おはようございます ritou です。 久々に「解説付きスライド全公開」的なやつをやります。 先月、チーム内でID連携のための標準化仕様に関する勉強会(私が一方的に話す会)を行いました。 が、実際はだいぶグダグダになってしまい、これはその後色々付け足してるうちに別物になってしまった資料です。 内容としては、ID連携のための標準化仕様にどのようなものがあるかを知ってもらうための「入門編」のような立ち位置で作りました。 OpenID Connect(やSAMLのような) ID連携のための標準化仕様を紹介しようと思うと、ついつい個別にシーケンスやリクエスト/レスポンスの説明を始めがちですが、初学者が気になるのはそんな細けぇことではないでしょう。 まずは「この仕様で何ができるようになるのだろう」「この仕様では何を実現したいんだろう」と言うところから理解していくのが良いのではないでしょうか。 そこで
こちらはエムスリー Advent Calendar 2023の22日目の記事です。 こんにちは、エムスリーエンジニアリンググループ、デジスマ診療チームの山本 (id:shunyy) です。 医療機関向けSaaSであるデジスマ診療は、開発開始からちょうど3年が経ち、現在では予約・問診等、多様な機能を提供していますがリリース当初は決済機能のみを提供していました。そんなデジスマのコア機能である決済機能はStripe Connectを利用しており、今回は3年間運用した学びを共有したいと思います。 デジスマ診療のプロダクトの内容は以下のスライドを御覧ください。 speakerdeck.com そもそもStripe Connectとは何なのか Stripe Connectのアカウントタイプ・支払いタイプについて デジスマ診療の全体構成 追加開発事例 Amazon AppFlowを利用したBigQuer
ritouです。 Digital Identity技術勉強会 #iddance Advent Calendar 2020 19日目の投稿です。 急に穴が空いたのでアカウントリカバリーとかの話でリカバリーしましょう。 今年は認証やら本人確認などが騒がしい年でありました。 大きな問題の話はおいといて、自分のブログ記事に書いたぐらいの話を用いて振り返ります。 1. 一般的なパスワード認証 - パスワード = メール/SMSを用いたパスワードレス認証? bosyuがTwitter/Facebookのソーシャルログインに加え、メールでリンクや認証コード的な文字列を送信、それを検証することでログイン状態とするパスワードレスな認証機能を実装されていました。 bosyuが実装したメールアドレスでの登録/ログイン機能とは!? - r-weblife (追記: ころちゃん氏が関連する記事を書いてました。パスワ
こんにちは。チャージ式プリペイドカードと家計簿アプリがセットになったサービス、B/43のサーバサイド開発をしている@ohbaryeです。 はじめに 唐突な問ですが、読者諸兄はECサイトでカード決済を行う際に本人認証を求められたことはあるでしょうか?弊社のようなカード会社のブログを読まれる方であれば人生で一度は経験しているのではないかと推察します。 この仕組みは3Dセキュアと呼ばれる本人認証サービスで、カードの盗用やなりすましなどの不正利用の防止を目的としてつくられたものです。近年では不正利用防止だけでなく消費者の利便性向上に寄与するシーンも増え*1、B/43にも多くのユーザーさんから3Dセキュア対応の要望がありました。B/43はその要望にお応えして2022年の6月に3Dセキュアに対応したカードをリリースしました。 本記事では筆者が3Dセキュアの開発・運用を通じて学んだ、3Dセキュアの仕組み
2020/05 W3C 活動概要 (日本語版)
このレポートは、2020/05に行われたW3C 諮問委員会総会 (W3C 会員限定ページ) 向けに用意されました。 同時に公開された2020/05 W3C 現状 (翻訳はありません) も参照ください。前回のバージョンは2019/09 版活動概要 (英語版)になります。 このレポートの更新版は最新版をご参照ください。 (訳注: 一般向けに原版にはない説明のリンクや追記を入れている部分があります。) オリジナルの英語版に加え、簡体字中国語翻訳も低提供されています。 概要 このレポートはすでにウェブで実現されている領域についての拡張や、 ウェブ技術の拡張・強化のための技術革新に関する最近の活動の概要です。 インターネットについてのコア技術の上に構築されたウェブが、科学的な協働や発見を加速しつづける、家族・友人をつなぐ場になる、オンラインで学習し技術を高める手段になる、活発なビジネスを行う、などの
楽天会員お客様 残念ながら、あなたのアカウント 楽天会員個人情報 を更新できませんでした。 これは、カードが期限切れになったか。請求先住所が変更されたなど、さまざまな理由で発生する可能性があります。 アカウント情報の一部が誤っている故に、お客様のアカウントを維持するため 楽天会員個人 情報を確認する必要・ェあります。今アカウントを確認できます。 ログイン なお、24時間以内にご確認がない場合、誠に遺憾ながら、アカウントをロックさせていただくことを警告いたします。 どうぞよろしくお願いいたします。 発行元 楽天株式会社 https://rakuten.co.jp Copyright c Rakuten, Inc. All Rights Reserved. このメールの文面は以前に紹介したアマゾンの架空請求業者から届いた迷惑メールの内容とほとんど同じです。 Аmazon お客様 残念ながら、あ
