BT

最新技術を追い求めるデベロッパのための情報コミュニティ

寄稿

Topics

地域を選ぶ

InfoQ ホームページ ニュース FirefoxがWeb Authentication APIを導入

FirefoxがWeb Authentication APIを導入

ブックマーク

原文(投稿日:2018/05/15)へのリンク

読者の皆様へ:ノイズを減らすための一連の機能を開発しました。関心のあるトピックについて電子メールとWeb通知を受け取ることができます新機能の詳細をご覧ください。

5月9日にFirefox 60がリリースされ、FirefoxはWeb認証APIをサポートする最初の主要なブラウザになった。このAPIを使用すると、ユーザはウェブサイトのテキストベースのパスワードを避けることができ、代わりにバイオメトリックチェックまたはプライベートPINを持つローカルデバイスを使用して安全な暗号識別子を生成できる。APIのサポートはChrome用とEdge用を開発中であり、Safariについては検討中である。

この仕様は、W3Cと協力してFIDO Allianceで策定されたものである。FIDO Allianceのウェブサイトによると次の通りである。

FIDO Allianceの仕様と認定によって、ハードウェア、モバイル、バイオメトリクスベースのオーセンティケータの相互運用可能なエコシステムを実現できます。オーセンティケータは、多くのアプリやWebサイトで使用できます。このエコシステムにより、企業やサービスプロバイダは、強力な認証ソリューションを導入して、パスワードに依存することを減らし、盗難されたパスワードを使用してのフィッシング攻撃、中間者攻撃、リプレイ攻撃から組織を保護することができます。

Web Authentication APIを使用すると、電話やUSBデバイスなどの物理的なデバイスで簡単なバイオメトリックチェックを行うので、各Webサイトのパスワードを覚えておくことの不安と不満を回避できる。ブログ記事では、Duo SecurityのNick Steele氏がこれがどういうものかを説明している。

実際にWebAuthnがどのように動作するかについては、たくさんのケースがありますが、最も一般的な例は次のとおりです。ユーザがラップトップで、例えばcat-facts.comというウェブサイトを訪問し、アカウントを登録します。ボタンを押してサイトの登録を開始すると、電話上に「cat-facts.comに登録する」というプロンプトが表示されます。

彼らが要求を受け入れると、ユーザは、作成中のアカウントに関連付けるPINやバイオメトリックアクションを入力するなどの「承認ジェスチャー」を実行するよう求められます。これを提供すると、ラップトップ上のウェブサイトに、「登録が完了しました!」が表示されます。

ユーザは同じ電話と承認ジェスチャーを使ってcat-facts.comにログインできます。

Chromeのバグトラッキングによると、Web Authentication APIは2018年5月27日にリリースされるDesktop向けGoogle Chromeバージョン67で利用できるようになる。Microsoft Edgeは、以前のバージョンのAPIをサポートしており、開発者向けドキュメントで違いについて述べられている。Edgeの現在のバージョンのAPIをサポートするために利用できるポリフィルがある。Safariに関しては、ステータスの見通しが立っていない。ChromeトラッカーではSafariで開発中としてAPIが一覧表示されるが、一方で、webkitについては機能ステータスが「検討中」として一覧表示される。

9to5Macの記事で、なぜAppleがこの機能を実装する気になっているかを推測しています。

Safariにはまだ言及されていないが、Face IDとTouch IDの両方を提供しているすべての最新のiPhoneとiPad、そしてMacBook ProでサポートされているiPadで、これはAppleのためにそれに合わせて作られたものである。Appleのサポートなしに他のブラウザで使うことはできない。

Web Authentication APIを使い始めることに関心を持っている開発者は、Googleの開発者ウェブサイトの短いチュートリアルやMDNのドキュメントに目を通して学習することができる。

 
 

Rate this Article

Adoption Stage
Style
 
 

この記事に星をつける

おすすめ度
スタイル

BT