Austin Z. Henleyのブログより。 更新12/14: この投稿は、Hacker NewsとRedditに関する多くの議論に拍車をかけました。 提案されたプロジェクトのいくつかを収集し、この投稿の最後にリストに入れました。 私はよくサイドプロジェクトを始めたいが、何を作るべきか分からない多くの学生やプロの開発者と話します。以下は、私に多くを教えてくれたいくつかのソフトウェアプロジェクトです。実際、それらは何度も作ることができ、毎回新しいことを学ぶことができるので素晴らしいです。従って、何を作るのか分からない場合、または新しいプログラミング言語またはフレームワークを学びたい場合は、私は次のいずれかから始めます。 テキストエディタ 2Dゲーム - スペースインベーダー コンパイラ - Tiny BASIC ミニ・オペレーティング・システム スプレッドシート (難しい!) ビデオゲーム
SNSで年間1000万円の広告収入を得ていた北海道に住む少年のアカウントを消去したとして、東京の少年3人が逮捕されました。「自分たちのアカウントの広告収入を伸ばすためにやった」と供述しているということです。 逮捕されたのは、いずれも東京都内に住む18歳から19歳の通信制高校生などの少年3人です。 警視庁によりますと、3人は、ことし2月、多くの人に情報発信できるSNS「LINE@」で中高生から人気だった他人のアカウントを消去し、業務を妨害した疑いが持たれています。 このアカウントは北海道に住む18歳の少年が管理していましたが、逮捕された3人はアカウントのうその購入話を持ちかけて東京に呼び出し、監禁してパスコードなどを聞き出したということです。 被害者の少年はこのアカウントでの情報発信を通じて年間およそ1000万円の広告収入を得ていましたが、逮捕された少年らは競合相手だったということです。 調
パスワードはおしまい! 認証はパスキーでやろう
はじめに パスワードは古来より認証に良く使われる方法ですが、その運用の難しさからセキュリティの懸念とその対策としての運用の複雑さ(複雑で長い文字列、90日でパスワード変更など)が要求される大きく問題をもった仕組みです。 その根本的な解決策としてFIDO Allianceを中心に推進されている 「パスワードレス」 が注目されています。これはPINや生体認証とデバイス認証を使ったMFAからなっており、フィッシングやパスワード流出に強い上に、ユーザも複雑なパスワードを覚えなくて良い、という大きなメリットがあります。最近はこの流れでPassKeyというものが登場し、Apple/MS/Googleのプラットフォーマが対応したことで、本格運用に乗せれるフェーズになってきました。というわけで以下に解説動画を作ったのですが、動画中で時間の都合で触れきれなかったところや、JavaScriptによる実装のサン
安全なパスワードの設定・管理 企業・組織におけるパスワードは、ユーザ名と組み合わせることで企業・組織内の情報資産へのアクセスの可否を決める重要なものです。パスワードの重要性を再認識して、適切なパスワード管理を心がけましょう。 他人に自分のユーザアカウントを不正に利用されないようにするには、推測されにくい安全なパスワードを作成し、他人の目に触れないよう適切な方法で保管することが大切です。 安全なパスワードの設定 安全なパスワードとは、他人に推測されにくく、ツールなどの機械的な処理で割り出しにくいものを言います。 理想的には、ある程度長いランダムな英数字の並びが好ましいですが、覚えなければならないパスワードの場合は、英語でも日本語(ローマ字)でもよいので無関係な(文章にならない)複数の単語をつなげたり、その間に数字列を挟んだりしたものであれば、推測されにくく、覚えやすいパスワードを作ることがで
Ingressに花束を
