SREとAX
OpenIDでOpenID Provider側からRelying Partyへ属性情報を渡すことができる、2つの拡張機能について整理。
RPに公開するうえでのセキュリティ上のリスクについて検討してみる。
三段階評価は個人的な見解で、OPの立場、状況によって変動すると思います。
またこれらの情報をRP側に出すとしてもそれはあくまでユーザーの同意を前提とするものとして考えます。
○=問題なし
▲=まあ問題なし(条件つきOK)
×=出さない方がいい
■SRE(Simple Registraion Extension)
・○nickname
・×email
・×fullname
・▲dob(生年月日)
・○gender
・▲postcode
・○country
・○language
・○timezone
参考情報:
http://openid.net/specs/openid-simple-registration-extension-1_0.html
■AX(Attribute Exchange)
・○Alias/Username
・×Full name
・○Name prefix
・×First name
・×Last name
・×Middle name
・○Name suffix
・○Company name
・○Job title
・▲Birth date
・○Birth year
・▲Birth month
・▲Birth day
・×Phone(preferred)
・×Phone(home)
・×Phone(work)
・×Phone(mobile)
・×Phone(fax)
・×Address(home)
・×Address2(home)
・○City(home)
・○State/Province(home)
・○Country(home)
・▲Postal code(home)
・×Address(business)
・×Adress2(business)
・○City(business)
・○State/Province(business)
・○Country(business)
・▲Postal code(business)
・▲AOL IM
・▲ICQ IM
・▲MSN IM
・▲Yahoo! IM
・▲Jabber IM
・▲Skype IM
・○Web page
・○Blog
・○LinkedIn URL
・○Amazon URL
・○Flickr URL
・○del.icio.us URL
・○Spoken name
・○Audio greeting
・○Video greeting
・○Image
・○Square image
・○4:3 aspect image
・○3:4 aspect image
・○Favicon image
・○Gender
・○Language
・○Time zone
・○Biography