OpenID Provider ã®ã‚»ã‚ãƒ¥ãƒªãƒ†ã‚£å¯¾ç– (2) - return_to 㨠realm ã®ãƒã‚§ãƒƒã‚¯ã‚’æ€ ã‚‹ãªï¼
OpenID Provider のセキュリティ対策 (1) - まずは SSL を導入!話はそれからだ - Yet Another Hackadelicã®ç¶šç·¨ã§ã™ã€‚
ã¯ã˜ã‚ã«
RP ãŒèªè¨¼ã‚¢ã‚µãƒ¼ã‚·ãƒ§ãƒ³ãƒªã‚¯ã‚¨ã‚¹ãƒˆã§ã‚ã‚‹ checkid_setup/checkid_immediate ã‚’è¡Œã†éš›ã«ã¯é€šå¸¸ã¯ return_to 㨠realm を指定ã—ã¾ã™ã€‚
return_to ã¨ã¯
OP ã‹ã‚‰èªè¨¼ã‚¢ã‚µãƒ¼ã‚·ãƒ§ãƒ³ãƒ¬ã‚¹ãƒãƒ³ã‚¹ã‚’間接通信ã§å—ã‘å–ã‚‹éš›ã«æˆ»ã£ã¦æ¥ã‚‹URLã®äº‹ã€‚RP ãŒæŒ‡å®šã—ã¦ãŠã。
realm ã¨ã¯
return_to ã®ãƒ‘ターンをワイルドカードを使ã£ã¦è¡¨ç¾ã™ã‚‹ã€‚
return_to 㨠realm ã®æ¤œè¨¼
基本的㫠return_to ã®å…ˆã¯ http://openid.art-code.org/handler ã§ã‚ã‚‹ã¨ã„ã†å‰æã§ã€‚便宜上番å·æŒ¯ã‚Šã¾ã—ãŸã€‚
(1) 期待通りã®çµ„åˆã›
- realm
- http://*.art-code.org
- return_to
- http://openid.art-code.org/handler
ã¿ãŸã„ãªçµ„åˆã›ã®å ´åˆã€realmã§æŒ‡å®šã—ãŸãƒ‘ターンã«return_toã¯ãƒžãƒƒãƒã™ã‚‹ã®ã§ç‰¹ã«å•é¡Œã¯ç„¡ã„。
(2) realm ã®æŒ‡å®šãŒãƒ¯ã‚¤ãƒ«ãƒ‰ã™ãŽã‚‹
ã‹ãªã‚Šåºƒç¯„囲ã«ãƒ¯ã‚¤ãƒ«ãƒ‰ã‚«ãƒ¼ãƒ‰ãŒæŒ‡å®šã—ã¦ã‚るケース。ã“ã‚Œã¯ãƒ€ãƒ¡ã€‚
(3) realm ã«é•åã™ã‚‹ return_to
例ãˆã°ã€
- realm
- http://*.art-code.org
- return_to
- http://redirect.example.com/redirect?url=openid.art-code.org/handler
ã“ã‚Œã¯åã—ã¦ã‚‹ã®ã§NGã«ãªã‚‹ã¯ãšã€‚
(4) realm/return_to ã¯æ£å¸¸ã ãŒRPã¨ã¯ç•°ãªã‚‹ãƒ›ã‚¹ãƒˆã«é©ç”¨ã—ã¦ã‚ã‚‹
ã•ã‚‰ã«è¨€ã†ã¨ã€
- realm
- http://*.example.com/
- return_to
- http://redirect.example.com/redirect?url=openid.art-code.org/handler
