PP Authorizer wót JRF

There is a problem about anonymous authentication.

By allowing authentication providers to authenticate other Internet shops or bulletin board sites, it is possible to reduce the privacy information that Internet shops or bulletin board sites must keep. It is an advantage that users can use Internet stores or bulletin boards even with lower reliability. This can realize "anonymous login (privacy protected login)" or "anonymous payment (privacy protected payment)".

At this time, processing needs to flow from the bulletin board etc. to the authentication provider, but there is a danger of impersonation in redirecting from a site that must be less reliable to a more reliable site.

In order to prevent this impersonation, protocol should not permit automatic redirection from a site of lower reliability to a site of higher reliability, and if the site of lower reliability desires manual redirection, a message that indicates that effect should be displayed on the page, and the remaining necessity is only to have a bookmarklet or add-on that follows the link after checking that the link included in the page is correct.

Such an add-on is this PP Authorizer.

(However, there will be no page that supports the PP Authorizer for the time being. Then what should we do? You can use the PP Interrupter (or the PP Interrupter Lite for Android) which realizes similar operation in a point that you have to click on an icon in the address bar before authentication.)

The author of this add-on wishes that such functions are installed as standard on browsers, and that all sites stop the automatic redirection as described above. This add-on includes Twitter and Hatena as authentication providers from the beginning, and other authorities ... such as bank associations ... can donate much donations to browser developers so that their authentication provider information will be included from the beginning. The author is dreaming that browser developers acquire abundant development funds thereby.


匿名的な認証については問題がある。

インターネット店舗や掲示板サイトの認証を他の認証プロバイダにまかせることで、インターネット店舗や掲示板サイトが保たせなければならないプライバシー情報をより少なくできる。インターネット店舗や掲示板がより低い信頼度でもユーザーが利用できるのがメリットとなる。「匿名的なログイン(プライバシーが保護されたログイン)」または「匿名的な支払い(プライバシーが保護された支払い)」をそれによって実現できるのだ。

このとき、掲示板等から認証プロバイダへ処理が流れる必要があるわけだが、より低い信頼度であるはずのサイトからより高い信頼度のサイトにリダイレクトするのには、なりすましの危険がある。

このなりすましを防止するには、より低い信頼度のサイトから高い信頼度のサイトへの自動的なリダイレクトを許さず、より低い信頼度のサイトがリダイレクトを望むときは、その旨をページに表示して、そのページに含まれたリンクが正しいものであることをチェックした上でそのリンクを辿るようなブックマークレットまたはアドオンがあればよい。

そのようなアドオンが、この PP Authorizer である。

(ただし、PP Authorizer に対応するページは当分の間ないであろう。では、どうするか？ 認証の前でアドレスバーのアイコンをクリックしなければならないという点で、似た操作を実現する PP Interrupter (または Android 用にPP Interrupter Lite) を使うのが一案である。)

このアドオンの作者は、このような機能がブラウザに標準搭載され、すべてのサイトが上記のような自動的なリダイレクトをやめることを望んでいる。このアドオンには認証プロバイダとして Twitter と Hatena が最初から入っているが、最初から入っているプロバイダをさらに増やすことを望む組織…例えば銀行協会…などから寄付を募り、ブラウザの開発資金が潤沢になればと作者は夢想している。