問題タブ [browserid]

昨日、MozillaはVerifiedEmailProtocolに基づくBrowserID認証システムを発表しました。かなり気の利いたように見えますが、安全ですか？

すぐに頭に浮かぶ問題の1つは、私のブラウザにアクセスできる人なら誰でも私としてサインインできるように見えることです。これは、サイトごとに決定できることを除いて、ブラウザにクレデンシャルを保存する際の問題でもあります。BrowserIDではオールオアナッシングですか？

他に潜在的なセキュリティ上の欠陥はありますか？

Chromeのappcachedウェブアプリからbrowserid.orgを使用するにはどうすればよいですか？このコード：

test.appcacheと組み合わせる：

および.htaccessを使用：

Firefoxで更新するたびに「OK」と警告します。Chromeでは、最初にアクセスしたときに「OK」と警告しますが、次に更新するたびに（つまり、appcacheから提供されたときに）「Oops」と警告します。

含めることができないファイルに関するいくつかの事実：

• クロスオリジンです
• https経由で提供されます
• 「Cache-Control：public、max-age=0」応答ヘッダーがあります

それでも、これがFFで機能するのに、Chromeでは失敗する理由を正確に理解していません。これは、「HTTPキャッシュヘッダーとTLSを介して提供されるキャッシュページの制限がマニフェストによって上書きされる」ことに何らかの形で関連していると思います。http://www.w3.org/TR/html5/offline.htmlおよび/または「SSLを介して、マニフェスト内のすべてのリソースは同一生成元ポリシーを尊重する必要があります。」http://appcachefacts.info/にありますが、正確な方法がわかりません。

UbuntuでChromium12.0.742.112を使用してテストしました。

回避策の1つは、browseridをサポートせずにキャッシュ可能なアプリを作成し、browseridログインボタンをキャッシュマニフェストにないiframeに配置し、FALLBACK：を使用してbrowseridログインボタンをグレー表示することです。しかし、私は誰かが適切な解決策を持っていることを望んでいました。

私はjavaScriptコードを開発しており、クライアントのブラウザのバージョンとブランドを特定したいのですが、これを行うために使用しているコードは次のとおりです。

しかし、「Google Chrome」を使用してコードを実行すると、useAgent プロパティは以下を含む文字列を返します。

"Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/534.30 (Gecko のような KHTML) Chrome/12.0.742.112 Safari/534.30 "

しかし、その「Mozilla/5.0」がそこで何をしているのかわかりません。誰かアイデアがありますか?
（そしてもう1つ、オペレーティングシステムとしてLinuxを使用しています）

前もって感謝します ：）

そこで、このbrowserid.orgを見つけ、次に [browserid.org/developers] を見つけて、この新しい認証方法である browserID を試してみることにしました。私が見つけることができた唯一の半公式の例 ( browserid_favbeer_example ) を掘り下げて、3 つの簡単な手順のページを行ったり来たりした後、私はまだ困惑しています。私は少し調べて、1つを見つけました。JavaScriptの実装は（今のところ）簡単に悪用できます.2つは、非常に素晴らしい仲間からのものです。以下の例です。それが欠けていることに最初に気づいたのはログアウトでした。誰かが私がログアウトを完了するのを手伝ってくれるほど親切であることができれば、それは大歓迎です.

BrowserID は現在 Javascript shim を使用していますが、ブラウザーはまだ (願わくば) Javascript shim のサポートを開発中です。javascript を実行しないクライアントに BrowserID を使用することは可能ですか?

私は600 行の JS shim を読み、何をするつもりなのかを理解しnavigator.id.getVerifiedEmail、それをサーバーに複製することができましたが、もっと簡単な方法があることを望んでいました。それでも、それが本当にうまくいくとは思いません。

わかりました、もう少し深く掘り下げると、これは BrowserID が意図していることの周辺にあるようで、ある種のカスタム BrowserID バリデーターが必要になるかもしれませんが、もっと簡単な方法があることを願っています。

私は現在 webapp に取り組んでおり、browserID と OpenId の使用のトレードオフについて疑問に思っています。

google や facebook の方が browserID よりも多くのユーザーがアカウントを持っているように思われるので、ログインしやすいかもしれません。一方、プライバシー上の理由から、他のサイトで資格情報を使用してログインすることを好まない人もいます。

browserID でのアカウント作成/ログイン フローは、間違いなく従来のユーザー名/パスワードによるログインに似ているため、一部のユーザーにとっては参入障壁が低くなる可能性があります。

最初のイテレーションでは、すべてを捨てて browserID だけを使用する必要がありますか? openID も使用しますか? それとも、3 つの認証方法すべてをすぐに使用しますか?

さて、ユーザーをサインインさせるために browserID から返されたアサーションを検証しようとしています。browserid-verifierそうするために、私はパッケージを使用しようとしていました。ただし、インストールできませんでした。node-bigint以下に示すように、パッケージにエラーがあります。

代わりに、アサーションを検証するために独自のコードを作成してみました。これは私が思いついたものです：

ただし、ユーザーがサインインしようとすると、次のエラーが表示されます。

どんな助けでも大歓迎です。私がやろうとしているのは、への HTTP POST リクエストを作成しhttps://browserid.org/、アサーションとオーディエンスを渡し、リターン ステータスを確認することだけです。どこが間違っているのか正確に知りたいです。

現在、browserid に基づくログイン/登録システムの開発を試みています。

ローカル IP が 192.168.0.106 で、「http://localhost」で実行されるサーバーがあります。

このプロセスは、サーバー マシンのブラウザーから対象者: "localhost" で検証を送信することにより、完全に機能します。

問題は、同じローカル ネットワーク上の別のマシンからアドレスを識別しようとしたときです。このアドレスは localhost ではなく、 192.168.0.101 のようなものです。クライアントが 192.168.0.106 (サーバーのローカルアドレス) であり、localhost ではありません

アイデアや提案はありますか？

ネイティブiOSおよびAndroidアプリでMozillaPersona（ブラウザーID ）を簡単に使用することは可能ですか？それとも、情報を取り出すのが面倒すぎるのでしょうか。web view

私の browserId ログイン コードは、hereからほとんどそのままです。しかし、ルートを開くと、loggedInEmailが設定されているかどうかに関係なく、リクエストが自動的に送信され、永遠の更新ループが発生します。私のJavascriptコードは、生成されたときです：

ユーザーがボタンをクリックしても、onlogin関数は常に呼び出されます。それは browserId 自体のどこかにあるに違いないか、根本的に間違ったことをしました。

完全なテンプレート コードは、ここにあります。