みんなパスキーに期待しすぎている。MIXI伊東氏に聞く「認証のゴール地点」の考え方 | レバテックラボ(レバテックLAB)
みんなパスキーに期待しすぎている。MIXI伊東氏に聞く「認証のゴール地点」の考え方 2025年3月13日 株式会社MIXI 開発本部/OIDF-J エバンジェリスト 伊東 諒(@ritou) 2011年ミクシィ(現:MIXI)入社。MIXI Mという基盤システム&WALLETサービス、MIXI IDというMIXI社内のサービス間で利用できる共通アカウントの開発を担当している猫。OpenID ConnectやOAuth 2.0、パスキーといった標準化仕様について社内外での情報発信にも積極的に取り組んでいる。 X(@ritou) パスワードレス認証の代名詞として普及が進むパスキー。2022年の登場から数年、世間的な認知度も向上し、オンラインサービスのユーザー認証の仕様を検討するうえでは避けて通れない存在となりつつあります。 株式会社MIXIの伊東 諒さんは、日本でパスキーの推進を積極的に行う一
世界一わかりやすいゼロ知識証明 Vol.2: Zero-Knowledge Proofs in the Context of Modern Cryptography
このブログシリーズをグラントプロジェクトとしてサポートしてくださっているイーサリアム財団、また執筆に際してフィードバックとレビューをしてくださった末神奏宙さんに感謝します。 Special thanks to Ethereum Foundation for awarding grants to this blog post series, and Sora Suegami for feedback and review. このブログシリーズは、ソフトウェアエンジニアに限らず、あらゆる日本の読者のみなさんに向けて、最先端の暗号技術とその重要性をわかりやすく説明するという趣旨で書かれています。それぞれ単体の記事としてもお読みいただけますが、順番に読み進めていくことでより理解が深まります。まだお読みでない方は、ブロックチェーンやコンセンサスアルゴリズムの仕組みについて解説しているVol.1を先に
はじめに NearMeでは最近、相乗り配車サービスのための外部向けAPIプラットフォームを構築しました。 これにより、他アプリからシームレスに注文したり、Lineミニアプリのような新しいチャネルのUIを独自に構築することを可能にしました。 その設計においては様々な考慮が必要でしたので、ここにまとめたいと思います。 提供方法 APIを利用するにはまず、外部連携先の"組織"を作成し、登録した"組織"で「〇〇 地域シャトル」「〇〇スクール送迎」などの"サービス"を作成します。これにより、ユーザー管理、車両管理、注文管理などが管理画面から利用できるようになります。マルチテナント方式なので専用の"サービス"が構築されます。 次に、API連携に関する基本情報を格納する"アプリケーション"という項目を作成します。 認証情報やWebhookのURLなどもここで設定します。 この"アプリケーション"のIDが
8つのデータ系ツール「BigQuery」「Databricks」「dbt」「Fivetran」「Lightdash」「Looker」「Snowflake」「TROCCOⓇ」に39社からご寄稿頂いたレビューから、各社のデータ基盤アーキテクチャをまとめた記事です。各社の技術選定の背景や工夫などの知見を得ていただく場となれば幸いです。 ※ツール名・ご寄稿企業名共にアルファベット順で掲載しております BigQueryBigQuery は、Google Cloud の費用対効果に優れたフルマネージド型の分析データ ウェアハウスです。ペタバイト規模に対応しており、膨大な量のデータに対してほぼリアルタイムで分析を行うことができます。 ▼BigQueryとは?機能や特徴・製品の概要まとめページはこちら https://findy-tools.io/products/bigquery/49 ▼Findy T
Bitwardenの実装から学ぶE2EE
この文章はなに? 本文章は、パスワードマネージャーであるBitwardenが公開しているソースコードを読み、そこでE2EE(End-to-end encryption)がどのように実装されているかについて、私が理解した内容をまとめたものです。 「E2EEをぼんやり理解してるが、どのように実装されているのかはわからない」という方を主な対象としています。 E2EEに対する私個人の課題感として、インターネット等から得られる説明が比較的抽象的であり、実装レベルでの理解が難しいというものがあります。 そこで私自身、そして同じ課題感を持つ方に向けて、E2EEを実践しているアプリケーションの1つであるBitwardenを参考に、それがどのように実装されているのかを詳細に理解すべく、本文章にまとめることとしました。 なお対象アプリケーションとしてBitwardenを選んだのは、私自身がユーザーであること、
Nostr の面白さをエンジニア目線で解説してみる
