アカウント名:
パスワード:
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
コンピュータは旧約聖書の神に似ている、規則は多く、慈悲は無い -- Joseph Campbell
便利なんだろうけど (スコア:0)
OpenIDの場合はそうではないのですが、これを理解できる人がどれだけいるのでしょうか
どこかで何か問題が起きた時にサービスの提供者に全部苦情が行くとか無いんですかね
問題の切り分けとかちゃんと出来る人ばかりじゃないと思う
Re:便利なんだろうけど (スコア:1)
参考:『認証と認可』
http://www.itmedia.co.jp/enterprise/articles/0804/22/news044.html [itmedia.co.jp]
基本的には、#1448142 [srad.jp]さんが言っている通り、認証の為に本人情報とIDを紐付けるのはIdPになり、RPはIdPを信用してサービスの利用認可をするわけなので、責任の所在は一目瞭然なんですが・・・。
---
しかし、ID利用者のRPの使い方次第で、IdPから個人情報は漏れます。『漏れる』というか、具体的にはRPの中でIDに紐付けられた個人情報を『引き出せる』仕様[*1]になってます。勿論、ID利用者の意思を無視して引き出す事は出来ないので一安心ですが、ID利用者はどの個人情報をどのRPに渡すかを常に意識しておかないといけませんね。でないと、無数にある[*2]RPのどこで何が漏れたか解からなくなります。
1: 参考:http://gihyo.jp/dev/feature/01/openid/0003?page=3 [gihyo.jp]
2: RPが爆発的に普及したと仮定する場合
---
まあ、少し毛色が違う例えかもしれませんが、一昔前に、メーリングリストが流行った頃、いろんなところに登録しまくりすぎて、登録した覚えのないサイトからスパムが押し寄せてきちゃったけど、どこからメールアドレスが漏れたか結局解からなかったような人は要注意でしょうなあ。
俯瞰しよう。何事も俯瞰しなくちゃ駄目だ。
Re: (スコア:0)
VerisignPIP [verisignlabs.com]やHTTP相互認証 [aist.go.jp]のような、画面外で安全性を保証する仕組みが最低限必要かな。
どのサイトでもIDとパスワードが一緒になるという説明だけというのが一番危ない。