【追記・悲報】 身内にバレました。ここまでバズるとは思わかなったからね。 Prime不人気だけど、ヘイトをこじらせるくらいなら新しい人を勧誘する方に力注いだほうが良いんじゃないかなと思ってるよ。 ただ、NIAはもうちょっとIngressに対する姿勢を正さないといけないよね。 せっかくIngressのことが拡散されたのにもったいないな。近いうちに東京近郊でいくつか大きなイベントがあるから、みんな参加してね。おじさんもいくよ。 === 位置ゲーおじさんだよ 今日はおじさんの思いが詰まったIngressに関する寂しい話題があったんだ。 だからちょっとだけ感傷的な気持ちをここに残しておくよ。 Ingressというゲームの説明はあえてしないけど、このゲームが2つのアプリで動いていたってことはあまり知られていないよね。 1つはIngress Prime。もう1つはScanner[Redacted]とい
パスキーの基本とそれにまつわる誤解を解きほぐす
2023 年は文句なく「パスキー元年」になりました。非常にたくさんのサービスがパスキーに対応し、2024 年はいよいよパスキー普及の年になりそうです。 本記事では、パスキーの基本を振り返ったうえで、パスキーでみなさんが勘違いしやすい点について解説します。 2023 年は本当にたくさんのウェブサイトがパスキーに対応しました。例を挙げます: Adobe Amazon Apple eBay GitHub Google KDDI Mercari Mixi MoneyForward Nintendo NTT Docomo PayPal Shopify Toyota Uber Yahoo! JAPAN もちろんこのリストですべてではないですが、これらだけでも、世界人口のかなりをカバーできるはずで、まさに大躍進と言えます。もしまだパスキーを体験していないという方がいたら、ぜひこの機会にお試しください。
Wi-FiパスワードはQRコードで共有可能 スマートフォンやパソコンをWi-Fiに接続するとき、パスワードの設定に手間取ることがありませんか? ルーターの設置場所によっては、背面に記載されたパスワードを確認するのも面倒ですよね。パスワードを変更している場合は、手書きのメモを探すこともあるでしょう。 実は、Wi-Fiに接続済みのiPhoneがあれば、簡単に共有用のQRコードを生成できます。設定はQRコードを読み取るだけ。来客時などに、Wi-Fiのパスワードを1文字ずつ入力してもらう必要もありません。店舗などでWi-Fiを共有する場合にも便利です。 本記事では、iPhoneに保存されているWi-Fiのパスワードをコピーし、それをQRコードに変換して読み取れるようにする方法を解説します。 目次 Wi-Fiのパスワードをコピーする QRコードを生成する [QRコードを生成する]のショートカットがな
やっぱり旦那は夜の街に行っていた (追記あり)
なんて事はない、前に使っていた携帯電話が居間にあったものだから。 記憶の中でロック解除している指の軌道を思い出すと、パスワードはなんとなく想像がついた。 そのままタップしたらロック解除されたものだから、何の気なしにSNSを見てしまったのだ。 予兆はあった。 数年前、その時も見なければ良かったのにロックを解除してしまった。 ネット検索エンジンの履歴にはメン工スのURL。 これ以上ないくらい、心臓がバクバクしたが検索だけで済んでいた、とその時は判断したのでひとまず写真だけ撮ってそっ閉じした。 それから何かあった時の為にと残しておいたけど、ある日、心が苦しくなって削除してしまった。 仕事に行く前、必ずキスをしてくれる旦那を疑いたくはなかったから。 レスになったのも、自分に魅力が無くなったからだと一人で慰むようになった。 今日も旦那は仕事に出かけていった。 目の前には機種変したばかりの旧携帯。 「
こんにちは!イーゴリです。 AWS にとって、クラウドのセキュリティは最優先事項です。(AWS公式ページ) AWS環境のセキュリティ対策としてAWSサービスを解説するよりも、まずはAWS環境の最適な設計について考える必要があります。AWS Well-Architected Frameworkを考慮しながらの設計を推奨します。AWS Well-Architected Frameworkを全部詳しく読むことをおすすめしますが、この記事では個人的に一番重要だと思う点について記載します。 とてもざっくり説明しますと、AWS Well-Architected Frameworkとは、クラウドシステムの最適な設計方法を提供するAWSのガイドラインで、6つの柱があります。この記事では基本的に「セキュリティ」の柱を技術的観点から見てみたいと思います。 AWS Well-Architected Framew