はじめに 今年は、SNS でありプロトコルでもある Nostr に出会いました。2023年2月の参加でしたがもう、どういった経緯で Nostr を見付けて参加したのかすら思い出せなくなってしまいました。ここ数年、X/Twitter が API という物を開発者に触らせなくなってしまいました。僕は X/Twitter が大きくなった理由の1つが、API をオープンにした事で数多くの bot やサービスがが登場した事だと思っていて、API が自由で無くなった X/Twitter をとても残念に感じています。次第に SNS に関連する何かを作るモチベーションはさっぱり無くなってしまっていました。 そんな中で見付けた Nostr はエンジニアのオアシスとでも言える SNS だと感じました。 Nostr の思想 X/Twitter は中央集権型の SNS であり、以下の様な問題を持っています。 障害
KADOKAWAグループがランサムウェアを含む大規模なサイバー攻撃を受け、ドワンゴの全従業員の個人情報や、一部の取引先情報などが漏えいした問題で、犯人グループがダークウェブに公開したとみられる漏えい情報を取得し、ネット上に公開するユーザーが現れている。 ドワンゴは6月28日、「興味本位でこれら(漏えい情報)をダウンロードする行為は、ウイルス感染などの危険があるだけなく、違法である可能性が高い」とニコニコの公式Xで指摘。ダウンロード・拡散を控え、ダウンロードした場合は削除するよう呼び掛けた。 また、「ニコニコアカウント」のパスワードについては、「システム内でハッシュ化されてから保存しているため、仮に流出していたとしてもすぐに悪用される可能性は低い」と説明。念のため、ニコニコアカウントと同じパスワードを他サービスでも利用している場合はあ、パスワードを変えるよう呼び掛けている。 関連記事 ニコニ
改善戦略 実行のタイミングやGitHubの状況や依存サーバーのネットワークの状況によって変動はあるものの、早くて7分、だいたい10分〜15分くらいかかっている。早いか遅いかは、他の開発と比べても内容や状況が違うのでなんとも言い難いが、個人的な感想としては「遅い」。というより、一切の工夫をしていなかったので、もっと早くできるはずだと考えた。 ビルドされたファイルを複数の環境で共有する 処理全体の中で時間がかかっている処理は3つ。 依存パッケージのインストール ビルド テスト さらに、課題の一つとして「テスト実行時に開発用依存パッケージ(devDependencies)がインストールされているせいでテストが失敗しない問題がある」というものがあり、これを処理に追加しないといけない。 開発用依存パッケージのインストール ビルド 依存パッケージを一旦すべて削除 本番用依存パッケージのインストール テ
こんにちは、SRE部MA基盤チームの谷口(case-k)です。私達のチームでは、データ連携基盤の開発・運用をしています。 データ基盤には大きく分けて2種類あり、日次でデータ連携してるものとリアルタイムにデータ連携しているものがあります。本記事ではリアルタイムデータ連携基盤についてご紹介します。 既存のデータ連携基盤の紹介 リアルタイムデータ連携基盤の紹介 なぜ必要なのか 活用事例の紹介 データ連携の仕組みと課題 リプレイス後のリアルタイムデータ連携基盤 SQL Serverの差分データの取り方を検討 アーキテクチャ概要と処理の流れ Fluentdのプラグインを使った差分データの取得 Dataflowでメッセージの重複を排除 Dataflowで動的にBigQueryの各テーブルに出力 Pub/Subのメッセージ管理 イベントログ収集基盤 個人情報の取り扱い ビルド・デプロイ戦略 監視 データ
こんにちは佐々木です。 誰に望まれた訳でもないですが、データ分析基盤の設計シリーズの第三弾です。今回のテーマは、データ分析基盤における個人情報&パーソナルデータの扱いについてです。ここを最初に考えておかないと、データ分析基盤は毒入りとなって、扱いづらいものになります。 データ分析基盤構築の肝は、データレイクとDWHの分離 - NRIネットコムBlog データレイクはRAWデータレイク・中間データレイク・構造化データレイクの3層構造にすると良い - NRIネットコムBlog 個人情報&パーソナルデータと匿名加工について まず最初に個人情報&パーソナルデータの定義と匿名加工について、サラッと確認しておきましょう。 個人情報&パーソナルデータ 個人情報とは、任意の一個人に関する情報であり、かつその情報をもとに個人を特定できるものを指します。代表的な個人情報としては、名前・住所・電話番号・E-ma
Microsoft Power Automate DesktopでRPAを実現してみる - 🌴 officeの杜 🥥
自分自身の個人的意見としては、エンドユーザコンピューティングは大いに結構だと思ってるけれど、一方で日本でジリジリと熱さが消えつつある国内の有象無象のRPAについては滅んだほうが良いとも思ってる。理由は後述するとして、本日良いニュースが発表されました。Power Automate Desktopについて追加費用無し無償で利用可能になるとのこと。これは既にあるMicrosoft365のEnterpriseプランなどに標準で利用できてるPower Automateのデスクトップ版のようで、Windows10に標準でついてくるようになるとのこと。 ということで、現時点のMicrosoft365で使えてるPower Automate Desktopを使ってみて、どんな感じなのか?またリリース後にその違いなどをここに記述していこうかなと思っています。また、Seleniumベースのウェブ自動化についても