Kyashは、Kyash Cardが本人認証サービス(3Dセキュア)に対応したことを発表しました。 ユーザーは特に設定をすることなく、本人認証サービス(3Dセキュア)による決済が可能になります。 なお、Kyash Card LiteとKyash Card Virtualは未対応です。 Kyashが本人認証サービス(3Dセキュア)に対応 本人認証サービス(3Dセキュア)とは、オンラインショッピングの際に、カード情報に加えて、ユーザー自身が設定した「本人認証パスワード」を入力することにより「なりすまし」などの不正使用を未然に防止するサービスです。 利用方法としては、 3Dセキュア(Visa Secure)に対応しているVisa加盟店でKyash Cardの情報を入力 認証方法を選択(図A) 認証コードを入力(図B) 決済完了 Kyash:本人認証サービス(3Dセキュア)の利用方法 本人認証サー
Secure Payment Confirmation | Payments | Chrome for Developers
Secure Payment Confirmation (SPC) is a proposed web standard that allows customers to authenticate with a credit card issuer, bank, or other payment service provider using a platform authenticator: Unlock feature including Touch ID on a macOS device Windows Hello on a Windows device With SPC, merchants can allow customers to quickly and seamlessly authenticate their purchases, while issuing banks
カード決済の「3Dセキュア2.0」とは?不正利用対策やセキュリティ強化、チャージバック売上補償継続に向けた対応スケジュール | E-Commerce Magazine
ホームECニュースカード決済の「3Dセキュア2.0」とは?不正利用対策やセキュリティ強化、チャージバック売上補償継続に向けた対応スケジュール カード決済の「3Dセキュア2.0」とは?不正利用対策やセキュリティ強化、チャージバック売上補償継続に向けた対応スケジュール 2021.06.082024.07.19 ECニュース 「3Dセキュア2.0」をご存知でしょうか? EMV-3Dセキュア、EMV3DSと表記されることもあります。 クレジットカードの不正利用を防ぐ本人認証制度「3Dセキュア(以下、3Dセキュア1.0)」の新しいバージョンです。現在、世界中で「1.0」から「2.0」への移行が急速に進んでいます。 なぜなら、VISA、MASTERなど一部のクレジットカードブランドが「3Dセキュア1.0」におけるチャージバックの売上補償を終了すると発表したためです。※ 「3Dセキュア1.0」を導入して
ソフトウェアエンジニアの summerwind です。最近は LLM が自分のふりをして代わりに仕事をしてくれるような仕組み作りを趣味にしています。 先日社内で「ドキュメントをうまく書く方法はありますか?」という質問をもらったのですが、普段ドキュメントを書く時に意識をしている要素のようなものはあるものの、それをちゃんと言語化したことがなかったため、抽象的にしか答えることができませんでした。改めて言語化をしてみるのは面白そうだなと感じたので、今回はドキュメントを書く時に考えていることをいくつか書き出してみたいと思います。 想定する読者を決める ドキュメントを書く時にまず最初にやるのは「そのドキュメントの想定する読者は誰か」についてを考えることです。よくある想定読者には次のような方々がいます。 同じチームで働くエンジニアのメンバー 同じプロジェクトで働くメンバー 全メンバー 想定する読者が決ま
Amazon Web Services ブログ AWS がはじめて PCI 3DS 認定を取得 アマゾン ウェブ サービス (AWS)がはじめて PCI 3-D Secure (3DS) 認定を取得したことをお知らせいたします。AWS は 3DS 機能を直接提供しませんが、AWS の PCI 3DS準拠証明書により、お客様が AWS で実行されているサービスに対して PCI 3DS 準拠を実現できます。 PCI DSS に準拠するすべての AWS リージョンが PCI 3DS に準拠します。AWS は、独立した認定セキュリティ審査機関(QSA)である Coalfire によって審査されました。 この最新の PCI 3DS 準拠証明書を含む AWS のコンプライアンスレポートは、AWS Artifact を通じてオンデマンドで確認できます。AWS Artifact で確認可能な PCI 3D
2022/10/21~10/22にKaigi on Rails 2022が開催されていました。まず最初に自分はただのいち視聴者でしかなかったですが、運営・スピーカーの方々へはお疲れ様でした&ありがとうございましたという気持ちです。 さて連日様々な発表が行われていましたが発表スライドが一箇所にまとまってる場所がまだ中々見つからなかったのでここへリストにしておきます。一部スライドを見つけられなかったセッションもありますが、もし見つけたら更新する予定です。何か間違い等あれば@razokuloverへご連絡ください。 1日目 あなたとRails お隣さんの API のデータを Rails らしく、しなやかに扱う RBSとSteepで始める型のあるRails開発とその運用 システム開発を支えるメタプログラミングの技術 / kaigionrails-2022 7つの入金外部サービスと連携して分かった実
メルペイを支える技術を3日間にわたって解剖!「Merpay Tech Fest 2022」セッション&スピーカー情報を公開しました! #メルカリな日々 | mercan (メルカン)
