Heroku: Cyberattacker Used Stolen OAuth Tokens to Steal Customer Account CredentialsThe same attack that allowed a threat actor to steal data from private Heroku GitHub repositories also resulted in the compromise of customer credentials, the company now says. Salesforce subsidiary Heroku on Thursday said that the threat actor that stole Heroku GitHub integration OAuth tokens in April also accesse
HomeNewsSoftwarenpm package with 1.4M weekly downloads ditches npmjs.com for own CDN In a surprising move, the popular open source project, SheetJS aka "xlsx," has dropped support for the npm registry. Downloaded about 1.4 million times weekly on npm, SheetJS is relied upon by NodeJS developers looking to craft and parse Excel spreadsheets using nothing but JavaScript. The project's maintainer sug
正規のユーザーになりすました不正アクセスが後を絶たない。攻撃者はフィッシング詐欺などでユーザーのIDとパスワードを盗み、それを使ってクラウドサービスや企業ネットワークなどにログインする。 このような不正アクセスを防ぐのに有効な対策の1つが「多要素認証」だ。多要素認証とは、ユーザーの認証時に複数の情報(認証要素)を使う方法である。 例えば、パスワードとスマートフォンの認証アプリを使う方法があり、多くの企業がセキュリティー対策の1つとして導入している。この方法では、パスワード(知識情報)を知っていて、なおかつあらかじめ登録されたスマホ(所持情報)を持っていないとログインできない。パスワードだけの場合と比べてセキュリティーレベルは飛躍的に向上する。 だが万全ではない。上記のような多要素認証を破る手口が数年前から確認されており、現在も使われている。「プロンプト爆撃(prompt bombing)」
Google、Apple、Microsoftは、FIDOアライアンスとワールド・ワイド・ウェブ・コンソーシアム(W3C)が策定した共通のパスワードレス認証のサポートを拡大すると発表した。 3社のプラットフォームでは既に、FIDOアライアンスが作成したパスワードレスの認証規格をサポートしている。FIDOアライアンスは、パスワードとフィッシングの問題を解決するために結成された、オープン規格を目指す業界団体だ。 しかし、これまでの実装方法では、最初に各ウェブサイトやアプリにサインインしなければ、パスワードレス認証が利用できない。各社が今回進める取り組みにより、ユーザーはすべてのアカウントに再度ログインすることなく、既存または新規デバイスでパスキーと呼ばれるFIDO認証資格情報に自動的にアクセスできるようになる。また、稼働しているOSやブラウザーに関係なく、携帯端末でFIDO認証を使用して、近くの
Google、Apple、Microsoftは、FIDOアライアンスとワールド・ワイド・ウェブ・コンソーシアム(W3C)が策定した共通のパスワードレス認証のサポートを拡大すると発表した。 3社のプラットフォームでは既に、FIDOアライアンスが作成したパスワードレスの認証規格をサポートしている。FIDOアライアンスは、パスワードとフィッシングの問題を解決するために結成された、オープン規格を目指す業界団体だ。 しかし、これまでの実装方法では、最初に各ウェブサイトやアプリにサインインしなければ、パスワードレス認証が利用できない。各社が今回進める取り組みにより、ユーザーはすべてのアカウントに再度ログインすることなく、既存または新規デバイスでパスキーと呼ばれるFIDO認証資格情報に自動的にアクセスできるようになる。また、稼働しているOSやブラウザーに関係なく、携帯端末でFIDO認証を使用して、近くの
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます Microsoft傘下のGitHubは、開発者と2要素認証(2FA)セキュリティに関する新たなルールを導入する。 GitHubは米国時間5月4日、「アカウントのセキュリティ向上を通じて、ソフトウェアエコシステムの安全性を確保するプラットフォーム全体の取り組みの一環」として、既存の認証ルールを変更することを明らかにした。 GitHubの最高セキュリティ責任者(CSO)Mike Hanley氏によると、GitHubにコードを提供するすべての開発者は、2023年末までに、少なくとも1つの形式の2FAを有効化しなければならない。 オープンソースプロジェクトは人気が高く、広範に利用されており、個人と企業の両方にとって重要なリソースだ。しかし、開発