カネも思い出もすべてを奪われる…米国で被害が急増中の「Apple ID泥棒」の卑劣すぎる手口 鉄壁のセキュリティの「最大の弱点」を悪用している
被害者たちは、外出先でiPhoneを盗まれ、わずか数分後にはアカウントから閉め出される。次いで自宅のMacはログインができなくなり、24時間以内に数百万円という預金が口座から消える――。そんな事例をウォール・ストリート・ジャーナル紙が報じている。 被害のきっかけは、iPhoneの4桁または6桁の簡易的なパスコードを盗み見られたことだ。これによって、より強力なパスワードを設定したはずのApple IDのセキュリティが同時に無力化されてしまった。 同紙が今年2月に「脆弱性」として報じ、さまざまなテックメディアで取り上げられ大きな反響を呼んでいる。Appleは現時点で対策措置を発表していない。 被害はiPhoneからほかのApple製品に広がる… これはiPhoneの6桁のパスコードさえわかれば、Apple IDのアカウントを丸ごと乗っ取れる状態であることを意味する。 Apple IDとは、多く
Hello,World! gonowayです。 弊社がご支援するお客様とお話するなかで、多要素認証のためにIDaaSが提供しているアプリケーション(以降、認証アプリ)を私物モバイル端末にいれていいのか?という疑問に、わたしたちが普段お客様にご案内していることをざっくりまとめてみました。 3行まとめ 現代では外部の不正ログインから守るために多要素認証が必須になってきている。 多要素認証の実現のため、会社モバイル端末であれ私物モバイル端末であれ認証アプリはインストールしてほしい。 私物モバイル端末にインストールしてもらう場合、エンドユーザーへの説明を行うことが必要。また、ガラケーしか持っていないような例外措置への対処を考えることも必要。 前提 認証要素について 認証要素は下記の3種類です。NIST SP800-63を参考にしています。 記憶によるもの:記憶(Something you know
Appleは、iPhoneやiPadのストレージで「その他」が巨大化する現象への対処方法を記したサポートドキュメントを公開しました。iOS13.6.1/iPadOS13.6.1へのアップデートにより解決できます。 iPhoneのストレージが「その他」に圧迫される問題を解消 Appleは、現地時間8月12日に公開したiOS13.6.1/iPadOS13.6.1で、「空き領域が少ない場合に、不要なシステムデータファイルが自動的に削除されない」不具合を修正しています。 なお、iPhoneのストレージ使用状況は「設定」アプリの「一般」>「iPhoneストレージ」で確認可能です。 Twitterでは多くのユーザーが、iPhoneのストレージを「その他」が圧迫していることに対する困惑の声をあげていましたが、今回のアップデートにより解消することとなります。 このiPhoneストレージのその他ってやつが容
第三者が個人情報15万人分ダウンロード 労務管理クラウド「WelcomeHR」で漏えい マイナカードや免許証の画像も
カオナビ子会社のワークスタイルテック(東京都港区)は3月29日、同社の労務管理クラウドサービス「WelcomeHR」について、ユーザー情報が外部から閲覧可能な状態になっていたと発表した。16万2830人分の情報が閲覧可能だったとしており、うち15万4650人分の情報が実際に第三者にダウンロードされたという。 2020年1月5日から24年3月22日にかけて、ユーザーの氏名、性別、住所、電話番号、ユーザーがアップロードした身分証明書(マイナンバーカード、運転免許証、パスポートなど)や履歴書の画像が閲覧可能だった。情報がダウンロードされたのは23年12月28日から29日にかけてだったという。3月29日時点では二次被害は確認していないとしている。 「本来 ユーザーがストレージサーバに保存するファイルの一覧は外部からアクセスできない仕様とすべきところ、当該サーバのアクセス権限の誤設定により、閲覧可能
カネも思い出もすべてを奪われる…米国で被害が急増中の「Apple ID泥棒」の卑劣すぎる手口【2023編集部セレクション】 鉄壁のセキュリティの「最大の弱点」を悪用している
