アカウント名:
パスワード:
何故いちいちパスワードを入力しないと認証ができないのかもっとセキュアな方法があるんじゃない?
それがOAuthですよ。・RSAのサーバーは、Twitterのサーバに利用許可申請を出す・ユーザーは、Twitter のサーバにユーザー/パスワードを送って認証する(すでに認証済のブラウザからのアクセスの場合、ユーザー/パスワード送出は不要)・Twitterは、ユーザーに「RSAに対して利用許可を出してもいいかどうか」確認する・OKの場合、Twitterのサーバはトークンを発行しRSAのサーバに接続許可を出す・このトークンを使うことで、RSAサーバは許可が出されたユーザーの名義でTweetを投稿できたりするようになる。という流れ。ユーザー/パスワードの認証はTwitterのサーバに直接送られますので、RSAのサーバーにユーザー/パスワードを知らせることはありません。
だから、「フォームに入力したユーザー名とパスワードがRSA Conferenceのサーバーに送信される」というのであれば、明らかに「OAuthは正しく使われていない」ということです。OAuthが悪いのではなく、RSAの登録ページの実装があきらかにおかしい。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
日々是ハック也 -- あるハードコアバイナリアン
Twitterの認証のほうがおかしくない? (スコア:0)
何故いちいちパスワードを入力しないと認証ができないのか
もっとセキュアな方法があるんじゃない?
Re:Twitterの認証のほうがおかしくない? (スコア:1)
それがOAuthですよ。
・RSAのサーバーは、Twitterのサーバに利用許可申請を出す
・ユーザーは、Twitter のサーバにユーザー/パスワードを送って認証する(すでに認証済のブラウザからのアクセスの場合、ユーザー/パスワード送出は不要)
・Twitterは、ユーザーに「RSAに対して利用許可を出してもいいかどうか」確認する
・OKの場合、Twitterのサーバはトークンを発行しRSAのサーバに接続許可を出す
・このトークンを使うことで、RSAサーバは許可が出されたユーザーの名義でTweetを投稿できたりするようになる。
という流れ。
ユーザー/パスワードの認証はTwitterのサーバに直接送られますので、
RSAのサーバーにユーザー/パスワードを知らせることはありません。
だから、「フォームに入力したユーザー名とパスワードがRSA Conferenceのサーバーに送信される」というのであれば、明らかに「OAuthは正しく使われていない」ということです。OAuthが悪いのではなく、RSAの登録ページの実装があきらかにおかしい。