JaLC IRDB Crossref DataCite NDL NDL-Digital RUDA JDCat NINJAL CiNii Articles CiNii Books CiNii Dissertations DBpedia Nikkei BP KAKEN Integbio MDR PubMed LSDB Archive 極地研ADS 極地研学術DB 公共データカタログ ムーンショット型研究開発事業
問題作成ページで問題を作成できます。 認証に利用する写真と答はあらかじめユーザが指定しておきます。 正答と誤答を両方用意しておきますが、どれが正答かは指定しません。 正答を選んでも誤答を選んでも何らかのパスワードが生成されますが、正答を選んだ場合だけ正しいパスワードが生成されます。 解説 ユーザだけが詳細を知っているような写真を利用して問題を作成します。 問題と回答からパスワードが自働的に計算されます。 すべての問題に正答したとき生成されるパスワードを、ログインしたいシステムに登録しておきます。 正答を選ばないと正しいパスワードが計算されません。 ユーザが正しく回答できれば必ず正しいパスワードを生成できるので、パスワードを忘れて困ることがありません。 多くの問題と回答を用意しておけばより安全になります。 利点 絶対に忘れない知識をもとに問題を作成すれば、パスワードを忘れる危険がなくなります
Google Authentication for Web Apps just launched. I got wind of this on my visit to the Google campus two weeks ago (more on this visit next week) and I'm glad they've rolled it out. This service lets you build a web app that uses Google's user accounts for user authentication. All the build-to-flip optimists will immediately adopt it, but the rest of us probably aren't willing to cede our users t
(Last Updated On: 2018年8月20日)問題:まちがった自動ログイン処理の解答です。このブログエントリは最近作られたアプリケーションでは「問題」にしたような実装は行われていないはず、と期待していたのですがあっさり期待を破られたのでブログに書きました。このブログの方が詳しく書いていますけが「Webアプリセキュリティ対策入門」にも正しい自動ログイン処理を書いています。 参考:自動ログイン以外に2要素認証も重要です。「今すぐできる、Webサイトへの2要素認証導入」こちらもどうぞ。HMACを利用した安全なAPIキーの送受信も参考にどうぞ。 間違った自動ログイン処理の問題点 まず間違った自動ログイン処理を実装しているコードの基本的な問題点を一つ一つ順番にリストアップします。 クッキーにランダム文字列以外の値を設定している クッキーにユーザ名が保存されている クッキーにパスワードが保
はてな認証APIさんが公開されまして、これひらたく言うとはてなわんわんワールドてきなID付きオモシロサービスをはてなスタッフじゃないヒトもバンバンつくれちゃうよ、ということです。ひらたく言いすぎ。 そんでそんで、はてな認証APIさんを一番使ってほしいのはインタラクティブアート(?)とかメディア学(?)とかコミュニケーション学(?)とかそうゆう方面の研究が好きな学生さんです。はてなわんわんワールドてきなオモシロツールをじゃんじゃん作っていただきたい。その裏で例えば「コミュニティがどう振舞うか」とか研究されちゃってもおれはかまわないと思いますサービスが面白ければ。 はてな認証APIを3つの立場で見ると、 作るひと(とくにおれは学生さん希望) いきなり40万人からのテストユーザ蠢く環境にサービスを放りこめて、テストユーザタダで使えてHappy! はてな 認証API広まればそれだけでHappy!
2018年10月31日(水) をもって、はてな認証APIの提供を終了します。それに伴い、OAuthへ移行をお願いいたします いつもはてなをご利用いただきありがとうございます。 下記の告知にて予告させていただきましたが、ご利用状況を鑑み、2018年10月31日(水)をもちまして、はてな認証APIの提供を終了させていただきます。 今後、はてなグラフ、ポケットはてななど、複数のサービスの提供を終了する予定です - はてなの日記 - 機能変更、お知らせなど はてな認証APIは、はてなアカウントによるユーザー認証をサードパーティのアプリケーションでも利用できるようにする開発者向けAPIで、2006年4月24日に公開しました。 なお、代替として、はてなではOAuthサービスプロバイダの機能を提供しておりますので、こちらのへの移行をご検討ください。 http://developer.hatena.ne.
Webカレンダーの30Boxesが「出す」と宣言していたAPIの一端を公開した。まだイベントの作成と更新が公開されていないが、それが出れば手元のツールと同期するプログラムとか簡単に書けそうだ。 Google、Amazon、eBayで始まったWeb APIの大きな流れは、当初の読み取り専用データのWeb公開(Open Data!)を経て、Flickr APIとその仲間たちやAtom PPのような更新できるAPI(をSPIと呼んだこともあったっけ)へと歩を進めつつある。 更新できるAPIで重要なのは、認証機能だ。30Boxesも、カレンダーにデータを追加することを念頭においているわけだから当然だが、最初から認証機能が用意されている。こんなAPI呼び出しでユーザーの承認を受けることができる。Flickrとその仲間たちも同じような仕組みでユーザーがアプリへ承認を与えることができる。Amazon W
■エログリッド・コンピューティング::CAPTCHA破れたり::CSRF対策関連 CSRF対策とCAPTCHAの利用 CSRF対策としてCAPTCHAの導入のみで済まそうとすることは危険です。 2006/03/18追記::金床さんからご指摘がありました。CSRFと下記のCAPTCHA破りの件は無関係でした。ご指摘有難うございます。 さて、CAPTCHAが破られたというのは ・botが自動的に(あるいはエログリッドのように半自動的?に)画像の文字を読みとることができるようになった ということです。しかしCSRFの観点で考えれば、正規ユーザのブラウザに送られたCAPTCHA画像は攻撃者の手には渡りません。ですから、この画像に隠されている文字列が自動的に判別できようができまいが関係ありません。つまり、依然としてこのCAPTCHAは ・チケットとして正しく動作 するので、CSRFは防げます。 追記
JamesDam.com ? AJAX Login System Demo This is an example of a login system that does not require page refreshes, but is still very secure. Ajax+PHPでの画面遷移なしのログイン画面作成サンプルが公開されています。 フォームに、user1, pass1 を入力すると即時認証が行われ、次のようにログイン状態になります。 認証には、Ajaxを使ったワンタイムパスワード方式が使われます。 具体的には、Ajaxでサーバからチャレンジコードを取得し、チャレンジコードとパスワードをmd5でハッシュして、更にその値をサーバに送信し、認証を取ります。 このため、従来の方式よりは安全な認証が可能となります。 Ajaxが出てきたことで、ブラウザを開いたままの状態でインタ
Background This article shows one way to use AJAX along with a series of images to create a secure CAPTCHA system. CAPTCHA is a way to tell humans and computers apart and is used all over the web, especially if you're signing up for new email accounts. For more background information and definitions, see http://en.wikipedia.org/wiki/Captcha Building an AJAX CAPTCHA First a database of images is c
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く