Alexa と Nature Remo の Account Linking

Author: Nov Matake
Date:

ついに Amazon Echo Plus の購入券当選通知が来たので、Echo Plus と一緒に Nature Remo を買いました。

エアコン推しですが、テレビのリモコン等、赤外線飛ばすリモコンならなんでも対応できる、素敵な「スマートリモコン」です。

Nature Remo アプリでセットアップして、アプリからリモコンつけたり消したりできるのも素敵ですし、アプリで設定しといたら iPhone が Nature Remo から 30m 以上離れたら自動でエアコン切るルールとか設定しとけるのも素敵です。

が、やはりここは

「Alexa、エアコンをつけて」

ってやりたいですよね。

Read on →

SAML Authentication Bypass Vulnerability

Author: Nov Matake
Date:

脆弱性の内容に関する 日本語解説はこちら

で、実際に脆弱性が存在してた実装もみてみると、OneLogin 製の ruby-saml だと、該当の脆弱性はここで修正されてます。

Fix vulnerability CVE-2017-11428. Process text of nodes properly, ign… · onelogin/ruby-saml@048a544

この行 がまさにメインの修正箇所なんですが、いままで REXML::Element#text 呼んでいたものを、すべて REXML::Element#textsjoin するように変更してますね。

でも、そもそもこれ署名検証の部分の修正が含まれてないのはなぜでしょう?

署名検証してるのはここ なんですが、これ、よくみると REXML じゃなくて Nokogiri 使ってますね。REXML には XML 正規化の機能がなかったから、その部分だけ Nokogiri 使ったんですかね。

なら全部 Nokogiri 使えや。

2つの XML Parser を1つの実装の中で混在させてる時点で、すごいやな香りしますよね。ruby-saml は今回の脆弱性修正でも、その状況は変わってないので、Ruby で SAML 実装するなら libsaml (digidentity/libsaml) に移行した方が良さそうですね。

ちなみに、OpenID Connect ならそんなことないのかっていうと、当然あります。ruby-jwtjson-jwt を混在させてる NIST の RP サンプル とかね。

ruby-jwt に JWK まわりの機能がないから json-jwt を JWK のためだけに使ってて、それ自体はまぁそんな悪い予感しないけど…

なら全部 json-jwt 使えや。

Azure Portal 上の PowerShell から O365 SAML 設定

Author: Nov Matake
Date:

どうも、MS MVP (Enterprise Mobility) の Nov です。

普段もっぱら O365 の SAML 設定をいじって、自作 SAML IdP と Federation する毎日です。

いや、年に6回くらいかな。

で、毎回 PowerShell の使い方忘れるので、メモ代わりに過去にもこんな記事書いてきました。

そんな、普段はもっぱら Azure 上の Windows 10 VM から PowerShell いじってる僕ですが…

今日気づいてしまったんです!!Azure Portal 上で In-Browser PowerShell が動くようになってるってことに!!

Read on →

LINE ID Login

Author: Nov Matake
Date:

LINE が OpenID Connect サポートしたみたいですね。

なんか前からしてんだと思ってたんですが、まぁいいや。

ということで、早速触ってみました。

こちらに今回使った Ruby のサンプルスクリプト置いておきます。

まぁ、ちょっと特殊な点がいくつかありますが、十分 OpenID Connect です。

気になった点は以下の通り。

Read on →

Android O AutoFill Framework

Author: Nov Matake
Date:

どうも、iPhone ユーザーの Nov です。

Android OS の進化は素晴らしいと思います。
個人的には、普段使いのスマホじゃなければ Android 一択です。

Chrome の進化も素晴らしいと思います。
個人的には、普段使いの (ry

最近は Android O から登場した Autofill Framework ってのが気になってます。

Developer Document で “Apps that use standard views work with the Autofill Framework out of the box” とか言われてるんで、Android App で普通にログインフォーム作れば、勝手に ID & Password が Autofill されるっぽいですね。

え?ID & Password 以外にも、住所やクレカ番号も Autofill されるって?

でしょうね。

Autofill Framework Sample App 動かしてみよう

ということで、Android O Beta 入れて、Autofill Framework Sample 動かしてみましょう。

Android Studio 3.0 Preview とかいうのもダウンロード必要なようです。

なんかいろいろ足りねぇとかエラー出るけど Java も Kotlin も Android Studio もよぉわからんので、まぁポチポチしていろいろインストールします。

で、Android O Beta をインストールした Nexus 5X (普段使いではない) をターゲットにしてアプリをビルド…

ジャジャーン!!

Read on →