Dropbox はソルトとペッパーを利用 次の Dropbox 技術ブログによると、2016年9月時点の Dropbox は、パスワードをソルト化とペッパー化のコンボで保存していました。 How Dropbox securely stores your passwords - Dropbox 具体的には パスワードを SHA512 でハッシュ化 このハッシュ値をソルトとともに bcrypt でハッシュ化 最後にペッパーを鍵に AES256 で暗号化 というようにパスワードを多段で保護してデータベースに保存していました(AES256(BCRYPT(SHA512(PASSWORD) + SALT), PEPPER))。 ※ 図はブログ記事より引用 Dropbox はあくまでもペッパーの実例として紹介しました。 bcrypt の項でお伝えしたように、bcrypt 処理前にパスワードをハッシュ化す
オープンソースらしくソフトウェアを設計する
This post is also available in the following languages. English, Korean こんにちは、出前館のプロダクトを担当しているヨンジェです。私は10余りのオープンソースプロジェクトをディレクションして開発し、チームで新しいソフトウェアを設計するときは、なるべくオープンソースへの移行可能性を念頭においています。今回の記事では、その過程で主にどのような点を強調しているかについて紹介します。 インターネットで見られるオープンソース関連記事のほとんどは、オープンソースの哲学について話したり、これから始める人向けにREADMEの書き方やライセンスの違いを説明したりするような記事が多いです。今回の記事では、ソフトウェアの構造や構成方法について説明したいと思います。また、オープンソース活動をする上で価値をおくべき部分とネーミングについても触れ
【VRChat】リッピングでパスワードギミックが破られるので公開鍵を利用した対策品を作りました【無料配布】 - チカラの技術
こんにちは! 本記事はVRChatのワールド向けパスワードギミックの紹介・配布記事になります。 まず結論から:要点とギミック配布 従来のパスワードギミックはリッピング(VRChatのデータを不正にダウンロードする行為)によってパスワードが簡単に抜かれてweb上に公開され、誰でも開錠可能になってしまうことが分かりました。 今回その対策としてJWT(公開鍵を利用した検証技術)による新しいパスワードギミックを作成しました。ワールドデータにパスワードを置かないためリッピング耐性があります。従来のパスワードギミックの置き換えとして使用でき、オプションでパスワードの漏洩対策もできます。 こちらで無料配布しています。(MITライセンスで改変・再配布可能です) power-of-tech.booth.pm ※ VRChat公式のモデレートガイドラインの対応についてはマニュアルの序章に記載しています。 ワン
とても良い本が出ます 概要 構成 第1部:確率的で簡潔なデータ構造 第2部:ストリーミングデータ構造とアルゴリズム 第3部:外部記憶データ構造とアルゴリズム 具体的なコードは少な目 参考文献がしっかり書いてある 数式は最低限 図がモリモリ 翻訳版特有の情報 内容的な修正 カタカナ表記 検索のしやすさ 読む際のリズム 表現について 訳注について 音引きについて いきなりでごめんなさい(誤植情報) とても良い本が出ます 大規模データセットのためのアルゴリズムとデータ構造 作者:Dzejla Medjedovic,Emin Tahirovic,Ines Dedovicマイナビ出版Amazon 『大規模データセットのためのアルゴリズムとデータ構造』という本が7月26日発売に発売されます。原書はAlgorithms and Data Structures for Massive Datasetsとい
なんかいけそうな気がしたので Code Interpreter でシュッと Web アプリつくってもろた|bbz
ちゃっす(/・ω・)/ 今日も ChatGPT Code Interpreter さんと戯れていましたの。 で、タイトルの通りなのだけれど、仕様書書いて渡したら Web アプリシュッと作ってくれんじゃね?( ・ω・) という闇の遊戯をした。 という話。 目標実行や指示はすれどもワタクシは一切コードを書かぬ!! 普通にエラー修正とか自分でやった方が早いけどやらぬ!! 全てを ChatGPT への指示で完結する!! で、納品されたもの(/・ω・)/ 納品物 トップページ 登録画面 ログイン画面 Activity 一覧 Activity 修正 レポート画面 すごない?( ・ω・) やったこと~ChatGPT との対話を残すでござる( ・ω・) ※ ChatGPT Code Interpreter Plugin が使えないと同じ事はできないぞ☆ 仕様書を提供しますので、 仕様にそった Flask