ã ã£ãŸã‚‰è¦‹ã‹ã‘上OKã ã‘ã©ã€æ™®é€šã«è€ƒãˆã¦OPã¨ã—ã¦ã“れを許å¯ã™ã‚‹è¨³ã«ã¯è¡Œã‹ãªã„。
ãã‚‚ãã‚‚ RP ã‹ã‚‰è¦‹ã¦ã¾ã£ãŸãé•ã†ãƒ›ã‚¹ãƒˆã«å¯¾ã—㦠realm ã‚‚ return_to も指定ã—ã¦ã‚ã‚‹ã®ã§ã€ã“ã†ã„ã†ã‚±ãƒ¼ã‚¹ã¯ä¿¡ã˜ã‚‹ã¹ãã§ã¯ãªã„。
国内OPã®å¯¾å¿œçŠ¶æ³
â—‹ã¯è‰¯ã出æ¥ã¾ã—ãŸã€‚×ã¯ãƒ€ãƒ¡ã€‚â–³ã¯å¾®å¦™ã€‚解説ã¯ã“ã®å¾Œã§ã€‚
| -- | Yahoo! Japan | livedoor | hatena | wassr | openid.ne.jp | ||||||
| (1) | ○ | ○ | × | × | × | ||||||
| (2) | ○ | × | × | × | × | ||||||
| (3) | â—‹ | â–³ | â–³ | â–³ | â—‹ | ||||||
| (4) | △ | △ | × | × | × |
Yahoo! Japan ã®å ´åˆ
(1) ã®å ´åˆ -> â—‹
ã®ã‚ˆã†ãªå½¢ã§ realm ã‚‚ return_to も明示ã—ã¦ã‚‹ã€‚ã“ã‚ŒãŒãŠæ‰‹æœ¬ã€‚
(2) ã®å ´åˆ -> â—‹
ã“ã‚“ãªæ„Ÿã˜ã§æ€’られãŸã€‚ã“ã‚ŒãŒã‚ã‚‹ã¹ã姿。ã•ã™ãŒ Yahoo! ã§ã™ãªã€‚一点ã ã‘言ãˆã° openid.mode=error ã§è¿”ã—ã¦ã‚‚ã„ã„æ°—ãŒã™ã‚‹ã‘ã©ã€æ•¢ãˆã¦è¿”ã•ãªã„よã†ã«ã—ãŸã‚“ã§ã™ã‹ã。
(3) ã®å ´åˆ -> â—‹
(2) ã¨åŒã˜ç”»é¢ã§æ€’られる。ã“れもæ£ã—ã„。間接通信ã§ãƒ¬ã‚¹ãƒãƒ³ã‚¹ãŒæˆ»ã£ã¦ã“ãªã„ã®ã‚‚ (2) ã¨ä¸€ç·’。
(4) ã®å ´åˆ -> â–³
ã“ã‚Œã¯æ£å¸¸ã§ã‚ã‚‹ã¨èªã‚られã¦ãƒªãƒ€ã‚¤ãƒ¬ã‚¯ã‚¿ã«é£›ã°ã•ã‚Œã¾ã™ã€‚ã“ã®è°è«–ã¯åˆ¥é€”。
livedoor ã®å ´åˆ
(1) ã®å ´åˆ -> â—‹
ã“ã‚Œã¯ã¾ãOKã§ã™ã€‚ãŸã realm も一緒ã«å‡ºã™ã¨ãªãŠè‰¯ã„ã§ã™ã€‚
(2) ã®å ´åˆ -> ×
(1) ã¨åŒã˜ã‚ˆã†ã«å‡ºãŸä»¶ã€‚ã“れ㯠openid.mode=error ã§ãƒ¬ã‚¹ãƒãƒ³ã‚¹è¿”ã™ãªã‚Š Yahoo! ã¨åŒã˜ã‚ˆã†ã«ã‚¨ãƒ©ãƒ¼ç”»é¢å‡ºã—ã¦æˆ»ã•ãªã„ã¨ã‹ã‚„ã‚‹ã¹ã。
(3) ã®å ´åˆ -> â–³
