#idcon8レポート
11月19日に秋葉原の産総研で行われたidcon8に行ってきました。今回もなかなかディープな話で、はっきり言ってついていけてません。間違っているところがあると思いますので、ご指摘お願いします。
懇親会ではリアルに仮名が必要な場合ってあるのか、などの話題が。あと名刺にtwitterアカウントを書いて渡すというのをみんなでやっていました。@stomitaさんはtwitterアイコンとidを印刷したシールを作っているそうです(今日は忘れたとか)。それはいい方法ですね。
@hiroki : Liberty Alliance ID-WSF 2.0 についてざっくりとした話を (20分)
- 伊藤 宏樹 @hiroki NTT情報流通プラットフォーム研究所
- WSF: NTTが標準化の過程でコメントした
ID-WSFとは
- 属性交換: サイト間でユーザーの属性情報を流通させる仕組
- コンシューマが情報を要求するときに、誰がその情報を持っているかディスカバリーするサービスを置く
- ID関連技術
- SSO、属性記述方式、属性共有方式、ユーザ合意、通信+セキュリティー
- 今日の話は属性共有方式
- WSFのスペックは膨大。1000ページくらい
- 今日の話はdiscoveryとpeople service
自分属性操作
People Service (他人属性)
Q&A
- 高木さん: (1)どれくらい使われそうか。(2) 難しいのは実装する人なのか使う人なのか。(3) 仮名使わなくてもいいと言うとみんな使わないのでは? そのときの懸念は?
- 伊: (1)どこで使われてるかというのは言えない。コンシューマサービスに入れたという話は聞いていない
- 高: コンシューマ相手でないのにこういう仕組が必要?
- 伊: 大手が一般の人向けに出している例があるらしい
- 伊: (2)仕様のボリュームに比例していて、実装が難しい
- 高: 実装は技術者ががんばればいい。しかし消費者が理解できないと使われなくなってしまう。そのあたりの懸念は?
- 伊: 今回の説明では一番複雑な例を出しているせいかな
- 高: せっかく複雑な場合を考えて仕様を決めたのにそこまで使われないという意味?
- 伊: 一部分だけ切り出して使えばよいと考えている
- 伊: (3)名寄せの心配がある
- 高: せっかく仮名を使っているのに使わなくていいと言ったときに誰も使わないのではもったいない。後でまた
- 伊: (1)どこで使われてるかというのは言えない。コンシューマサービスに入れたという話は聞いていない
- 真武さん: 属性が後で変更されたときはどうなる?
- 伊: Subscription/Notificationのレイヤで通知する機能がある
- 伊: さっきの例だとWSP→DS方向の通知。WSCは教えてもらえない
- ??さん: (1)WSF 1.0から2.0になってパッケージの普及が遅いようだ。(2)1.0と2.0の間で相互接続性がない。なぜそんなことに?
19:40
@tzmtk : OAuth Multiple Access Tokenほか (20分)
- Y!のまつおかさん
- 今日の話: サービスレベルとそれぞれに最適なセキュリティー
ヤバゲーの件
- 9月末にサービス停止の件 → 今日はスルー
- OAuth連携 Y=SP, D=C
- 問題点
- 1. Y!のOAuthの認可画面は基本毎回出ることにしていた
- 2. ログイン有効期限
- 3. refresh tokenの有効期限
- 4. シングルログアウト: Y!でログアウトしたのにYMでログインしたままになっちゃう
- 解決
- 1. 同意画面はスキップ
- 2. 最長のログイン有効期限を両者で揃えた 4w
- 3. refresh tokenも同じにした 4w
- 4. リダイレクト形式のシングルログアウト
- 考察
- サービス上ではリソースの機密性に合わせてセキュリティーも変えられるが、APIだと難しい
- → OAuth Multiple Access Token
- scope, tokenを空白で区切って並べる
Q&A
- 下道さん: シングルログアウトはSAML仕様を決めるときに結構考えた。しかし「ログアウトを能動的にするのか」。ユーザーって本当に使うの?
- ログアウトしないでブラウザ落としちゃう人がいる。そうするとクッキーが片方だけ残ってしまったりする。少なくともログアウトしたい人はさせてあげないといけない。Y!のサービスに見えるので、問題が大きいというところで、やっている。いまの方法で万全とは考えていない。課題はあると思っている。
- 真武さん: Multiple Access Tokenについて: scopeひとつに対してひとつトークンが来るの? 誰がまとめるのかどうか
- 高木さん: クレジットカードでの本人確認ってのはアリなんですか? カード会社に何のメリットもないのによく使わせてますね
20:03
@kthrtty : 3GPPにおけるOpenID/SAMLの活用 (20分)
- かつはらさん@野村総研
- Introduction of Bridging IMS and Internet Identity
- OAuth 2.0邦訳出ました
- mixi echo/checkの実装をしてる人も参加
結論
- 将来のキャリアネットワークで加入者特定のために使われるIDと、Webの世界でのユーザ特定のIDをうまく関連づけたい
IMS
- IP Multimedia Subsystem: キャリアネットでの通信は全部IP化してしまおう
- キャリアネットワーク: NGNなど
- 外のネット → インターネット
実現方法
つなげるのは
@HiromitsuTakagi
セキュリティー
ガラケーIDに相当する海外事例
- 「世界の端末固有番号」でぐぐれ
- いま世界でこれは使われているのか、プライバシーの懸念は話題になっていないのか?
- 知ってたら教えてね
行動ターゲティング広告
- 仕組 → 使い方の話
- 2001年のdoubleclick社を相手どった集団訴訟
- 和解: 住所は使わない。3rd-partyクッキーで集める。オプトアウト可能でなければダメ
- 最近またもり上がり。FTCが業界に自主的なガイドラインをうながしている
- 日本での総務省の動向
- まずいものだとしても、すでに広まって使われているモノをおいそれと規制できない
- 行動ターゲティング広告業界の動向
- (米国)「Data Exchange」
- 化粧品サイトのビーコンを使うと女性であることがわかる
- 女性である → 女性向け広告
- IDの属人情報を使って広告を出す
- 日本でもやらないと出遅れちゃう!
- 何をやってよくて何がダメなのかわからないので困っている状態