産総研とヤフー、フィッシング対策プロトコルの実装例を公開 29
ストーリー by nabeshin
フィッシングがなくなるか 部門より
フィッシングがなくなるか 部門より
hide.jikyll 曰く、
一年ほど前に「ヤフーと産総研、フィッシングを防止するパスワード相互認証技術を開発」というストーリーが掲載されていますが、この認証プロトコル「HTTP Mutual」を利用するためのApacheモジュール「mod_auth_mutual」とFirefoxベースのWebブラウザ「MutualTestFox」が産総研の情報セキュリティ研究センターのサイトで公開されています(ITmedia Newsの記事、プレスリリース)。6月から「Yahoo!オークション」において実証実験も開始されるとのこと。なお、現在のところMutualTestFoxはWindows版のみの提供となっていますが、Firefox(3.0β5)との差分ソースが公開されているので自前でコンパイルすれば他のOSでも利用できると思われます。
期待 (スコア:2, 興味深い)
ついに実装が公開されたのですね。この技術が広まって、ブラウザーにはパスワードを入力する専用のテキストボックスがあるのが当たり前、それ以外の場所にパスワードを入力する必要などないのが当たり前になってくれたら良いと思います。
ところで、 2007 年 3 月の発表当時のプレスリリース (産総研 [aist.go.jp]、 Yahoo [yahoo.co.jp]) と Internet Watch の記事 [impress.co.jp]では「ブラウザ拡張機能を試作しました」「Web ブラウザ『Firefox』の拡張機能を試作している」と書かれていて、この点もクライアント側の導入が簡単で素晴らしいと思っていたのですが、今回の実装は Firefox の改造版のようですね。何か理由があるのでしょうが、これだとクライアント側のハードルが高いので、少し残念です。
(それとももしかしたら、 Firefox 機能拡張より、 Firefox を改造して作った別のブラウザーの方が多くの人にとってはハードルが低い、なんてことがあるのでしょうか?)
それと、細かい話ですが、 Internet-Draft [ietf.org] というのはあくまでも draft なので、「正式版」と呼ぶ [aist.go.jp]のはいただけません。そのうち RFC になることに期待します。
Re: (スコア:0)
Re: (スコア:0)
ふーん、わざわざ「」付けて混乱させるのもどうかな。リンク先をみると、IETFに提出した正式な仕様書と書いてありますが、これは(議論もおわり合意に達した意味での)「正式版」の意じゃなく(これをそのまま手を入れずにIETFに出しましたよ、という意味の)「正式版」だとわかるけどね。
他のOSでは利用できないような (スコア:1, 参考になる)
あとnsIMutualAuthState.xptの元になるidlが含まれてないのが気になりました。
Re:他のOSでは利用できないような (スコア:3, 興味深い)
勘違いで別アーカイブの .dll ソースのアップロードを落としてしまいました。
Web の方は修正してあります。
そもそもVCにビルドが依存してたりするんで他OS対応がまだ難しいかも知れませんが、僕自身 Linux 版 Firefox を使ってるんで、余裕があればなんとかしたい、とは思います。
# 中の人なので(ry
Re: (スコア:0)
中身拝見 (スコア:1, 興味深い)
以下、野暮コメント まあ、やりたいことは分かりますが、"AUTH SUCCEED"はリテラルなので、nsAString流にいくなら、EqualsLiteralですね。 でも、これって、結局::strcmpと変わらないので の方が万人向けだと思います。
あと、NS_COPY_CACHE_TO_CHANNELは何故マクロなのでしょうか。 inline関数でも別にいいんですよね、これは?コンパイラが信用できないとか、そういう話なんだろうか…。
Re: (スコア:0)
> の方が万人向けだと思います。
こっちの方が自然じゃないですか?