被害者たちは、外出先でiPhoneを盗まれ、わずか数分後にはアカウントから閉め出される。次いで自宅のMacはログインができなくなり、24時間以内に数百万円という預金が口座から消える――。そんな事例をウォール・ストリート・ジャーナル紙が報じている。 被害のきっかけは、iPhoneの4桁または6桁の簡易的なパスコードを盗み見られたことだ。これによって、より強力なパスワードを設定したはずのApple IDのセキュリティが同時に無力化されてしまった。 同紙が今年2月に「脆弱性」として報じ、さまざまなテックメディアで取り上げられ大きな反響を呼んでいる。Appleは現時点で対策措置を発表していない。 被害はiPhoneからほかのApple製品に広がる… これはiPhoneの6桁のパスコードさえわかれば、Apple IDのアカウントを丸ごと乗っ取れる状態であることを意味する。 Apple IDとは、多く
ritouです。 サービス、ブラウザ、OSそれぞれのパスキー対応が日々進んでいます。 その中で、パスキーを利用してみて認証要素についてふと考えてしまう人がいるでしょう。 パスキー簡単!けどこれ指紋認証だけ?弱くなってない? SMS OTPを2FAに設定し、パスワードマネージャーも使ってたから使い勝手はあまり変わらない。むしろSMS OTPがないぶんだけ弱くなった? この辺りについて整理します。 認証要素というと、次の3つです。 SYK: Something You Know. パスワード、PIN SYH: Something You Have. 認証アプリ、TOTP生成アプリ、バックアップコード、 SYA: Something You Are. 生体認証 前にこんな記事を書きました。 この内容を説明すると、「うん、わかってる」って人は多いです。 でも、実際に使ってみると心許なく感じたりする
iPhone「メモ」アプリが生まれ変わる。仕事をブーストさせる9つの新機能【今日のワークハック】 | ライフハッカー・ジャパン
コントロールセンターにクイックメモを追加Screenshot: Khamosh Pathakクイックメモは、「メモ」アプリを開かずにメモができるすばらしい機能です。Safariで何かいいものを見つけたり、友だちとチャットしている時に何か思いついたりした時にクイックノートを使えば、その時使っているアプリを離れずに入力することができます。 「設定」>「コントロールセンター」で「クイックメモ」を有効にしましょう。これで、コントロールセンターを開いて、クイックメモのボタンをタップすれば、その時開いているアプリの上に新規メモが開き、簡単にメモをすることが可能に。 メモをし終わったら、使っているアプリに戻れます。 物理的な書類からテキストをスキャンScreenshot: Khamosh Pathak「メモ」アプリは、「カメラ」アプリ以上にテキスト認識表示機能が優れています。 使用するには、まず新規メモ
Qiita公式が新人プログラマ応援のイベントをやっているようなので便乗して参加してみました。 ポエム成分などを多く含みますのでご注意ください。過去のQiita公式の発表や先日のガイドライン改定に目を通してみてとりあえずはこういった記事も大丈夫そうとは判断しておりますが、もし怒られたら削除するか別のところに記事を引っ越しいたします(はてブコメントなどで「こんな記事Qiitaに書くんじゃない」とご指摘いただきそうで戦々恐々としながら書いています)。 本記事で触れること 長く現役でいるために大切な睡眠・運動・食生活などのこと。 習慣化のこと。 勉強のこと。 今までどのくらいエンジニアをしてきたか 私自身はエンジニアのお仕事は10年くらいです。高校生のころ辺りから少しはHTMLやjsのコードを書いていたのでコードを書いてきた期間としてそこからカウントすると17年くらいでしょうか。デザインの学校を出
