前回の、社内プライベートポッドキャスト実現方法で、ポッドキャストサイトを静的配信しつつBasic認証をかけるというアイデアを書いた。しかし、Basic認証などなかなか使わなくなり、ネイティブでサポートしている静的ホスティングサービスも少ない。今回はCloudflare PagesのFunctions機能でリクエストをラップするミドルウェアを書けば実現できることが分かり、その方式を採用することにした。多少実装必要になるのと、認証周りを自前で書くのはあまりやりたくはないが、廉価に比較的省力で実現できるので受け入れる。 ネット上にいくつかサンプルは見つかるが、今回実装するにあたっては以下の点を留意した。 コード内に認証情報を載せない 複数ユーザーのIDとパスワードを管理できるようにする パスワードは定数時間比較してタイミング攻撃を防ぐ これらを以下のように解決することとした。 認証情報は環境変数
以下の文章は、EDRi「Age against the machine: the race to make online spaces age-appropriate」という記事を翻訳したものである。 EDRi インターネットを“年齢にふさわしい”空間にしようと、世界中で競争が繰り広げられている。しかし、子どもたちの最善の利益を守ることは、オリンピックの競技種目ではない。そもそもインターネットは子どもたちを想定して作られたものではなかったが、今や子どもたちやティーンエイジャー、若者たちはこれまでにないほどネットの世界で時間を過ごしている。親は幼児にアニメを見せるために動画共有プラットフォームを使い、子どもや青少年はオンラインゲームに興じ、SNSに没頭し、オンライン学習モジュールで学習し、ネット上の活動を通じて自分のアイデンティティを形成している。 こうした状況は、子どもや若者たちがオンライ
サイバー攻撃者たちの攻撃手法は日々巧妙化しています。何と最近、頼みの綱だった2要素認証ですら突破された事例まで報告されました。サイバー攻撃者は果たしてどのような手法を使ったのでしょうか。 コンシューマーとしての利用者、そして組織の一員としての従業員個人に対するサイバー攻撃の主流は「フィッシング」だと思います。フィッシングも偽サイトに誘導するという、これまでよく知られるものから、サポート詐欺として偽のセキュリティ警告を執拗(しつよう)に表示し、表示される番号に電話をかけさせるという新たな手法も登場しています。「怪しいWebサイトにはアクセスしない」という基本的なものではなく、もう一段踏み込んだ対策が必要です。 新たな標的型攻撃についても注意が必要です。一部のかいわいで流行している手口としては、海外からのインタビュー依頼が届き、取材に必要な翻訳やビデオ通話といったツールを指定され、これをダウン
ForbesGmail Users Offered Free Top Tier Security Upgrade—Say Goodbye To 2FABy Davey Winder Getting Ready For Mandatory 2FA By enforcing 2FA for customers by making it required to access Azure, Microsoft said it will “not only reduce the risk of account compromise and data breach for our customers, but also help organizations comply with several security standards and regulations.” In order to plan
TL;DR 課題: Dify の公開アプリ・ウェブページへの埋め込みチャット機能は非常に強力だが、公開範囲については All or Nothing の公開設定しかできず、たとえば自社の社員のみにアプリを公開するような制御は実現できない 解決策: 以下 GitHub リポジトリの CDK コードのように ALB + Cognito を利用することで、認証されたユーザにのみ利用させるような制御を実装することができる ※ デプロイの前提として、Route53 のホストゾーンが必要です (HTTPS リスナーが必要なため)。 ※ Dify 0.6.15 でのみ動作確認済みです。今後の Dify のアップデート次第で動かなくなりうることにご注意ください。 動作イメージ Dify のアプリ埋め込み、UI のことを何も考えなくていい一方でユーザ認証なしのフルオープンしかできないのが利用のネックという認識