はじめに 後輩から実データからトークンキーを生成するの「SHA256とかでハッシュ化でも良いですか?」と聞かれたので「少なくともSaltは必須だね」的な話をしたところ「Saltは(短い可能性があるから)パスワードとかには使うイメージだったけど元データがそれなりに長ければ要らないと思ってました」的な話題になりました。 十分な時間を掛ければ解けるのでもちろんダメなのですが、そういえば十分な時間ってどのくらいだろうと思いちょっと試してみました。 そこそこ長くて識別子に使われる可能性がある番号だとクレジットカード番号が16桁で良い感じなので試してみました。 クレジットカード番号は何通り? 16桁で0-9の値ですが数字なので先頭に0はおけませんから以下のような式になります。 その数なんと9000兆通り! 果たしてこれは計算しきれるのでしょうか? ちなみに実際にはクレジットカード番号には下記のように取
本記事は、 2020 年 5 月 26 日に Azure Active Directory Identity Blog に公開された記事 (Biometrics – Keep Your Fingers Close) を翻訳したものです。原文は こちら より参照ください。 「利用者がシステムに立ち寄って指紋をスキャンすると (もしくはカメラを見つめるかマイクに話しかけると)、あっという間にログインできるようなシステムが欲しい」。こんなご要望を特に製造業、政府系サービス、自動発券機の利用シナリオなどでお客様からよく伺います。 機械に近づくと、初めてそれを使う場合でも指紋や顔で簡単にログオンできるというのは確かに魅力的なシナリオのように思います。何かを購入して持ち歩いたり、落として無くしたりすることもなく、フィッシングにも会いませんし誰かに勝手に使われたりすることもありません。また、従業員が職場
デジタル人材の育成を目指す「中核人材育成プログラム」の参加者が開発。「(サイバー攻撃の)防御を行うにしても、攻撃を全く知らない状態だと何から身を守っているのかイメージし難い。このゲームでは攻撃者の立場になり、サイバー攻撃を疑似体験することで、防御側が見落とす可能性のある脆弱な点に気付き、セキュリティ意識の向上につながることを期待する」としている。 このゲームは「個人、法人組織における非営利、非商業的態様でのシステムセキュリティ教育・啓発目的でのみ、かつ健全な社会通念に反しない」場合のみ、制作者への事前連絡なしで無償利用できる。顧客向けサービスなどと組み合わせての利用、内容改変などのその他の利用をする場合は制作者から許諾を得る必要がある。 また、このゲームは教育とコミュニケーションを目的として作られたものであり、実際の犯罪行為や攻撃の推奨を意図しているわけではないとしている。 関連記事 IT
はじめに 近年、私たちの生活や仕事の様々な場面でAI(人工知能)の存在感が増しています。特にエンジニアの世界では、Claude、GPT-4、Geminiといった大規模言語モデル(LLM:Large Language Model)を搭載したAIアシスタントが、プログラミングの方法そのものを大きく変えつつあります。 これらのAIアシスタントは単にテキストを生成するだけでなく、コードの作成や修正、バグの発見と修正案の提案など、かつてはエンジニアだけが行えた専門的な作業を驚くべき精度で実行できるようになりました。特に注目すべきは、CLINEやCursorのようなエージェントモード機能を持つAIアシスタントの登場です。これらは単にコード生成を行うだけでなく、実際にコマンドを実行したり、ファイルを操作したり、更にはデータベースに接続するといった実務的な作業まで行える能力を持っています。例えば、「このJ
このコーナーでは、2014年から先端テクノロジーの研究を論文単位で記事にしているWebメディア「Seamless」(シームレス)を主宰する山下裕毅氏が執筆。新規性の高い科学論文を山下氏がピックアップし、解説する。 Twitter: @shiropen2 中国の南開大学や北京大学などに所属する研究者らが発表した論文「Pass2Edit: A Multi-Step Generative Model for Guessing Edited Passwords」は、1つのサービスで使っているパスワードを少し変えて別のサービスで使い回しているパスワードを予測して特定する攻撃を提案した研究報告である。 インターネットでサービスを利用すると、アカウント数が増加する。一般のユーザーは、80~107個ものオンラインアカウントを持っているとされている。このような状況において、新しいパスワードを都度設定するのは
3rd-party cookieもIDFAもないアドテックに向けた動きまとめ 各機能紹介編|AD EBiS マーテック研究会