1.「設定」で「戻る」ボタンを長押しするScreenshot: David Murphy (Other)iOS 14以降のiPhoneなら、「設定」などのシステムアプリを閲覧中に、ボタンを長押しすると複数のページを素早くさかのぼることができます。 例えば、「設定」→「一般」→「キーボード」→「キーボード」のように、iPhoneの設定ページをどんどん進むと、画面左上に「キーボード」と書かれた「戻る」ボタンが表示されます。 このボタンを長押しすると、現在のページに至る途中のページが表示されるので、行きたいページを選択するとそのページにジャンプできます。 2.利用したいカメラモードに素早くアクセスするPhoto: blackzheep (Shutterstock)ポートレート写真を頻繁に撮影する人は、カメラアプリを開いてポートレートモードにスライドさせるのは非効率な感じがするかもしれません(他の
2024年4月18日紙版発売 WEB+DB PRESS編集部 編 B5判/128ページ 定価3,300円(本体3,000円+税10%) ISBN 978-4-297-14156-1 Gihyo Direct Amazon 楽天ブックス ヨドバシ.com 『WEB+DB PRESS』全号のバックナンバーを収録 Webアプリケーション開発のためのプログラミング技術情報誌「WEB+DB PRESS」は,2000年から2023年までの23年間という長きにわたり,現場で活躍するWeb開発者の方々に向けた技術情報を提供してまいりました。そして2023年8月発売のVol.136をもって,隔月刊誌としては休刊いたしました。 本総集編には,WEB+DB PRESSVol.1から隔月刊最終号となるVol.136までのバックナンバーと,今まで刊行した総集編7冊の書き下ろし記事を収録しています。1冊1ファイルの記
![WEB+DB PRESS総集編[Vol.1~136]](https://cdn-ak-scissors.b.st-hatena.com/image/square/ea517af82b3ae7719c00227aa92425f458caa24a/height=288;version=1;width=512/https%3A%2F%2Fimage.gihyo.co.jp%2Fassets%2Fimages%2Fogp%2F2024%2F9784297141561.jpg)
Home » なぜ我々は「ORGANISM」に心奪われるのか? VRChat史に残る衝撃をSF作家と書評家が語り尽くす なぜ我々は「ORGANISM」に心奪われるのか? VRChat史に残る衝撃をSF作家と書評家が語り尽くす VRで、私たちは何を見ているのだろう。 旅行で知らない土地へ行ったけれど、どこかで見た気がする。逆に、馴染みの場所へ足を運んでも、ふと目を離した瞬間、一度も来たことがないような気さえしてくる。デジャヴめいて、私たちの中には存在しない、「場所」をつくったひとびとの時間の痕跡。空間の幽霊。それこそが「見たことがないはずなのに、懐かしい」というあの感情を、遠くから呼ぶ……。 VRChatのワールド「ORGANISM」はまさにそんな空間だ。クリストファー・ノーラン「インターステラー」のような情景。広大なリミナル・スペース。「かつてのロシア」的なモチーフが散りばめられた巨大なオ
iOS 15.4の「マスクをしたままFace ID」機能はiPhone X・XS・11では使用不可、iPhone 12以降ならOK
by Tinh tế Photo Appleが提供する、顔認証でスマートフォンのロックを解除する「Face ID」は、iOS 15.4で「マスクを着用したままでも利用できるようになる」ことが分かっています。ただし、この機能はiPhone 12以降の端末に限定されているということです。 Face ID with a mask: Here are supported iPhone models - 9to5Mac https://9to5mac.com/2022/03/14/psa-ios-15-4s-new-use-face-id-with-a-mask-option-limited-to-iphone-12-and-newer/ Face ID with a mask: How to use on iPhone - 9to5Mac https://9to5mac.com/2022/03/1