メルペイを支える技術を3日間にわたって解剖!「Merpay Tech Fest 2022」セッション&スピーカー情報を公開しました! #メルカリな日々 こんにちは!Merpay Engineering Engagement Team の @mikichinです。 2022年8月23日から3日間にわたって開催する「Merpay Tech Fest 2022」の全20セッションの内容とスピーカーの情報を公開しました(セッション情報を公開する前から申込いただいたみなさま、ありがとうございました)! 参加登録はこちらから。 昨年からさらにアップデート、よりコミュニケーションを意識した設計に 今年は「信用創造カンパニー メルペイの浸透」をテーマに、この1年間メルペイのエンジニア組織が取り組んできた、さまざまなチャレンジをトークセッションとして準備いたしました。 参加者のみなさまと、より濃密なコミュニ
はじめに 開発本部MIXI M事業部の@k-asmです。 本投稿はMIXI DEVELOPERS Advent Calendar 2023 5日目の記事です。 MIXI Mでは内製で3Dセキュアサービスを開発しており、日々3Dセキュアの仕様を参照しながら開発しています。MIXI Mの内製3Dセキュアサービスについては、MediumのMIXI DEVELOPERSに書いた以下の記事をご覧ください。 また、PCI 3DS対応についてはAWS様に事例紹介をしていただきました。こちらも是非ご覧ください。 今回は3Dセキュアの最新仕様であるバージョン2.3.1で導入されたSPCベース認証について紹介します。これはSecure Payment Confirmation (SPC)を3Dセキュアのプロトコル上で利用できるようにしたもので、FIDOによる3Dセキュアの決済体験の改善が期待できるものです。
Balance Security and Usability in the Field of 3D Secure
Kaigi on Rails 2022 "Balance Security and Usability in the Field of 3D Secure" https://kaigionrails.org/2022/talks/ohbarye/ セキュリティとユーザーの利便性をいかに両立さ…
これはなに個人的に使っている金融サービスを図に書き起こしてみたくなったのでまとめた。 どんな金融サービスを使っているの? SMBCメインの銀行。 本業の給与を受け取ったり、生活するうえでお金の出し入れをしたりする。 イオン銀行主に貯蓄用の銀行。 副業の給与を受け取ったり、iDeCoや個人年金などの保険料を支払ったりしている。 副業収入の受け取りをこちらにしたのは、生活するためのお金は本業収入で間に合っているために副業収入は全額貯蓄に回すから。 pring主にSMBC - イオン銀行間の送金や現金引き出しの際にセブン銀行を経由するために使っている。 妻の口座へ送金が必要になったときもpringを経由して送金している。 ANAカード日常の支払いの全てを担っているクレジットカード。普段はお財布の中にしまっている。 ANA Mastercard Wide Goldを使っているが、ANA Visa
Tips for testing and debugging SameSite-by-default and “SameSite=None; Secure” cookies
Tips for testing and debugging SameSite-by-default and “SameSite=None; Secure” cookies (Last updated: Mar 18, 2021) What: An overview of steps you can take to test your site against Chrome’s new SameSite-by-default cookie behavior, and tips for debugging cookie issues that may be related. Who: You should read this if your site provides or depends upon cross-site cookies. Some of these tips will pr
【書き起こし】メルカリのカスタマージャーニーにおける不正防止の取り組み – codechaitu 【Merpay & Mercoin Tech Fest 2023】 | メルカリエンジニアリング
Merpay & Mercoin Tech Fest 2023 は、事業との関わりから技術への興味を深め、プロダクトやサービスを支えるエンジニアリングを知ることができるお祭りで、2023年8月22日(火)からの3日間、開催しました。セッションでは、事業を支える組織・技術・課題などへの試行錯誤やアプローチを紹介していきました。 この記事は、「メルカリのカスタマージャーニーにおける不正防止の取り組み」の書き起こしです。 @codechaitu:みなさん、こんにちは。Merpay & Mercoin Tech Fest へようこそ。本日は、メルカリ・メルペイのシステムにおいてカスタマージャーニーでの不正防止の取り組みについてお話しします。 まずは、自己紹介します。私のニックネームは、@codechaituです。大学を卒業して2018年にメルカリに入社しました。その後、CRM関連のツールを社内で構
Fill OTP forms within cross-origin iframes with WebOTP API Stay organized with collections Save and categorize content based on your preferences. SMS OTPs (one-time passwords) are commonly used to verify phone numbers, for example as a second step in authentication, or to verify payments on the web. However, switching between the browser and the SMS app, to copy-paste or manually enter the OTP mak
