JOSE（JavaScriptオブジェクトへの署名と暗号化）は、絶対に避けるべき悪い標準規格である | POSTD

注： 本稿は元はJSON Web Tokens（JWT）について書いたものですが、JWTはJavascript Object Signing and Encryption（JOSE）のサブセットであるため、以下の批評はどちらかというとJOSE全体に焦点を当てています。 もし既にJavascript Object Signing and Encryption（JOSE）を実装することを決めているなら、それがJSON Web Tokens、JSON Web Encryption（JWE）、JSON Web Signatures（JWS）のいずれであっても、その決断に疑問を持つべきです。間違いを犯そうとしている可能性があります。 この投稿に書いたことはすべて、RFC 7519、RFC 7515、そしてRFC 7516に則っています。将来、新規のRFCでは以下に挙げるような欠陥はなくなっている可能

[bungoume]

JWSはヘッダ部の完全性が保証できない仕様上の問題があるという話。まぁ最近のライブラリはalg制限あるし普通のエンジニアはリファレンス読んで問題点理解してるはずだから使うなは言いすぎ。JWEはほぼ使われていない

[tsz]

ジョーズに使えないってか

[j5ik2o]

読んでる

[nekoruri]

JWT直接触らず良く考慮されたライブラリを使えってことじゃないの？

[moegg]

“セッションのサーバサイド保存を避けるためにJWTを用いようとします。これがほぼ例外なく大きな間違いであり、開発者に、注意深いエンジニアリングではなく、小賢しい言い訳とその場しのぎの対策をさせる原因”

[ANNotunzdY]

とてもわかる。

[jonysand]

“Fernet”

[igrep]

OpenID Connectめんどいわー。

[higher_tomorrow]

JWT

[teematsu]

JWT

[n314]

jwt

[willnet]

この文章だけだとイマイチよくわからないな

[masterq]

"よりよい標準規格に最も近いのは、Fernetです。"

[masutaka26]

翻訳されてた。正直まだピンと来ていない “結論：JOSE / JWT / JWS / JWE ダメ、絶対。”

[Dai_Kamijo]

JOSEは、絶対に避けるべき悪い標準規格である | プログラミング | POSTD @POSTDccさんから — 上條　大 (@Dai_Kamijo) April 14, 2017 from Twitter https://twitter.com/Dai_Kamijo April 14, 2017 at 06:37PM via IFTTT

[otiai10]

あとで読む

[masakielastic2]

鍵暗号を選ぶことは6つの弾倉に5つの弾丸が装填された銃で自分の足を撃つこと。代替方法として Fernet やトークンベースの認証の解説記事が示されている。

[Kiske]

hmm

[iktakahiro]

https://jwt.io/ からの反論待ち

[yosuke_furukawa]

JWTをセッション管理に使うな、と。JWSのalgヘッダーをちゃんと理解して実装されてるライブラリも少ないし、JWEの暗号化アルゴリズムは適切に選択されていない。代わりにFernetを使えと。

[braitom]

“セッション管理にJWTを使ってはならない。”

[yujiorama]

安全性に関するいろいろな資料

[auient]

よく分からない

[kyrie_leison]

JavaScriptオブジェクトへの署名と暗号化はダメ、ゼッタイ。という話

[uehaj]

結論：JOSE / JWT / JWS / JWE ダメ、絶対。/ほとんどのJWT適用例では、Fernetが1つの選択

[hkdnet]

👀