Privacy Sandbox等のクッキーレスアドテックに関する前回の記事から1年が経とうとしています。1年間様々なベンダーから提案が公開され、議論も進化のペースが激しく、しばらくまとめを断念していました。今年に入ってからもGoogle (ChromeとAds)やAppleからクッキーレス、IDレスアドテックについて発表が相次ぎましたが、主要提案の開発とリリーススケジュールが明らかになり、発散から収束フェーズに入ったと思われるので、一度状況まとめておきます。 振り返り Privacy SandboxはGoogle Chromeの開発チームが提案する、3rd-party cookieとフィンガープリンティングの代替技術(サイトを跨いだ計測とターゲティング機能、アドフラウド防止機能)およびサイトを跨いだユーザ単位のトラッキング防止機能の総称です。3rd-party cookieの段階的な廃止自
Oracleが自社クラウドで発生した深刻なセキュリティインシデントを顧客から隠そうとしてInternet Archiveに削除要求していることが暴露される
2025年3月21日に、「rose87168」と名乗るハッカーがアメリカのソフトウェア企業・Oracleのクラウドサービス「Oracle Cloud」のシングルサインオン(SSO)ログインサーバーから約600万件の顧客データを盗み出して販売しました。これに対してOracleは「不正アクセスは発生していない」との声明を発表していますが、その一方でOracleはrose87168が「侵入の証拠」と主張するページをInternet Archiveに削除するよう要請していることが報じられました。 Oracle attempt to hide serious cybersecurity incident from customers in Oracle SaaS service | by Kevin Beaumont | Mar, 2025 | DoublePulsar https://double
はじめに ChatGPTはAIですが、人間と同じようにコミュニケーションをしますので、トラブルについても人間と同様に考えることで、事前に回避や軽減できるかもしれません。OpenAIのドキュメントには、ChatGPTを安全に使うためのベストプラクティスが公開されていますので、本記事では、まず始めに安全にChatGPTを利用する方法について紹介し、次にプロンプトインジェクションを踏み台としたシステムへの攻撃手法について紹介します。最後に、それらの対策について紹介します。 3行まとめ プロンプトインジェクションの種類と対策について把握する 既存のシステムへの攻撃手法と対策について把握する 使い方を正しく理解してどんどん使って行きましょう 安全にChatGPTを利用するためにできることをする Moderation APIを利用する OpenAIには、無料で使えるModeration APIが提供さ
この記事は個人ブログの内容がソースです。 kami-programming.com そもそもなぜクリーンアーキテクチャーを考察するのか DRY原則やSOLID原則などが浸透している昨今ですが、実際の開発現場のソースコードを読み込んでみると必ずしもこれらの原則に則していない場合は多いのではないでしょうか。 そして、そういった開発環境でいざコーディングをしていくと、以下のような問題に直面するのではないでしょうか。 あるバグの修正をしたのだが、同じロジックが他の場所でも書かれていたようで重複箇所のバグは依然としてバグったままだった。 あるクラスを変更したが、依存性の方向性や範囲が把握しきれておらず、変更の影響で新たなバグを生んでしまった。 ビジネスロジックの変更を迫られたが、同じロジックが重複しすぎており修正範囲を特定するだけで一苦労。 想定外の値の入力があり、バグが発生してしまった。 これらは
【SvelteKit入門】SvelteKit + Prismaによる掲示板アプリ作成 - RAKUS Developers Blog | ラクス エンジニアブログ
こんにちは!ラクス1年目のkoki_matsuraです。 今回は掲示板アプリ作成を通して、SvelteKitの基礎的な部分をご紹介させていただきます。 目次は下記のようになっています。 はじめに Svelteとは SvelteKitとは 掲示板アプリ作成 アプリの概要 環境構築 SvelteKit データベース Prisma テーブル作成 ルーティング作成 新規登録画面 ログイン画面 スレッド投稿画面 スレッド一覧画面 スレッド詳細画面 ログアウト機能 エラー画面 終わりに はじめに Svelteとは WebアプリケーションやUIを構築するためのJavaScriptフレームワークです。有名なものでは「React」や「Vue」が挙げられます。 Svelteにはこれらのフレームワークと比べて下記のような特徴があります。 仮想DOMを用いない こちらが最も大きな特徴となります。 まず、仮想DOM