アップル、グーグル、マイクロソフトの米IT大手3社は5日、パスワードを使わない認証システムの開発で連携強化に取り組むと発表した。パソコンなどを利用する際に、指紋や顔、暗証番号を登録したスマートフォンと連携し、パスワードを使わないようにすることで、個人情報の流出を防ぎ利用者の安全性を高める。 認証システムを使えば、新たに使う別の端末でもパスワードを設定せずにロックを解除できるようにする。3社のプラットフォームをまたいで仕組みを共有することで利便性を高める。2023年中に提供する計画だ。 パスワードは複数のサイトやアプリで同じものが使い回されることも多く、漏洩(ろうえい)や解読によって情報流出につながる恐れがある。3社はパスワードを使わない認証方法を拡大したい考えだ。(共同)
Apple・Google・Microsoftが「世界パスワードの日」にあたる2022年5月5日に、FIDO AllianceとWorld Wide Web Consortium(W3C)が手がけるパスワードレスのサインイン標準規格「パスキー」の利用拡大に合意しました。 Apple, Google and Microsoft Commit to Expanded Support for FIDO Standard to Accelerate Availability of Passwordless Sign-Ins - FIDO Alliance https://fidoalliance.org/apple-google-and-microsoft-commit-to-expanded-support-for-fido-standard-to-accelerate-availability-
アメリカのIT大手、アップル、グーグル、それにマイクロソフトの3社は、ウェブサイトやアプリを利用する際、パスワードを入力しなくても、指紋や顔などで簡単に認証できるシステムの開発で連携すると発表しました。パスワードの使い回しによる情報の漏えいを防ぐ取り組みとして関心が集まっています。 ウェブサイトやアプリなどにログインする際に必要なパスワードは、管理が大変なことから、同じものを使い回す人が多いとされ、情報漏えいにつながるリスクがあると指摘されています。 こうした中、アップル、グーグル、それにマイクロソフトは5日、パスワードを入力しなくても認証できるシステムの開発で連携すると発表しました。 基本ソフトが違っても連携が可能な上、端末ごとに事前に設定する必要もないということで、たとえば、パソコン上でウェブサイトにログインしようとすると、自分のスマートフォンに指紋認証を行うよう促す画面が自動的に表示
const { build } = require('esbuild') const { dependencies } = require('./package.json') const entryFile = 'src/index.ts' const shared = { bundle: true, entryPoints: [entryFile], external: Object.keys(dependencies), logLevel: 'info', minify: true, sourcemap: false, } build({ ...shared, format: 'esm', outfile: './dist/index.esm.js', target: ['ES6'], }) build({ ...shared, format: 'cjs', outfile: './d
RubyGems 3.3.11でRust拡張の対応が実験的に入ったので、少し触ってみたメモ。 In particular, it includes experimental supppot for Rust extensions. 引用: https://blog.rubygems.org/2022/04/07/3.3.11-released.html wasabi 2019年に鹿児島Ruby会議01で作ったRust製gemがあるので、これを修正しました。 speakerdeck.com github.com thermite の削除 refs: b16bfd1e2864adbb698f5225f86e7fd18da0b95e thermite はRust拡張を作るために使用していたが、RubyGemsが対応したことで不要になったので削除する。 ext/wasabi/extconf.rb
Weekly Frontend News 2022年5月1週目/useEvent,Next.js router,Skia... GWみなさんお楽しみでしょうか〜🎏 自分が今週見たフロントエンド記事のまとめ。 RFC: useEvent by gaearon · Pull Request #220 · reactjs/rfcs PropsとStateの最新値を読み取れるメモ化されたイベントハンドラーを作成できるuseEventの提案。 useCallbackでは満たせない例などが記載されている。もし提案が通れば、useEffectなどの依存に関するLintも変更されるとのこと。 The Next.js router is getting a major upgrade! Next.jsのrouterが アップグレードされるとのこと。 React Native Skia—For Us, Fo
PlanbyはEPGベースのタイムラインコンテンツを実装する為のReactコンポーネントです。OSSとしてソースコードが公開されています。 EPGとはTVやPCなどに、いわゆるTV番組表を表示するシステムでElectronic Program Guideを略したもの。よく電子番組ガイドと称されます。(Wikipedia) PlanbyはこのEPGを設計する事が出来るReactコンポーネントで、タイムラインはもちろん、スケジュールやライブストリーミング、イベントなどなど様々なシステムに応用できるようになっています。 カスタム仮想ビューを使用しており、大量なデータの操作が可能となっています。また、サードパーティのUIライブラリと統合する事も可能。 時間をベースとしたさまざまなコンテンツのソリューションとなる事を目指している印象でした。 EPGならWebに疎い方でもある程度は見慣れている、触り慣