if (PR_strcmp(value, "AUTH SUCCEED") == 0) {
Re:中身拝見 (スコア:2, 参考になる)
つまり意図しない代入を防げるってわけなんです。
Re:中身拝見 (スコア:1)
そういうバッドノウハウは賛否が分かれると思います。
ていうか、これが話題になると宗教論争になることが多いし…
でも、今回の場合、
> if (PR_strcmp(value, "AUTH SUCCEED") == 0) {
こっちの順番でも「==」を「=」とタイポしたらエラーになりますね。
Re: (スコア:0)
>そういうバッドノウハウは賛否が分かれると思います。
そもそもいまどきのコンパイラは
if (a=0)
とか書いたら警告出すから
よほどの粗忽者でもなければ気がつく。
Re: (スコア:0)
Re: (スコア:0)
プロトコルの仕様の日本語版がない件 (スコア:1, すばらしい洞察)
どんな実装にしたのか wktkしてたのにひどい仕打ちだ。
日本人ならすべて日本語で書けとまでは言わないが、日本語版ぐらい用意してほしい。
俺が英語を読めない件については無視することにして、
とりあえず、文句を言っておく。
そんなわけで、プロトコルの仕様の日本語訳を誰か作ってお願いぷりーず
Re:プロトコルの仕様の日本語版がない件 (スコア:1, すばらしい洞察)
Re:プロトコルの仕様の日本語版がない件 (スコア:1)
バグってても「それは仕様です」ってやつ?
仕様書を軽視すると, 何が正しいのか判別がつかなくなりますよ. というか, こういう人がサンプルコードを理解せずにコピペして使っているんだと想像.
Re: (スコア:0)
MutualTestFoxって (スコア:1)
しかしMutualTestFoxって名前はどうなのよ?
仮の名前なのかもしれないがもっとマシなネーミングはなかったのかと
外部に公開するものにこのネーミングセンスはないわ。
Re:MutualTestFoxって (スコア:1)
いや本当に大切なのはHTTP Mutualであって, MutualTestFoxは単なるプロトコル実装サンプルだから.
技術的概要 (スコア:1, 参考になる)
おおいわのこめんと [www.oiwa.jp]
あと、昔のやつですがこちらにも紹介があります。
@IT [atmarkit.co.jp]
あとはサイトに論文 [aist.go.jp]があるのでそちらをどうぞ。
あ、slashdot.orgの画像が使われてる…
Re: (スコア:0)
MutualTestFox では右側になってますね。
右側の方がいいという結論なんだろうか・・・。
認証プロトコル「HTTP Mutual」 (スコア:0)
ははーん (スコア:0)
高木先生が去年の12月にIETFに行って来た [takagi-hiromitsu.jp]話はこの絡みですね。
複数の認証対象があったら? (スコア:0)
やっぱりフレーム内ページは対象外?
雑感 (スコア:0)
- HTTPパスワード相互認証プロトコル
- HTTP Mutual アクセス認証
- HTTP相互認証プロトコル
ブレがあるというか、それぞれの定義がはっきりしないように思う。あと、別の指摘にもあるがブラウザ本体を配布するという方法にも疑問がある。「ちょっと試す」ハードルを 低くする効果はあるにしても、ブラウザ本体の脆弱性を修正することを放棄している(自動更新を 無効化している)以上、常用は決してお勧めできない。 Yahoo!オークションで実証実験するらしいが、その期間中の対応(ユーザへの通知も含めて)は どうするつもりだろうか。6月というとFirefox 3正式リリース後か...
ブラウザについては、ログインボタン(認証ボタン?)/ログアウトボタンにはtooltipがあるとよいと思った。
もうひとつブラウザについて、パスワード記憶(自動入力)と連携していないのががっかりだった。 技術的には可能だと思うが、複数IDがある場合の扱いが問題だろうか。
体験サイトについては、ログアウトボタンがあるとよいと思った。せっかくそのためのプロトコルを 持ってるのに。サイトの目的が違うのかもしれないけど、「Basic認証とは違うでしょ?」ってところ をもっとアピールしてもよいと思う。
Re:雑感 (スコア:1, 参考になる)
俗にbasic認証とかdigest認証と呼ばれてるものは正式名称は、
Basic access authentication [wikipedia.org]とか
HTTP Digest access authentication [wikipedia.org]
なので、それに合わせた名前なのでしょう。
他は知らない。
Re:雑感 (スコア:1, 参考になる)
体験サイトのログアウトボタンについては、体験サイトの説明コーナーに と書いてありました。多分、某大手通販サイトを安全に使うための練習 [hatena.ne.jp]も兼ねているのでしょう。
#絶対違うのでAC