この記事は NFLaboratories Advent Calendar 2022 6日目の記事です。 ソリューション事業部セキュリティソリューション担当の岩崎です。 多くのウェブサイトでは登録されたドメイン名を利用して構築されており、サブドメインを作成して構築されるケースも多いです。中には、開発環境や公開前のプロダクト用にサブドメインを作成して運用されているケースも多いです。 昨今、公開を前提としたサーバでは適切なセキュリティ設定や脆弱性診断などセキュリティ侵害を防ぐための対策が取られているケースが多いです。一方、開発環境や公開前のプロダクト用のサーバでは十分な対策が取られていないケースも多く見受けられます。 そこで今回はセキュリティ侵害から防御することを目的として、攻撃者視点でサブドメイン名列挙をする手法についてまとめてみました。 総当たり ゾーン転送 対策 Passive DNS 検
IDやパスワードなどのユーザアカウントを一元管理するシステムを手がけるOktaが、「ユーザー名が52文字以上だとパスワードによる認証を回避できる脆弱(ぜいじゃく)性」が2024年7月23日から約3カ月間にわたって存在していたと発表しました。 Okta AD/LDAP Delegated Authentication - Username Above 52 Characters Security Advisory https://trust.okta.com/security-advisories/okta-ad-ldap-delegated-authentication-username/ Oktaは2024年11月1日に、同社の委任認証システムである「Okta AD/LDAP DelAuth」に、正しいパスワードを入力しなくてもアカウントにログインできる脆弱性があったと報告しました。 O
GraphQLクライアントにurqlをおすすめしたい
GraphQLのクライアントといえばApollo Clientが使われることが多いと思いますが、urqlというクライアントをおすすめする記事です。 TL;DR urqlのドキュメントキャッシュはApolloみたいなキャッシュ管理が要らなくて楽だからおすすめ ドキュメントキャッシュは、Mutationの __typename を見て汚れたキャッシュを捨てる仕組み Mutationのあと refetchQueries やってるならそれはurqlが自動でやってることと同じ なぜurqlをおすすめするのか この記事ではurqlのドキュメントキャッシュというキャッシュを仕組みだけを紹介します。雑に言うと、Apolloの正規化されたキャッシュより多少効率は落ちるものの煩雑な正規化されたキャッシュの管理から解き放たれるというものです。Apolloのキャッシュの管理に疲れた人にめちゃくちゃおすすめですし、
PHPerの皆さん、重要な文字列を入力データと保管情報を比較するときに比較演算子("=="とか"===")使ってませんか? これ実は使っちゃだめなので、気をつけましょう。 なぜだめなの? (2020/8/31修正) 関数名をtypoしていたため修正しました。(正)memcmp・(誤)strcmpです。 PHPを含む多くの言語では、文字列を比較する際に内部で memcmp() を使います。 通常の(厳密なセキュリティを必要としない)ケースでは、比較演算子を使うことはまったく問題ありません。 パスワードなど絶対に推測されてはいけない文字列を比較する場合、この関数は脆弱といえます。 memcmp() は内部で1バイトずつ比較検証するため、応答時間をもとに先頭から何文字正解だったか推測できます。 このような攻撃を「タイミング攻撃」といいます。 どうすればいいの? PHPでは、ハッシュ値を用いて文字
【Power Automateの新しいRPA機能】Power Automate Desktopで出来ること(全33機能の紹介) - Qiita
【Power Automateの新しいRPA機能】Power Automate Desktopで出来ること(全33機能の紹介)RPAPowerAutomateDesktop はじめに Microsoft Igniteの発表でPower Automateの「per user with attended RPA plan」で「Power Automate Desktop」が使用できるようになりました。2020年9月26日時点でPreview機能です。 この記事ではPower Automate Desktopの自動化機能(アクションと言います)を紹介します。 この紹介を通じPower Automate Desktopがどのような自動化を行えるかの参考になれば幸いです。 2020年9月26日時点のアクションとなります。 トライアル開始手順もまとめてみましたので併せてご覧ください。 【Power A
「パスワード平文保存って何か問題あるんですの?」 ITお嬢様と学ぶハッシュ化:ITお嬢様の今日も分かりませんわ~!(1/4 ページ)
CISSP 勉強ノート