OIDC CIBA の拡張として OAuth 2.0 Device AuthZ Grant を使う仕様を考えてみた - r-weblife
おはようございます。ritou です。 なんか急に寒くなりましたね。私は先週末、風邪をひきました。 何の話? OpenID Connect の CIBA と OAuth 2.0 Device AuthZ Grant は手元の端末を用いてユーザーがID連携やリソースアクセスを許可することから似ている面があるものの、プロトコルとしては結構な違いがあります。 ritou.hatenablog.com tools.ietf.org あまり深く考えずにこれらの標準化仕様を弄ってどうこうするのはお勧めできないわけですが、今回は特定の条件下においてこの2つを組み合わせられるのでは?というのを考えてみました。 それぞれの特徴 リクエストやらエンドポイントやらのプロトコルの詳細は一旦おいておいて、ざっくり CIBA RPがOP上のユーザーに紐づく情報を知っている必要がある 事前にユーザーと Authenti
バンドルカードの SRE をしている summerwind です。最近は A Philosophy of Software Design を読んでいます。 タイトルの通り、2022年6月21日からバンドルカードと Pool のカードが 3D セキュアに対応しました。バンドルカードではアプリですぐに発行可能なバーチャルカードを含む全てのカードで対応しているので、気軽により多くの加盟店での決済にご利用いただけるようになりました。 いつもはバンドルカードのインフラやセキュリティといった領域を担当しているのですが、3D セキュアの対応では久しぶりにバックエンドエンジニアとして自分もプロダクト開発に関わったので、今回は 3D セキュアの仕組みとその開発に関する話を簡単に紹介したいと思います。 3D セキュアとは 3D セキュアは、オンラインなど非対面でクレジットカードを使用して決済をする際に、カード
3-D Secure 2.0
3-D Secure 2.0 について 新しいオンライン本人認証 3-D Secure2.0は、EMVCoで規定された、次世代のオンライン本人認証技術で、ウェブのみではなく、スマートフォン等のコネクテッドデバイス上での認証をサポートしています。
Wasm workloads (Beta)
Overview Docker Desktop Overview Install MacUnderstand permission requirements for MacWindows Use the MSI installer New OverviewInstall and configureUse IntuneFAQsUnderstand permission requirements for WindowsLinux Installation per Linux distro UbuntuDebianFedoraArchSign in Explore Docker Desktop OverviewExplore ContainersExplore ImagesExplore VolumesExplore BuildsResource Saver modePause Docker D
Stripeでは、以下 3種類の支払い方法が提供されています。 Stripe Checkout Charges API Payment Intents API ここではStripe Checkoutで出来ることをまとめています。 Charges API と Payment Intents API については、「Stripeの各種API(ChargesとPayment Intents)について」にまとめています。 Stripe Checkout の動作 Stripeのサーバに画面遷移して決済を完了し、その後自社ページにリダイレクトされます。 Webサービスが前提です。 自社サイトやiOS/Androidアプリに決済処理を組み込みたい場合は、Charges APIまたはPayment Intents APIを使いましょう。 Stripe Checkout で、できること / できないこと On
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
ID連携の標準化仕様紹介とセキュアな実装のためのアプローチ ~ 2021 - r-weblife
3年間Stripe Connectを運用した経験を共有します - エムスリーテックブログ
パスワードレスな認証方式やアカウントリカバリーについての振り返り2020
3Dセキュア入門 -B/43の3Dセキュア開発・運用の裏側- - inSmartBank
【楽天市場】お支払い方法を更新してください(自動配信メール) 9:34:07 AM
Kyash Card、本人認証サービス(3Dセキュア)に対応 - こぼねみ
ドキュメントを書く時に考えていること - カンムテックブログ
AWS がはじめて PCI 3DS 認定を取得 | Amazon Web Services
#KaigiOnRails 2022の発表スライドのリスト
FIDOによる3Dセキュアの決済体験改善 - SPCベース認証について
私的キャッシュレス生活まとめ|Fukaya Temma|note
Fill OTP forms within cross-origin iframes with WebOTP API | Articles | web.dev
バンドルカードと Pool のカードが 3D セキュアに対応しました - カンムテックブログ
Stripe Checkoutを使って出来ること - Qiita