8月3日、1Password Blogで「2024年の最も安全でない認証方法と最も安全な認証方法(2024's Least and most secure authentication methods)」と題した記事が公開された。この記事では、2024年における様々な認証方法の安全性について詳しく紹介されている。 以下に、その内容を要点を絞って紹介する。 認証方法の基本要素 認証方法は、大きく3つの要素に分類される。 知識要素: パスワード、PIN、セキュリティ質問など、ユーザーが知っている情報。 所持要素: セキュリティカード、外部ハードウェアキー、デバイス自体など、ユーザーが持っている物。 存在要素: 指紋リーダー、顔認証などの生体認証。 認証のベストプラクティスは、複数の要素を組み合わせた多要素認証(MFA)を導入することである。MFAの目標は、2つ以上の要素を組み合わせることで、攻
はじめに こんにちは。かる(@caru)です! 大学生として勉強する傍ら、日々フロントエンドエンジニアを目指して活動しています。今回は、私がコミッターとして参加しているMagnitoというOSSプロジェクトについて紹介します。 皆さんは、AWSのCognitoというサービスを知っていますか? スマホアプリからWebアプリまで、多くのアプリケーションで認証・認可の機能は不可欠です。その中でも、Amazon Cognitoは多くの開発者に利用されている認証・認可サービスの一つです。この記事では、Cognitoを使う際の課題と、Magnitoがそれにどう対応するかを紹介します。 Amazon Cognitoとは Amazon Cognitoは、Amazon Web Serviceが提供するユーザー認証、認可、およびユーザー管理を簡単にするためのサービスです。これにより、アプリケーションにユーザー
米テキサス州のケン・パクストン司法長官は7月30日(現地時間)、2022年に米Metaを顔認識技術の使用でプライバシーを侵害したとして提訴した訴訟(リンク先はPDF)で、Metaから14億ドル(約2134億円)の和解金を獲得したと発表した。 この訴訟は、Meta(当時はFacebook)が2010年に追加した写真のタグ付け機能を通じてユーザーが投稿した写真や動画から何百万もの生体認証情報を、ユーザーの同意を得ずに収集したと主張するものだった。 このタグ付け機能については2011年、欧州連合も調査していると報じられ、Metaは2021年、この機能を停止すると発表した。 同社は、この機能について2018年に起こされた集団訴訟で6億5000万ドルの和解金を支払っている。 テキサス州への和解金は5年間をかけて支払っていく。 Metaはこの件について米CNBCなどに「この問題を解決できたことを嬉しく
はじめに なぜprotobufに認可設定を組み込もうと思ったのか? 前提知識 protobufのプラグインの仕組み protocコマンドのインターフェース 実装 今回のお題 プラグインの開発 拡張プラグインの実行 生成したmapを使った認可処理 最後に はじめに こんにちは、enechainのApplication Platform Deskでエンジニアをしているendoです。 Application Platform Deskは、全プロダクトが横断で抱える課題を解決するチームです。 ※「開発者体験の向上を目指す」という意味ではPlatform Engineeringチームと近い位置づけですが、もう少しアプリケーション開発寄りの領域を担当しています。 私達のチームでは、protobufで自動生成したGolangコードを使ってAPI Endpoint毎にロール単位の認可処理ができる仕組みを構
メッセージングサービスのTwilioが、同社が所有する2段階認証アプリ「Authy」のユーザーの携帯電話番号がサイバー犯罪者によって盗まれたと発表しました。この発表は、サイバー犯罪者が3300万件の電話番号を盗んだと主張した1週間後に行われました。 Security Alert: Update to the Authy Android (v25.1.0) and iOS App (v26.1.0) | Twilio https://www.twilio.com/en-us/changelog/Security_Alert_Authy_App_Android_iOS Twilio says hackers identified cell phone numbers of two-factor app Authy users | TechCrunch https://techcrunch.co