9月15日未明、アップルがスペシャルイベントを開催。iPhone 13シリーズならびにiPad miniなどを発表した。 iPhone 13に関しては、見た目は去年、発売されたiPhone 12にかなり近い。iPhone 13はどちらかというと、iPhone 12Sという感じがしなくもない。ネットの反響を見ていると「コロナ禍のマスク生活でFace IDでロックを解除できないがつらい。iPhone 13でTouch IDを復活されてくれれば買ったのに」「なんで、Lightningケーブルでしか充電できないのか。USB-Cにしてれば買ったのに」という声が散見した。 確かにマスク姿でFace IDのロックを解除するのは面倒だ。Androidスマホやパソコン、iPad Proなども持ち歩いている人とすれば、iPhoneもUSB-Cで充電できればかなり楽だ。 果たして、アップルはどんなつもりでiPh
イントロダクション 最近自宅のネットワークが極端に遅かったため、IPv4 PPPoEからIPv6 IPoEに構成変更しました。 IPv4時代は固定グローバルIPを購入して外出先から自宅にVPNを張れるようにしていましたが、IPv6では残念ながらL2TP/IPSecが使えない。 (参考:https://zenn.dev/apple_nktn/articles/80acf34cf0634b) そもそもVPNで拠点接続するという構成自体が最近のトレンドではないよね、ということもありZTNA(Zero Trust Network Access)サービスであるCloudflare Zero Trustを試してみることにしました。 ゼロトラストネットワークとは(個人的な理解) ネットワーク上のあらゆるアクセスを信頼せず全て検査するという概念。 従来のDMZを用いた境界型防御は境界の内側は「暗黙的に信頼
あけましておめでとうございます。株式会社ミツエーリンクスの中村直樹です。昨年と同じく、2023年のWebアクセシビリティに関連する出来事を振り返りつつ、2024年のWebアクセシビリティの展望について俯瞰していきたいと思います。 WCAG 2.2の勧告とWCAG 2.1の更新 長らく待ちわびていたWCAG 2.2について、2023年10月5日付けでようやくW3C勧告(Recommendation)となりました(日本語訳はまだありません。詳細は後述の「臨時WGの活動状況」を参照)。また、これと連動する形でWCAG 2.1(日本語訳)の勧告も改めて発行されました。 今回のWCAG 2.1の更新では、達成基準4.1.1構文解析に注記が設けられています。これにより、WCAG 2.2で削除された達成基準4.1.1の扱いについて連続性が保たれるようになっています。WCAG 2.1からの変更点は、公
近年注目を集めている「終活」。遺産相続や遺品整理、葬儀や墓の手配などを、生前のうちにまとめておくことを指しますが、意外と見落とされがちなのがPCやスマホなど、デジタルデータの管理。 故人の写真や連絡先にアクセスしたくても、パスコードを解除できない……そんな事態を避けるために、iPhoneやiPad、Macには「故人アカウント管理連絡先」を設定できる機能があることをご存じでしょうか。 ■ 死後にデータを引き継ぐための設定 これは自身の死後に、Appleアカウントにアクセスできる権限を、自身が信頼できる人を指名して付与しておくことが出来る、というもの。「iOS 15.2、iPadOS 15.2、macOS 12.1 以降」で設定できます。 「故人アカウント管理連絡先」に指定された方は、「故人の死亡証明書」をAppleへ提出し、故人が「故人アカウント管理連絡先」を設定した際に生成した「アクセスキ
GitとGitHubを分かりやすく! 組織開発で生かすツール選択とプロジェクト進行を解説|ハイクラス転職・求人情報サイト AMBI(アンビ)
GitとGitHubを分かりやすく! 組織開発で生かすツール選択とプロジェクト進行を解説 分散型バージョン管理システムのGitと、そのホスティングサービスとしてプルリクエストなどの機能をもつGitHubは、ソフトウェア開発環境として広く普及しています。本記事ではGitやGitHubの考え方や使い方の基本を解説するとともに、実際のプロジェクトにおける開発の進め方を簡単に紹介します。 この記事を読み始めているということは、GitやGitHubに興味をお持ちのことでしょう。Gitはバージョン管理システム、GitHubはGitのホスティングサービスで、いずれもソフトウェア開発を中心に利用されています。近年では、2018年にGitHubの運営会社がMicrosoft社によって買収されたことでも話題になりました。 この記事では、GitやGitHubの基本的な使い方や考え方を解説します。また、実際の開発
