アカウント名:
パスワード:
面白そうなのでプレスリリースに目を通しました。僕は PAKE とかいう言葉も初めて聞いたくらいで、全然前提知識がないので、いろいろ間違ったことを書く可能性が高いです。
悪く言えば、ウェブブラウザーから専用クライアントへの逆行とも言えるユーザーインターフェース、 password authenticated key exchange (PAKE) 認証方式、 HTTP 認証の小さい拡張など、既存あるいは小規模な要素技術を組み合わせた「だけ」とも言えそうです。でも、これらを組み合わせて実用に耐える新しいフレームワークを作ったという点が売りなのでしょうし、それが事実なら素晴らしいと思います。この技術には期待できそうです。誰でも安心してネットが使えるようになるといいですね。
なるべくオープンな仕様にして、ウェブサーバー側が簡単に導入できるようにするとともに、マイナーなブラウザーでも開発者が頑張れば実装できるようにしてほしいです。
ところで、今回発表された技術の全体には名前が付いていないんですね。少し意外でした。
今更ですが、 #1133089 [srad.jp] で
と書いた部分の意図が伝わっていないと思うので一応お返事します。
nisiguti さんの書き込み #1133212 [srad.jp] より:
Mutual認証と呼んでいるようですね。
Mutual というのは今回の技術で新たに制定した HTTP の認証スキームの名前だと思いますが、その名前のことが言いたかったのではありません。
今回の提案は、 (A) ISO/IEC 11770-4 という既存の PAKE プロトコルを基にして中間者攻撃にやられないようなパスワード相互認証方式を設計し、 (B) そのパスワード相互認証方式を HTTP アクセス認証と融合し、 (C) ブラウザーの機能拡張によって安全に認証を行う仕組み全体です。 Mutual という名前は (B) の部分にしか出てきません。「全体」に名前を付けていないのが不思議だと思うのです。
例えば、今後この方式が広く使われるようになったとして、ウェブサイトに「このサイトは Mutual 認証を用いているので安全です」と表示するのは変に一部だけ取り出していておかしいと感じます。「パスワード相互認証を用いているので安全です」なら間違っていません。でも、パスワード相互認証方式の中でも今回 Yahoo! と産総研が提案した方式を指す名前がありません。これは提案者である Yahoo! と産総研にとって不利だと思うので、不思議です。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
ナニゲにアレゲなのは、ナニゲなアレゲ -- アレゲ研究家
プレスリリース雑感 (スコア:1)
面白そうなのでプレスリリースに目を通しました。僕は PAKE とかいう言葉も初めて聞いたくらいで、全然前提知識がないので、いろいろ間違ったことを書く可能性が高いです。
悪く言えば、ウェブブラウザーから専用クライアントへの逆行とも言えるユーザーインターフェース、 password authenticated key exchange (PAKE) 認証方式、 HTTP 認証の小さい拡張など、既存あるいは小規模な要素技術を組み合わせた「だけ」とも言えそうです。でも、これらを組み合わせて実用に耐える新しいフレームワークを作ったという点が売りなのでしょうし、それが事実なら素晴らしいと思います。この技術には期待できそうです。誰でも安心してネットが使えるようになるといいですね。
なるべくオープンな仕様にして、ウェブサーバー側が簡単に導入できるようにするとともに、マイナーなブラウザーでも開発者が頑張れば実装できるようにしてほしいです。
ところで、今回発表された技術の全体には名前が付いていないんですね。少し意外でした。
Re:プレスリリース雑感 (スコア:1)
>具体的には、HTTPアクセス認証(RFC 2617) の自然な拡張として設計し、
>Basic認証、Digest認証と同じフレームワークを利用した“Mutual”認証を
>新たに開発しました。
http://pr.yahoo.co.jp/release/2007/0323a.html [yahoo.co.jp]
Re:プレスリリース雑感 (スコア:1)
今更ですが、 #1133089 [srad.jp] で
と書いた部分の意図が伝わっていないと思うので一応お返事します。
nisiguti さんの書き込み #1133212 [srad.jp] より:
Mutual というのは今回の技術で新たに制定した HTTP の認証スキームの名前だと思いますが、その名前のことが言いたかったのではありません。
今回の提案は、 (A) ISO/IEC 11770-4 という既存の PAKE プロトコルを基にして中間者攻撃にやられないようなパスワード相互認証方式を設計し、 (B) そのパスワード相互認証方式を HTTP アクセス認証と融合し、 (C) ブラウザーの機能拡張によって安全に認証を行う仕組み全体です。 Mutual という名前は (B) の部分にしか出てきません。「全体」に名前を付けていないのが不思議だと思うのです。
例えば、今後この方式が広く使われるようになったとして、ウェブサイトに「このサイトは Mutual 認証を用いているので安全です」と表示するのは変に一部だけ取り出していておかしいと感じます。「パスワード相互認証を用いているので安全です」なら間違っていません。でも、パスワード相互認証方式の中でも今回 Yahoo! と産総研が提案した方式を指す名前がありません。これは提案者である Yahoo! と産総研にとって不利だと思うので、不思議です。