Hello! Tender Surrender is using DISQUS, a powerful comment system, to manage its comments. Learn more.
Community Page
- devlog.agektmr.com Jump to website »
-
Subscribe -
Community
-
Top Commenters
-
Popular Threads
-
Recent Comments
- ようやく確認できました。確かに、仕様もShindigの実装もinclude-urlのように単数形になってますね。 まあ、しょせんキャッシュ制御なのでいいっちゃいいんだけど、今まで動いてたガジェットで不具合が出る可能性はありますね・・・
- > OpenSocialのドキュメントに orkut.PersonField とちゃんと記載がありますよ。 確かに、ありますね。ただ、MySpaceはMyOpenSpace.Person.Fieldというスタイルで、...
- > OpenSocialの拡張仕様がOpenSocialのスタイルを無視している。(opensocial.PersonFieldとか) OpenSocialのドキュメントに orkut.PersonField とちゃんと記載がありますよ。 http://code.google.com/apis/opensocial/docs/0.8/spec.html#overview...
- サンドボックス公開おめでとうございます! ドキュメントもすごく分かりやすいです
- Facebook Connectでコメントしてみる。 goo Developer's Kitchen を更に盛り上げていきましょう。
9 months ago
コンシューマーがリクエストする際に公開鍵を指定する仕様なら、誰でもなりすましができてしまう。
ハードコーディングは、公開鍵を事前に渡しておくことと捉えるなら、それなりに納得できる気もするが。
9 months ago
これは単純に、まだ内輪で話が済んでいるからでしょう。もっと一般的になってくると、厳密に仕様を作り、乗っ取っていなければならなくなると思います。
> HMAC方式はお互いに秘密鍵を保有することで、すでに秘匿性が担保されていると考えてもいいのか。
秘匿性とはなんでしょうか?署名はあくまで自分が名乗っている通りである事を証明するものであり、リクエストの内容を隠すものではありません。リクエストの内容を隠したい場合はSSLなどを利用します。
> コンシューマーがリクエストする際に公開鍵を指定する仕様なら、誰でもなりすましができてしまう。
ハードコーディングは、公開鍵を事前に渡しておくことと捉えるなら、それなりに納得できる気もするが。
公開鍵は誰が見ても、誰が使っても、なりすましには利用できません。
署名の目的は、自分が名乗っている通りの者である事を証明すること。RSA秘密鍵を使って作られた署名は、RSA公開鍵を使ってのみ可逆なので、公開鍵で開けらる署名は秘密鍵の持ち主だと判断できます。また、その公開鍵で開けられる署名は、対となる秘密鍵でしか作る事ができません。
というわけで、秘密鍵が漏洩することさえなければ、公開鍵をハードコーディングする事も、動的に公開鍵を渡す事も特に問題はありません。