*本記事は STORES Advent Calendar 2023 6日目の記事です こんにちは。セキュリティ本部のsohです。 現在、弊社ではスマホアプリ診断内製化の準備を進めています。 同じようにスマホアプリの脆弱性診断を内製化したい、というニーズがある会社は多く存在しますが、実際のところ、スマホアプリを対象とした脆弱性診断士の確保は困難であり、外部ベンダーの方にすべてお願いせざるを得ないケースも多いかと思います。 また、その情報の少なさから、スマホアプリ診断を実施したいと考えている開発者や脆弱性診断士にとっても、「何をやればいいのか」「何から始めればいいのか」がわからないものである場合は多いかと思います。 そこで、この記事では「スマホアプリ診断って実際何をしているのか」と疑問を持つ方をターゲットとして、一般的なスマホアプリ診断の検証要件や検証方法について解説します。 要件とガイドライ
古畑「えー、明星という言葉を辞書で調べてみましょう……『1、明るく輝く星。2、その分野で最もすぐれ、人気がある人』……我々の世界で『ホシ』は、犯人を意味します。星は、落ちるもので……」 もし『古畑任三郎』の犯人役を霜降り明星がやったら、オープニングトークはこんな感じだと思う。 『古畑任三郎』シリーズが好きです。どれだけ好きかというと、朝日新聞に連載された小説版・古畑任三郎「一瞬の過ち」(全4話)の推理メールを朝日新聞に送ったところ、「正解一番乗り」としてWEB版の記事で紹介され、そのことを面接で話して、古畑を作ってた某制作会社のドラマ部に採用されたくらいには好きです。 参考ページ(朝日新聞デジタル・古畑復活、読者の推理に驚いた作者「あとは田村さんが」)→https://www.asahi.com/articles/ASN50358NN5ZUPQJ002.html たまに「今、古畑が作られた
パスキーとは何か、そしてその課題
パスキーはフィッシングに強く、テクノロジーに詳しくないユーザーでも使いやすい新しい認証方式で、いずれパスワードを置き換えると言われています。この記事では、パスキーの基本と、これからのウェブにとってパスキーがどういう意味を持つのかについてまとめてみます。 パスキーとは何か # 2022 年 12 月 9 日に Google が Android 版 Chrome でパスキーがサポートされたとのアナウンスが出ました。Apple もすでに最新版の macOS Ventura、iOS / iPadOS 16 で Safari がパスキーに対応しています。 パスキーは Apple、Google、Microsoft が協調して使う FIDO クレデンシャルの名前です。エンドユーザーのみなさんがパスワードの代わりとして認識し、直感的にログインできるよう「パスキー」というブランドとアイコンが決まりました。ウ
無料で二要素認証ができ安全にバックアップ&デバイス間でエクスポートもできるオープンソースアプリ「Aegis Authenticator」レビュー
ウェブサービス利用時のセキュリティを強固にする手法の1つに「ワンタイムパスワード発行アプリを用いて二要素認証を行う」とうものがあります。しかし、ワンタイムパスワード発行アプリとして広く使われている「Google認証システム(Google Authenticator)」には「アプリ公開から長らくエクスポート機能がサポートされていなかった」「端末を壊すとバックアップコードの再発行が不可能になる」といった問題が存在しています。オープンソースで開発されている「Aegis Authenticator」なら、無料でワンタイムパスワード発行環境を整えつつ「認証情報を自由にエクスポート可能」「ワンタイムパスワードの閲覧にパスコードや指紋認証を要求可能」といった便利機能も使えるとのことなので、実際にインストールする手順や使い方をまとめてみました。 Aegis Authenticator - Secure 2