目次の表示 1. 情報セキュリティ環境 1-1. 職業倫理の理解、遵守、推進 職業倫理 (ISC)2 倫理規約 組織の倫理規約 エンロン事件とSOX法の策定 SOC (System and Organization Controls) レポート 1-2. セキュリティ概念の理解と適用 機密性、完全性、可用性 真正性、否認防止、プライバシー、安全性 デューケアとデューデリジェンス 1-3. セキュリティガバナンス原則の評価と適用 セキュリティ機能のビジネス戦略、目標、使命、目的との連携 組織のガバナンスプロセス 組織の役割と責任 1-4. 法的環境 法的環境 契約上の要件、法的要素、業界標準および規制要件 プライバシー保護 プライバシーシールド 忘れられる権利 データポータビリティ データのローカリゼーション 国と地域の例 米国の法律 [追加] サイバー犯罪とデータ侵害 知的財産保護 輸入と
商品数の増加を見据えて商品情報作成処理をPythonからBigQueryに移行した話 | SQLによるバッチ処理で工夫した3つのポイント - MonotaRO Tech Blog
こんにちは、EC基盤グループ 商品情報基盤チームの江村です。今回は私が所属している商品情報基盤チームで構築、運用を行っているシステムについてお話します。 モノタロウでは以前から記事になっていますが、検索システムの移行を行っており、現在商品検索ページの裏側の検索システムのSolrからElasticsearchへの切り替え*1が完了しました。 私が所属している商品情報基盤チームではElasticsearch、Spannerに入れるための商品情報の作成とSpannerおよび、Spannerからデータを取得するAPIの運用を行っています。今回はその中でもElasticsearch、SpannerのためのBigQueryでの商品情報作成処理について取り上げます。(詳しい検索部分の構成については以前の記事を参照ください) システム移行の背景 移行による設計ポイント 「MySQL + Python」の処
【夏休みの自由研究】そうだブロックチェーンを作ろう!
はじめに ITニュースの方でも話しましたが、ここ数日、例の本でWeb3がとても話題ですね。まあ、炎上なので良い事では無いのですが、せっかくなのでその根幹技術らしいブロックチェーン周りの自分の理解を整理してみることにしました。とりあえず、簡易なブロックチェーンを作ってNFTやスマートコントラクトについても少し考えていきたいと思います。 なお、ネタでは無く詳しくない分野なので勘違いとかあると指摘してもらえると嬉しいです。 注意 あくまで私の理解のアウトプットなので実際の挙動や仕様とは異なる可能性があります 実践的で本格的な仕様や実装ではなく、あくまで基本的な理解のためのサブセットの作成 データの自由化!とかそういう話はしません ブロックチェーンを作ろう! ハッシュ値による改ざんの困難性 そもそもブロックチェーンとは何でしょうか? 一般には改ざんに強いP2Pな台帳という理解かな、と思います。暗号
暗号化の「見方を変えた」Appleが監視社会へのバックドアを開く投稿者: heatwave_p2p 投稿日: 2021/8/142021/8/14 Electronic Frontier Foundation Appleは、今後のオペレーションシステムのアップデートを公表した。その中には、新たに追加される「子どもの保護」のための機能が含まれている。「暗号戦争」について過去に耳にしたことのある人なら、これが何を意味するかをご存知だろう。Appleはデータストレージシステムとメッセージングシステムにバックドアを作ろうとしているのである。 児童性搾取は深刻な問題である。この問題に対処するために、プライバシー保護の姿勢を捨てたテクノロジー企業は、Apple社が初めてではない。だがその選択は、ユーザのプライバシー全体に大きな犠牲を強いるものになるだろう。Appleはこのバックドアの技術的実装がいかに
![暗号化の「見方を変えた」Appleが監視社会へのバックドアを開く » p2ptk[.]org](https://cdn-ak-scissors.b.st-hatena.com/image/square/d047aa2a142c072b2dd07e0e450803743ca39b19/height=288;version=1;width=512/https%3A%2F%2Fp2ptk.org%2Fwp-content%2Fuploads%2F2021%2F08%2F3426593704_5a6682e35c_e.jpg)
美容商社インテンスは5月20日、美容室向けのショップサイト「fofo」が不正アクセスを受け、顧客のクレジットカード情報1万5198件が平文で漏えいした可能性があると発表した。 原因は、サイトのシステムの脆弱性をついたこと不正アクセスにより、Webサーバにバックドアのスクリプト(WebShell)が設置され、サーバ内を不正操作されたこと。 2020年12月24日~2023年12月8日に「fofo」で購入した顧客のカード情報で、カード番号と有効期限、セキュリティコード、会員氏名、DBデータ、ログイン情報が、平文で出力され、保存された可能性があるという。 同サイトのカード決済は2023年4月1日に停止していたが、約半年後の9月13日、一部のカード会社から情報漏えいの懸念があると連絡を受けた。調査はそれから半年弱の2024年1月17日に完了したという。 対象の顧客には5月20日からメールで個別に連