Whether you use text-to-speech for accessibility or convenience, it's hard to find the feature everywhere online. So, here are five Firefox add-ons. If you ever get tired of reading while you browse, prefer to multitask, or even just process information better when you hear it, then text-to-speech is an incredibly powerful tool that can help you to achieve all of the above. It can also help those
The Apple Watch is your iPhone’s best friend. It lets you manage notifications, take calls, and even use some apps without touching your iPhone. The health and fitness features will help you stay in shape, and the notifications will keep you on top of your messages. But there’s much more to the Apple Watch than the Activity app, Notification Center, and watch faces. Indeed, your Apple Watch is fil
米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は5月4日(米国時間)、「CISA Adds Five Known Exploited Vulnerabilities to Catalog|CISA」において、「Known Exploited Vulnerabilities Catalog」に5個の脆弱性を追加したと伝えた。 CISA Adds Five Known Exploited Vulnerabilities to Catalog|CISA 影響を受ける主な製品やサービスは次のとおり。 CVE-2021-1789 Apple - 複数の製品 CVE-2019-8506 Apple - 複数の製品 CVE-2014-4113 Microsoft -
どうも、LIGのテクニカルディレクターのおきくです。 最近はPM業務が多くなり、本来のテクニカルディレクション業務から離れることも多いですが、相変わらず技術に対する知識欲は衰えておりません(笑)。 さて今回ですが、案件などでよく設計やディレクションすることが多い、セキュリティ設計(サーバーサイド限定)についてお話ししたいと思います。このブログを通じてみなさんのセキュリティ設計に少しでもお役立てできたら幸いです。 インフラ関連について インフラ関連だと様々な観点での設計が必要になりますが、主に以下観点での設計が必要です。 アクセス管理 WAF 侵入検知・防御 アクセス管理について 様々な観点でアクセス管理を実施する必要性があります。 基本的な考え方としては、各リソースやサブネットワークへのアクセスについて許可されていないIPやサービスからのアクセスを禁じる、想定外なアクセスを行わないようにす
HOME電子書籍・Apple Books【新刊】Swift Playgroundsでアプリを開発・公開するための入門書「iPadでアプリ作りガイド」Apple Booksで配信開始 有限会社快技庵が、電子書籍「iPadでアプリ作りガイド」をApple Books Storeで発売しています。 Appleの「Swift Playgrounds」アプリを使って、アプリケーションを開発・公開するための手引き書です。 デベロッパー登録などの準備から、教材の利用方法、アプリの作り方、公開する手順などが解説されています。 通常価格は1,400円です。 5月15日までの期間限定で、800円で購入できます。 無料でサンプルを読めます。 ダウンロード:Apple BooksでiPadでアプリ作りガイドを読む ニュース解説 青空文庫アプリ「neo文庫」「豊平文庫」などの開発で知られる、有限会社 快技庵の高橋政
今年は長くて11連休と、日々忙しく過ごす人にとって、さまざまな意味で影響の大きい期間になりました。大型連休をエンジョイしている人がいれば、僕のようにGW真っ最中にこの原稿をしたためているような、休みだからこそ仕事が多いみなさんもいたりするでしょう。 そんな、GWの代表的な使い方といえば旅行ですよね。 せっかくの長期休みですから、山や海、さらには海外……は、ご時世的に難しいかもしれないですが、ふだんは行くことのできない場所へ足を運ぶいい機会。なかなか会うことのできない友人や家族に会いに行くといった過ごし方もいいでしょう。 一方で、誰かと会ったり旅行をしたりするのはどうしてもリスクがつきまとうご時世でもあります。 「あぁ……自宅で手軽にお出かけ気分を味わえたり、いろいろな人と飲んで騒いで、みんなと遊べるような、夢みたいな話あるわけないよなぁ」 と、思ったそこの貴方!! よくぞこの記事に辿りつい
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く