ãã‚‚ãã‚‚ç”»é¢çœŸã£ç™½ã§ä½•ã‚‚出ãªã„。çµæžœçš„ã«rejectã•ã‚ŒãŸã‹ã‚‰â–³ã¨ã—ã¦ãŠã。
(4) ã®å ´åˆ -> â–³
一応 return_to 見ã¦åˆ†ã‹ã‚‹äººã¯ãƒªãƒ€ã‚¤ãƒ¬ã‚¯ã‚¿ã ã¨åˆ†ã‹ã‚‹ã‹ã‚‰â–³ã¨ã—ã¦ãŠã。ã§ã‚‚ç´ äººã¯åˆ†ã‹ã‚‰ãªã„よãã‡ã€‚
hatena ã®å ´åˆ
(1) ã®å ´åˆ -> ×
realm ã ã‘出ã™ã£ã¦ã®ã¯å®œã—ããªã„。return_to ã¨å…±ã«å‡ºã•ãªã„ã¨ä¸é–“者攻撃ã®é¤Œé£Ÿã«ãªã‚‹å¯èƒ½æ€§ãŒã‚ã‚Šã¾ã™ã€‚
(2) ã®å ´åˆ -> ×
以下ã®ã‚µã‚¤ãƒˆã§ã¨ã—ã¦ã€Œ*.orgã€ã£ã¦ã©ã‚“ã ã‘ã®ã‚µã‚¤ãƒˆã«è¨±å¯ã™ã‚“ã よw
(3) ã®å ´åˆ -> â–³
ã©ã†ã‚„ら hatena ã§ã¯ Data::Dumper を使ã£ã¦ã„る模様><
ã¾ãçµæžœçš„ã«ãã®å…ˆã«é€²ã¾ãªã„ã‹ã‚‰â–³ã ã‘ã©ã“ã‚Œã¯æ¥ãšã‹ã—ã„><
(4) ã®å ´åˆ -> ×
realm ã ã‘ã—ã‹å‡ºã—ã¦ãªã„ã®ã§ã€ãã®å…ˆã«ãƒªãƒ€ã‚¤ãƒ¬ã‚¯ã‚¿ãŒçµŒç”±ã—ã¦ã‚ã‚‹ãªã©ãƒ¦ãƒ¼ã‚¶ãƒ¼ã«æ°—ã¥ã‹ã›ã‚‹ãã£ã‹ã‘ãªã©ä¸€åˆ‡ç„¡ã—。
wassr ã®å ´åˆ
(1), (2), (4) -> ×
(3) 以外ã ã¨å…¨éƒ¨ã€
ã¿ãŸã„ã«ãªã£ã¦ã‚‹ã€‚「ã€ã®ä¸ãŒç©ºã£ã½orz...
(3) ã®å ´åˆ -> â–³
真ã£ç™½ï¼žï¼œ
openid.ne.jp
(1), (2), (4) ã®å ´åˆ -> ×
realm ã—ã‹å‡ºã—ã¦ãªã„。return_to も出ã—ã¦ä¸‹ã•ã„><
ã‚ã¨ã€(2) 㯠reject ã—ãªã„ã¨ãƒ€ãƒ¡ã€‚
(3) ã®å ´åˆ -> â—‹
ã“ã‚Œã¯è¦‹äº‹ã« error ã‚’è¿”ã—ã¦ã‚‹ã€‚ã¡ã‚‡ã£ã¨æ„外*1ã ã£ãŸã€‚
ã¨è¨€ã†è¨³ã§ã¾ã¨ã‚ã¾ã™ã‚ˆï¼
- èªè¨¼ç¢ºèªç”»é¢ã§ã¯ return_to, realm å…±ã«æ˜Žç¤ºã™ã‚‹
- realm ã«ä¸ä¸€è‡´ãª return_to ã«å¯¾ã—ã¦ã¯ openid.mode=error ã§è¿”ã™ã‹ã€ãƒªãƒ€ã‚¤ãƒ¬ã‚¯ãƒˆã—ãªã„
- リダイレクトã—ãªã„æ–¹ãŒè³¢ã„ã‹ã‚‚*2
リダイレクタã¨realmã®æ¤œè¨¼ã«ã¤ã„ã¦ã¯åˆ¥é€”エントリ書ã“ã†ã¨æ€ã„ã¾ã™ã€‚(続ã)
