OAuth 安全性更新

此篇文章最近更新時間為2009-05-21 00:09:44 目前共有2篇留言

關於作者 - JosephJ

任職於 Faria。喜好戶外運動、2008 年 5 月完成「跑步環島」。對於新技術跟程式碼有著強烈的偏執狂。

原文網址:http://developer.yahoo.net/blog/archives/2009/05/oauth_update_3.html
下載最新版 Y!OS SDK : http://developer.yahoo.com/social/sdk/yos_php_sdk-1.1.zip

目前所有以 OAuth 提供的 Yahoo API 目前都已更新為解決安全性問題的 1.0a 版了。更新的服務如下:所有的 Y!OS API 像是 Contacts、Updates、Status、Social Directory,另外還有 Fire Eagle。使用者在 OAuth 1.0a 以上的應用程式將不會看到安全漏洞警示頁面。但若持續使用 1.0 版的仍然會看到喔!
OAuth 警告頁面

在這段過渡時期,我們仍准許 OAuth 1.0 的應用程式配合警示頁面被使用者存取。但請注意!我們將在近期內將要求所有的應用程式都必須使用 OAuth 1.0a 以上方得被存取

使用 Y!OS APIs 的開發者請觀看我們修正後的 OAuth 文件,就可知道 OAuth 1.0a 有那些修正。或者您也可以直接下載最新版 Y!OS SDK 以直接、不需改 Code,將您的應用程式更新至 OAuth 1.0a。

跟一些自訂標準比較起來, OAuth 這種的開放標準的好處是有許多 Security 界的高手或參與檢討與設計。自訂標準就沒有這樣的好處了。Yahoo! 承諾將持續地遵守開放標準,感謝整個 OAuth 社群花了很多的時間來解決這次的安全性問題!

Keep on hacking!
Allen Tom

Architect, Yahoo! Membership


Comments

  1. josephj 2009-05-22 13:19:30
    Hi william,

    歹勢 ... 其實我對 OpenID 不熟,我剛試了用你說的工具
    我看不出 OpenID 支援程度 ... :p

    能不能請你再講清楚點,或提供相關文章
    我會研究之後再向美國總部發 Bug
  2. william 2009-05-22 07:17:58
    如果 Yahoo 也能把 OpenID 的實作好好修一修,持續地遵守開放標準,就更好了...

    否則,像我在課堂上,用 https://me.yahoo.com/william.pjyeh 這個 profile 去看,或是用 http://openidenabled.com/php-openid/trunk/examples/discover.php 或 http://openidenabled.com/php-openid/trunk/examples/consumer/ 這些工具去測 Yahoo 的 OpenID 支援程度,都遠遠落後 myOpenID 網站,實在很不好看呀。
暱稱: 必填。
Email: 非必填。若填寫為不公開欄位,僅供站長參考聯繫。
內容: 必填。限 255 個字元以內。
驗證碼:
送出

Facebook Comment