OpenID勉強会に行ってきた
takiuchiさん主催のOpenID勉強会@恵比寿に行ってきました。
会場を提供いただいたドリコムのみなさま、takiuchiさん、ありがとうございました。
takiuchiさんが作られた素晴らしい資料に、rakutoさんの技術解説、id:ZIGOROuさんのプレゼンも合わさり、とても高度で中身の濃い勉強会でした。しかも13時半〜17時半頃までの勉強会の後、飲み会が23時過ぎまでとかなりエンドレスな感じで。
普段閉じられた環境にいることが多く、OpenIDに関してアツく議論をできる場も得られなかったので非常に有意義でした。
具体的には下記のような収穫がありました。
・ OPはOpenID識別子をRP毎で別々の文字列とすべきという話
・ myopenidがやってるペルソナ機能(知らなかった)
・ SHA1はもう破られてるのでヤバイということ
・ XRIのことをかなりおぼろげに理解できた
・ discoveryのしくみで自分が知らない部分があった
OPはOpenID識別子(https://opexample.com/xxxxx)をRP毎で分けるべきという話は、特に考えさせられる部分でした。具体的にいうと、複数のRPで同じOpenID識別子を使っていると、RP1のAさんは、RP2、RP3でも同じAさんだということが誰にでも分かってしまうことになり、サービス間でユーザーの同一性を見破られたくない人が見破られてしまうのではないか?ということです。
さらに言うなれば、RP1、RP2、RP3それぞれのサービスで、ある程度そのユーザーに紐づいた属性情報(年齢、性別、職業など)を蓄積していたりすれば、それらを複数のRPが結託して集めればかなり精度の高い個人情報を集めることができてしまうリスクにもなるかもしれません。
OpenID2.0での仕様変更により、ユーザーは自分のOpenID識別子自体を意識しなくともよくなったので、RP毎にOpenID識別子の文字列は分けたとしてもそれが利便性低下にはつながらないはずなので、セキュリティ的視点からOpenID識別子は分けるということを検討すべきなのかもしれません。このあたりはより精査すべきでしょうが、OpenID Foudationで協議していただいて、OP向けにガイドラインを定める意味でも正式に規定してもらってもいいのではないかとも思います。
また「OpenIDによるビジネス」、「マネタイズ」についても少し議論がありましたが、OpenIDという枠のなかでOP単体でサービスとしてマネタイズするのは厳しい、という印象でした。より強固な認証のしくみと組み合わせてそのしくみの利用料を取るというのはありかも、程度な感じ。ビジネス、マネタイズの話はそれだけでも半日くらいはぶっとおしで話せるネタだと思うので、ぜひ次回もそのあたりの話をしてみたいです。
あと、少し話に出ていて次回はもっと突っ込んで話したいと思ったのは、下記のあたりです。
・ モバイルでのOpenID利用
・ OpenID Reputation System
・ OpenIDベースでのコンタクト方法(スパム回避にもなる)
・ ICカードとの連携(これは雑談で)
次回までにもう少し自分のアタマのなかでも練ってみて突っ込んだ話をできればな、と考えています。このあたりの実現が見えてくると、ビジネス、マネタイズの部分についてももう少し詰めて考えられるかもしれません。
関連記事
OP、RP、Userのメリット - tzmtkのブログ
SREとAX - tzmtkのブログ
OpenIDと公的機関 - tzmtkのブログ