対象:ホームページ・Web制作
回答数: 3件
回答数: 7件
回答数: 3件
新しく立ち上げるWebサイトをOpenID2.0に対応したサイトにする方針が決定されました。
サイト作成にあたってどのような点に注意すればいいでしょうか。上層部は特に個人情報などのセキュリティが気になっているようです。
新米Webプロデューサーさん ( 東京都 / 男性 / 37歳 )
回答:4件
谷口 浩一
Webプロデューサー
-
OpenIDのフレームワークにきちんと従いさえすれば
あとは、貴社にできることはあまり多くありません。
新米Webプロデューサーさん、こんにちは。
チームデルタの谷口です。
認証サーバに制御が移り、サーバ上で認証が完了するまでのセキュリティーには、手の出しようがありません。
OpenIDは、まさに、オープンな分散型認証の仕組みですから、IDを保持している組織を信用するかどうかという判断になりますが、参加組織があまりない現時点では今後を見守るしかありません。
それに貴社は、既に対応を決定されてるんですよね。
セキュリティーという側面からは、以下2つの問題があるかと思います。
1.1つのIDにたくさんのサービスが統合されることによるIDの価値増大リスク
故意に他人のアカウントを狙う輩にとってはとても魅力的なことですね
2.OpenIDを採用するすべてのサイトにアクセスできるリスク
ID取得の手間が省けるぶん、敷居が低くなり安易なアクセスが増えます
どちらも、ユーザーの自己責任と言ってしまえばそれまでですが、2.については、サイト運営企業の信頼性と、それを伝える努力も必要になります。
ユーザーがIDを使ってアクセスしようとするWebサイトとそこで提供されるサービスに対し信頼できる、と判断できることが大切です。
IDの魅力が増大する以上、”なりすまし”による、そっくりなインターフェースはたくさん登場するはずです。
ご参考になれば幸いです。
成功するWeb戦略とホームページ制作のチームデルタ
谷口浩一
岡本 興一
ITコンサルタント
-
技術面よりも普及面が問題では?
ウェブサイトオーナーとして考える場合、個人情報のセキュリティ・・と記載がありますが、認証の話と個人情報漏洩対策の話は別のものとして議論すべきではないかと思います。
少なくても、認証方法の変更により、個人情報漏洩が起こりやすくなるかどうか?は別の話です
セキュリティ強度が同じなら、大きな違いはないはずです。
さて、ウェブサイトの認証方法の違いで考えておかねばならないのは、なりすましや、パスワード漏洩対策対策であり、OpenID については、技術的に最も懸念されているのはフィッシング、man in the middle攻撃です。
どちらについても、サイトオーナーができる対策はあまりありません。
最大の問題は、普及が進んでいない状況においてはユーザが使い方を理解してくれるかどうか?
すなわち、従来とは全く異なるログイン方法をすぐに理解してもらうのは難しいということです
OpenIDのロゴが入ったボックスを見てもユーザーが戸惑わなくなることが最初の壁でしょう。
フィッシング、man in the middle攻撃への対策は、ユーザ側の知識、意識により防御すべき部分が非常に大きいため、これらの啓蒙を行うことが重要です。
自社サイトを真似したフィッシングサイトが登場しても、ユーザに対して、そのサイトへアクセスさせない様に制限をかけるのは、技術的には不可能です。
ユーザ自身が自己責任で対応するしかないわけです。
OpenID は、利便性を向上させるために作られた規格であり、採用サイトが増えなければその威力は発揮されません。
そうした意味でも、普及と、ユーザの啓蒙が非常に重要なポイントになるのだと思います。
集客につながるホームページ
ネットとセキュリティ〜ウィジット株式会社
岡本興一
竹波 哲司
Webプロデューサー
-
OpenIDのセキュリティ面
はじめまして、バンブーウエイブ岡崎です。
弊社では、まだOpenIDの案件は対応したことがなく、仕様を眺めた上での想定になりますが、
私のほうで感じた注意点を紹介します。
**OpenIDの説明を明記
いまのところ、OpenID自体が一般にはそれほど広まっていないことから、
ユーザーへ
・OpenIDがどういったものかの紹介
・おすすめの認証サイトの紹介
が必要かと思います。
確かに、認証や属性情報、パスワードの管理を認証サイトに任せているので、
サイト側には責任がないはずですが、初めて利用されるユーザーもいますので、
注意喚起しておいた方がいいかと思います。
**認証サイトについて
OpenIDの認証は認証サイトにゆだねられ、OpenID自体の仕様はオープンですので、
だれでも認証サイトを造ることが可能になります。
いまいまでは、日本では使用している人も少ないので、あまり必要ないでしょうが、
ブラック認証サイトの対応を検討しておいたほうがいいかもしれません。
**属性情報について
OpenID認証を行うと、属性情報が取得できますが、この情報の扱いに注意が必要かと思います。
**登録フローの変更
OpenIDを認証に利用することで、通常は会員登録時にID発行と属性情報の入力を同時に行うことが多いですが、認証後、属性情報を登録してもらうというフローになります。
**OpenIDの扱い
多くのユーザー、サイトがOpenIDを利用することでOpenIDの情報としての重要性も向上していきます。OpenIDを悪用することもでてくるかと思います。
ユーザーを守る為にも、OpenIDはサイトでは公開しないほうがよいかと思います。
ご参考になれば幸いです。
WEBコンサルティングのバンブーウエイブ
伊藤 章裕
システムエンジニア
-
OpenIDはOpenになるかどうか
新米Webプロデューサーさんはじめまして
アイティーエムクリエイトの伊藤です。
年々増え続ける新興サイトの会員登録、どのIDだったかな?どのパスワードだったかな?
とIDの氾濫が起こりかねない時期にぴったりの企画。OpenIDの良いところですね。
しかし、今後の展開でまだわからないのが、本当にOpenになってくれるかどうかです。
結果は2、3年後にはわかると思いますが、大手のサイトが取り扱うようになれば良いのですが
逆に大手のサイトが新しいOpenIDを始めだしたらOpenがそちらに流れてしまいます。
この企画については、もう少し様子を見てもよいような気もします。
現在の対応サイト
http://www.openid.ne.jp/#domesticsites
私自身この企画についてまだ詳しく把握していないのですが、問題、懸念、感想を
申し上げました。
参考になれば幸いです。
(現在のポイント:-pt)
このQ&Aに類似したQ&A
表示中のコンテンツに関連する専門家サービスランキング