Doorkeeper

#idcon mini Vol.3 - Covert Redirectの話はまだ終わってない

2014-05-22(木)19:00 - 21:00 JST

株式会社ミクシイ 本社 7F 0715 セミナールーム

東京都渋谷区東1-2-20 住友不動産渋谷ファーストタワー7F

申し込む

申し込み受付は終了しました

今後イベント情報を受け取る

参加費無料
懇親会は終了後に外で適当に開催するかもしれません。

詳細

注意事項

普段の #idcon と比べると #idcon mini はディープです。

予定している内容(変更される可能性があります)

OAuth(OpenID Connect) + Covert Redirectの件でモヤモヤしている部分を全てはっきりさせましょう。

  • Implicit で access_tokenとられるって話(さらっと)
  • Authorization Code使う場合のリスクと対策(細かい話)
  • Native App + Back-End Serverなややこしげなケースのリスクと対策(細かすぎて伝わらない話)

それぞれで、次の3点を理解して帰りましょう。

  • 攻撃者がやりたいことと、それを許す可能性がある実装
  • 対策のためのServer側の独自拡張
  • 対策のためのClient側はこうしておけ

なんとなくの資料はこちらです。
idcon mini vol3 CovertRedirect

進め方

この手の話は、普通にやったら誰かの解説だけでモヤっとしたまま終わります。
それなりに工夫が必要です。

  • 誰かがネタを最初から公開しておく(未定)
    • 事前にブログ記事読んで来い or この資料見れぐらいでも良い
  • 参加者はそれを見てモヤモヤしておく
    • Twitterとかに書いておくと誰かが拾う
    • とりあえず来て0から理解しようとするとそれだけで終わると思う
  • 会場では質疑応答をおおめにする
    • 終わんなかったら誰かの宿題に...

See also

@nov先生のOAuth.jpの記事を載せておきます。

あと John Bradley の2014年5月のブログ記事を読みあさっておくことをお勧めします。
http://www.thread-safe.com

OpenID 2.0はまぁ、いいだろ。

会場について

  • ビルに入り、エレベーターで7Fまで上がってください。
  • 受付に行かず、右に曲がってさらに曲がって突き当りまで行かず、途中の扉から@ritouが誘導することになります(案内は用意しておく予定です)
  • 20時以降はビルの正面玄関が閉じてしまうため、なるべくその前にご来場ください
  • 何か不明点などありましたらTwitterの #idcon というハッシュタグをつけて @ritou, @nov あたりにメンションください
  • 開場は18:30頃から
  • 以前無線LANを提供したところ評判がいまいちだったのでしません
  • USTなどは気が乗らないのでたぶんしません
  • 定員はもう少し増やすかもしれません ← 増やしません!

コミュニティについて

Identity Conference #idcon

Identity Conference #idcon

Digital Identity大好きな人たち (ID厨) の集まり。 OpenID/OAuthから、UDIDとプライバシーの問題、国民IDまで幅広くやってます。 話の内容はちょっとディープ、かもしれない。 http://idcon.org 過去の発表内容は、ここで割と見つかります。 http://www.slideshare.net/search/slideshow?q=idcon ...

メンバーになる