多くのサービスや業務システムで多要素認証が広く使われている。キーマンズネットが実施した「ID/パスワードに関するアンケート」では、回答者の半数以上が「多要素認証を採用している」と回答した(2024年2月時点)。パスワードと比較してよりセキュアなログインが可能になるからだ。 だが多要素認証をただ導入しただけでは、安全を保つことができない。実際に2022年以降、多要素認証を突破する攻撃が急増しており、全世界で月間200万件以上の事例が報告されている。 多要素認証を安全に使う方法、攻撃に対応する方法を把握し、従業員がそれを理解して実践することが重要だ。 本ブックレット(全17ページ)では、多要素認証を突破する攻撃手法とそれを防ぐ方法、攻撃事例、多要素認証を導入する際に留意すべきポイントを紹介する。
デジタル庁は6月24日、マイナンバーカード(個人番号カード)を使った本人確認を行うためのアプリ「デジタル認証アプリ」の配信を開始した。マイナンバーカードの読み取りに対応するAndroidスマートフォンとiPhoneにおいて無料で利用できる。 →Android版アプリ(Google Play) →iPhone(iOS)版アプリ(App Store) なお、本アプリによる本人確認は、デジタル庁による審査を受け、承認された企業が提供するWebサイト/アプリでのみ利用できる。 →マイナンバーカードを使った本人確認を手軽に デジタル庁が「デジタル認証アプリ」を公開 無料で利用可能 使い始める前に初期設定が必要 本アプリは、対応するWebサービス/アプリと組み合わせることで初めて認証を行える。ただし、アプリを利用するには事前に利用登録(初期設定)を済ませる必要がある。アプリをダウンロードしてから、以下
2024年6月21日にデジタル庁からデジタル認証アプリの発表がありました。 このデジタル認証アプリで何ができるのか、ざっくり整理してみました。 この記事で対象としている方 デジタル認証アプリの概要についてざっくり理解したい方 デジタル認証アプリについて今北産業してほしい方 この記事では技術的な話はなるべく避け、全体像を整理していきます。 技術的な話を理解したい方は、参考リンクより他の方が書かれた記事を参照してみてください。 「デジタル認証アプリ」はどんなものか? 「デジタル認証アプリ」は、マイナンバーカードを使った認証や署名を、安全に・簡単にするための、デジタル庁が提供するアプリです。 (デジタル認証アプリサービスサイトより引用) デジタル認証アプリは、デジタル庁が提供するデジタル認証アプリサービスAPIと組み合わせて1つのサービス(デジタル認証アプリサービス)を構成しています。デジタル認
昨夜(6月21日)午後11時より、YouTube Live で「デジタル庁認証アプリ FIRST IMPRESSION」と題して配信を行いました。デジタル庁が同日発表したデジタル認証アプリについて、一緒にドキュメントを読んで、その内容や課題などを洗い出していきましょうという企画です。夕方にゆるい感じでアナウンスして、トークデッキの準備も間に合わず見切りで始めたにも関わらず、デジタル庁の幹部の方なども含めて、最大94名の方が同時アクセスしていただきました。ご参加いただいた方々に深く御礼申し上げます。アーカイブは以下から見ることができます。YouTubeに遷移してみること推奨です。チャットに多くの情報がありますので。以下、AI1によるまとめと、それに書き加えた覚えている限りのメモです。そのうち見返して追記するかも知れません。 しかし、こうして見返してみると、署名の話を飛ばしてしまいましたね。こ
デジタル庁は6月21日、「デジタル認証アプリ」をAndroid / iOS向けに提供すると発表した。行政と民間のサービスに対し、マイナンバーカードのオンライン本人確認機能を無償提供するもので、6月24日よりダウンロードできる。 デジタル認証アプリは、マイナンバーカードのオンライン本人確認機能を、広く民間サービスに普及させるためのアプリだ。これまでも銀行口座開設などでスマートフォンにマイナンバーカードをかざし、4桁のパスワードを入力すれば本人確認が完了する機能があったが、同機能の実装には民間側に相応のシステム開発コストがかかり、導入ハードルが高かった。 そこで同アプリでは、本人確認に必要なマイナンバーカードの証明書読み取り機能を共通アプリ化した。これによって、アプリ事業者はAPIで同アプリと連携するだけで、マイナンバーカードを使った本人確認機能を安価に実装できるようになった。また、認証のトラ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く