYahoo!のIDが使えますよ」
と宣伝してるほうを信頼できなければヤメロという結論じゃないの?
Re:むしろ (スコア:1)
> いやそうじゃなくって、「ウチはOpenID使ってるのでYahoo!のIDが使えますよ」
> と宣伝してるほうを信頼できなければヤメロという結論じゃないの?
いや、Yahoo!などの「Identify Provider」を信頼するかどうか、であってますよ。
「ウチはOpenID使ってるのでYahoo!のIDが使えますよ」なサイト=「Consumer」の方は、ユーザー認証は全部 Identity Provider に丸投げしています。認証の流れは、
- End User は Consumer に「OpenID URL」(ID)を伝える。
- Consumer は、受け取った OpenID URL から Identify Provier のサーバURLを取得し、End User が Identify Provider にアクセスするように Redirect する。
- End User は、Identify Provider にパスワード等の認証情報を伝える
- Identify Provider は、受け取ったパスワードなどからユーザー認証ができたら、 End User が Consumer にアクセスするように Redirect する。
- End User は、「OpenID URL」の正式な持ち主であると認可された状態で Consumer にアクセスできるようになる
といった感じ。Consumer は、正しいパスワードなどの認証に必要な情報をいっさい持っていませんし、ユーザーからパスワードなどの情報を受け取る(中継する)こともないですから、Consumer から「パスワードが洩れる」ような事態はありえません。
一方、Yahoo!の方でパスワードが洩れたりしたらYahoo!のサービスを勝手に使われるようなことになりますが、
それと同様にして、OpenIDを使ったサイトにも Yahoo!のIDで勝手にアクセスできるようになります。
End User 側からも、Consumer 側からも、Identify Provier を信頼できるかどうかは非常に重要。
Re: (スコア:0)
#1292733 [srad.jp]と#1292789 [srad.jp]は別のことを言っている。
爆発的に普及する要因が分からない (スコア:0)
し、わざわざ移行(OpenID取得作業)を改めてしようと思わせる何かがない。
Re: (スコア:0)
ログインIDとパスワードが一元管理されるなら
よりセキュアなパスワードに定期的に変えられるようになります。
また新しいサービスに登録した際にあらたなアカウントと
パスワードを登録し、記憶し、管理する必要がなくなりますね。
んで、すべてfelica+パスワードで使えるようにしてくれるともっとうれしいのですけど・・・。
物理鍵+パスワードでとっても安全!
Re:爆発的に普及する要因が分からない (スコア:2, すばらしい洞察)
超カネ掛かるので新規にそういうことをするのは多分無理です。基本的にFeliCaは、
・共通鍵
かつ
・暗号処理アルゴリズムと暗号鍵を秘密に(PCから扱えないように)しておくことでセキュリティを保ってる
仕組みなので、そういう目的のためにCyber FeliCa Platform [sony.co.jp]とかの特別な機器が要ります。
例えばEdyとか既存のそういうサービスを提供しているところがOpenIDを提供するという方向性も考えられなくは無いですが、
個人的には期待できないと思います。
SSLクライアント認証のようなオープン標準であっても物理的な鍵(例えばiKeyとか最近のノートに内蔵されているようなTPMとか)を提供しているので
そういうのを採用したOpenIDプロバイダは有っても良いかなとは思います。
# なんで(技術的には使える)住民基本台帳カードはこういう目的に使えるようにしなかったんだろう
Re:爆発的に普及する要因が分からない (スコア:2)
もしその機能もできるようにしていたとしたら,「国民総背番号制」っぽさがさらに濃くなってしまって,国会で賛成を得られず,そもそも住民基本台帳カード自体が無かったことになってたかもしれませんね。
住民基本台帳カードに,その機能をつけなかった場合でも,つけた場合でも,どちらにしても実現はしなかったということで,「無いものねだりなのだ」と考えてみるのも一興かも。
Re: (スコア:0)
Re: (スコア:0)
OpenIDの根本的なメリットがわからない (スコア:0)
情報を取得する側にとってみれば、認証しないと個人を特定できないのは面倒なことですが、利用する側にしてみれば、認証しないで情報が漏れる方がリスクなわけで。
なんのためにプライバシー保護のための様々な仕組みが出てきたのか。
「IDが共有できて便利になります」というのは、その答えになってない。プロダクトアウト的発想だと思うんですが。
(リスクが伝わらずに便利ですよとユーザーを騙すならなおタチが悪い)
Re:OpenIDの根本的なメリットがわからない (スコア:1)
たとえば自分のメールボックスを見る、ということすら無理だとおもうんだが。
開いてはどうやって「私の」メールボックスと「他人の」メールボックスを区別するのだろう?
さらにはどうやって「私」が【私】であることを確認するというのか。
識別手段が、ID/パスワードかOpenIDか
あるいは携帯電話の機器固有番号のような別のものかはともかくとして。
一切これすなわち空(くう)かもしんなくてイエスキリストもきっと正しい。