はじめに ハッシュ関数はデータの整合性確認や暗号学的な用途でよく使用されます。この記事では、ハッシュ関数の中でもよく使われるSHA-256を自分で実装しつつ、なぜ元の値を復元できない(不可逆性)の性質を持つのか確認します。 結論はハッシュ関数の不可逆性は、情報の喪失により実現されています。 また、今回sha256を実装したRustのコードは以下です。 https://github.com/akira-19/algorithms_rust/tree/main/sha-256 SHA-256のフロー 不可逆性がわかるところまでのSHA-256のフローは以下のようになっています。 "msg"という文字列をハッシュ化します。 まずmsgという文字列を文字コードに置き換えます。(16進数表記) 次に、メッセージを64バイトの1つのまとまりにします。この際に、元のメッセージのすぐ後ろに0x80を追加し
Innovative Tech: このコーナーでは、テクノロジーの最新研究を紹介するWebメディア「Seamless」を主宰する山下裕毅氏が執筆。新規性の高い科学論文を山下氏がピックアップし、解説する。Twitter: @shiropen2 スロバキアのサイバーセキュリティ企業であるESETの研究者らが発表した論文「How I(could’ve)stolen your corporate secrets for $100」は、テストのために購入した中古の企業向けルーターの半数以上(56.25%)が、前の所有者によって完全にそのままの状態で残されていたことを示した研究報告である。これらのルーターには、ネットワーク情報や認証情報、所属していた機関の機密データなどが含まれていたという。 研究者らは、3つの主要ベンダー(Cisco、Fortinet、Juniper Networks)が製造した、異
TypeScriptでMCPサーバーのtool呼び出しをする MCPサーバーのtool呼び出しをLLMにトリガーしてもらう を経てMCPを使い指示に従った操作をスクリプトで行えるようになりました。 次はFilesystem MCP Serverを利用して、特定のプロジェクトのソースコードを編集してもらいます。 指示に従って特定のディレクトリのコードを変更するので、これができると次は 指示の入力をSlackやGitHub Issue経由で実行する 結果をGitHub MCP ServerでGitHubのプルリクエストを自動で作る 状況をSlack MCP Serverで通知してもらう 以上をサーバー上でヘッドレスに動かす というコーディングエージェントの構築につながります。 mini-coder.ts ##テスト create-honoで作ったプロジェクトを変更していきます。 npm cre
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
外部向けAPIプラットフォームの設計について - NearMe Tech Blog
39社のデータ基盤アーキテクチャ特集 - ツールの技術選定のポイントと活用術 - Findy Tools
ニコニコ「ダークウェブの情報をDL・拡散しないで」 ウイルス感染や違法の可能性
ジョブを細かく分けてGitHub Actionsのテストを効率化する
ZOZOTOWNを支えるリアルタイムデータ連携基盤 - ZOZO TECH BLOG
データ分析基盤における個人情報の扱いについて - NRIネットコムBlog
OWASPに学ぶパスワードの安全なハッシュ化 | DevelopersIO
大規模データセットのためのアルゴリズムとデータ構造 - カメヲラボ
カード番号をSalt無しのSHA256でトークン化するのがどのくらい危険か試してみた
生体情報 - どうか指紋情報が漏洩しませんように!
“ハッカー体験”ボードゲーム、IPAが無料公開 攻撃者視点で防御を学ぶ 手番は「最近怪しいメールが来た人」から
「本当に必要なエンジニア」とは何か - AIアシスタント時代の新たなエンジニア像
パスワードを“ちょっと変える”はどれくらい危ない? 「abc123」→「123abc」など 中国チームが発表
ChatGPTを安全に利用するための攻撃への理解と対策のベストプラクティス | DevelopersIO
Clean Architecture考察 - ROXX開発者ブログ
サブドメイン名列挙の方法についてまとめてみた - NFLabs. エンジニアブログ
ユーザー名が52文字以上だと「パスワードなしでログインできる」欠陥が3カ月間も存在していたことをOktaが公表
PHPでパスワード比較に==とか===使っちゃだめって知ってた? - Qiita
「パスワード平文保存って何か問題あるんですの?」 ITお嬢様と学ぶハッシュ化
暗号化の「見方を変えた」Appleが監視社会へのバックドアを開く » p2ptk[.]org
クレカ情報1.5万件、平文で流出か 美容室向けECサイト「fofo」に不正アクセス
なぜハッシュ値は元の値を復元できないのか、SHA-256を実装してみる - Qiita
中古ルーターは機密データの宝庫? 購入して検証、半数以上に企業秘密が残存 スロバキアチームが調査
MCPを使って160行のTypeScriptでミニコーディングエージェントを作る