パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Yahoo! JAPANのアカウントがOpenIDとして利用可能に」記事へのコメント

  • by Anonymous Coward
    安全性は大丈夫なの?
    外部企業がIDとPWを持っているのってなにか不安があるなぁ
    • by Anonymous Coward
      今回の件の関連で、先日OpenIDについて調べてみたのだが、フィッシングの手口で簡単にYahoo!IDとパスワードが手に入りそうな気がしてならない。
      その辺はどのようにガードしているのだろうか。
      • Re: (スコア:4, 参考になる)

        同じくOpenIDについて調べたんだが、以下の記載があった。
        Openid.ne.jp [openid.ne.jp]
        QAより抜粋

        Q11. もしOpenIDの認証サーバーがハッキングされたら、登録している全てのユーザーの情報が漏洩してしまうのではないですか? はい、確かにその可能性はあります。しかしそれはあなたがよく利用しているポータルサイトのIDが漏洩したらそのポータルサイトの全てのサービスを見られてしまうことと同じことです。つまり情報漏洩はOpenIDのシステムに問題があると言うより、OpenIDの認証サービスを提供する会社をあなたがどこまで信頼できるかという問題だと思います。あなたが信頼できる認証サーバーでOpenIDを作ることをお薦めいたします。

        ということで、Yahooを信頼できなければヤメロという結論。
        • by Anonymous Coward
          >> OpenIDの認証サービスを提供する会社をあなたがどこまで信頼できるかという問題だと思います。

          > ということで、Yahooを信頼できなければヤメロという結論。

          いやそうじゃなくって、「ウチはOpenID使ってるのでYahoo!のIDが使えますよ」
          と宣伝してるほうを信頼できなければヤメロという結論じゃないの?
          • by taka2 (14791) on 2008年02月07日 10時57分 (#1293065) ホームページ 日記
            > > ということで、Yahooを信頼できなければヤメロという結論。

            > いやそうじゃなくって、「ウチはOpenID使ってるのでYahoo!のIDが使えますよ」
            > と宣伝してるほうを信頼できなければヤメロという結論じゃないの?

            いや、Yahoo!などの「Identify Provider」を信頼するかどうか、であってますよ。
            「ウチはOpenID使ってるのでYahoo!のIDが使えますよ」なサイト=「Consumer」の方は、ユーザー認証は全部 Identity Provider に丸投げしています。認証の流れは、
            1. End User は Consumer に「OpenID URL」(ID)を伝える。
            2. Consumer は、受け取った OpenID URL から Identify Provier のサーバURLを取得し、End User が Identify Provider にアクセスするように Redirect する。
            3. End User は、Identify Provider にパスワード等の認証情報を伝える
            4. Identify Provider は、受け取ったパスワードなどからユーザー認証ができたら、 End User が Consumer にアクセスするように Redirect する。
            5. End User は、「OpenID URL」の正式な持ち主であると認可された状態で Consumer にアクセスできるようになる
            といった感じ。
            Consumer は、正しいパスワードなどの認証に必要な情報をいっさい持っていませんし、ユーザーからパスワードなどの情報を受け取る(中継する)こともないですから、Consumer から「パスワードが洩れる」ような事態はありえません。

            一方、Yahoo!の方でパスワードが洩れたりしたらYahoo!のサービスを勝手に使われるようなことになりますが、
            それと同様にして、OpenIDを使ったサイトにも Yahoo!のIDで勝手にアクセスできるようになります。
            End User 側からも、Consumer 側からも、Identify Provier を信頼できるかどうかは非常に重要。
            親コメント
            • by Anonymous Coward
              > いや、Yahoo!などの「Identify Provider」を信頼するかどうか、であってますよ。

              #1292733 [srad.jp]と#1292789 [srad.jp]は別のことを言っている。

「科学者は100%安全だと保証できないものは動かしてはならない」、科学者「えっ」、プログラマ「えっ」

処理中...