俺のワンタイムパスワードはいつ当たりが出るのか
$ time node index.js 1 *100k searched.. 2 *100k searched.. - snip - 20 *100k searched.. 21 *100k searched.. Found in 21 *100k + 25484 Fri Aug 09 2024 13:22:25 GMT+0900 (日本標準時) 1723177345522 777777 real 1m7.435s 再来年の8月か...楽しみだなぁ... Googleカレンダーに入れなきゃ。 安全性 なんでこんな簡単で面白い事をみんなやらないの?というのは当然の疑問かもしれない。 アカウントとセキュリティ 当然、 ↑で使ったSecretは本物ではなくてデモサイト( https://rootprojects.org/authenticator/ )で生成したものを使っている。このため、仮に
Appleは日本時間11日未明、今年の世界開発者会議(WWDC24)の基調講演を開催し、新たなソフトウェアバージョンの数々を発表しました。中でも最も注目すべきなのがiOS18ですが、どのような新機能が追加されたのでしょうか。ひとつひとつ見ていきましょう。 ホーム画面とコントロールセンターが進化 iOS18では、ホーム画面の自由度が大きく向上しており、今まではできなかったアプリ配置や、ダークモードの適用、アイコンのテーマ色が変更が可能になっています。 また、コントロールセンターの詳細なカスタマイズおよび機能拡張が実現しています。今までは1枚だったページは複数になり、新しいコントロールギャラリーを自分の好みに合わせて作ることができます。 加えて、ロックスクリーン時のコントロールセンターアイコンも自由に変更可能となっており、ボタンにあてがう機能もいかようにも選択可能となっています。 アプリのロッ
フィッシングサイトへの自動入力のリスク SMS OTPとWebサイトが紐付かない状態では、正規のSMS OTPがフィッシングサイトへ自動入力されるリスクが生じる。現実的なリスクとして、GutmannらはMITMと組み合わせた「ログインにおける2要素認証の回避」と「ソーシャルログインの偽装による電話番号確認の回避」、「オンライン決済における取引認証の回避」の3つのシナリオを示している⁷。2要素認証の回避につながるリスクは、iOSの自動入力がPayPayの偽サイトで発動した前回の検証で確認している。今回の検証ではAndroidの自動入力がPayPalの偽サイトで発動するか確認する。 2要素認証の回避 PayPalの偽サイトは前回と同様にMITMフィッシングフレームワーク「Evilginx2」で複製し、一般利用者が誤ってアクセスしないようインバウンド接続を制御した。Android 11のChro
スマホの指紋認証を回数無制限かつ機械的に実行できる攻撃手法「BrutePrint」が開発される、材料費はわずか2000円でAndroidには効果抜群もiPhoneなら防御可能
テンセントと浙江大学の研究者がスマートフォンの指紋認証を突破するシステム「BrutePrint」を開発しました。BrutePrintで用いられるデバイスの材料費は15ドル(約2000円)で、パスワードの総当たり攻撃(ブルートフォースアタック)と同様に指紋認証を機械的かつ回数無制限に試みて指紋認証を突破できます。 BrutePrint: Expose Smartphone Fingerprint Authentication to Brute-force Attack https://doi.org/10.48550/arXiv.2305.10791 BrutePrintでは、「膨大な指紋情報を登録したデバイス」をスマートフォンに取り付けて「指紋をスキャンしたと誤認識させつつ膨大な指紋画像を順番に送り込む」という手法で指紋認証を突破します。一般的な指紋認証システムでは認証に複数回失敗すると認
「パスキー」は各種ウェブサイトにパスワード不要でログインできるようにする仕組みで、AppleやGoogle、Microsoftといった大手テクノロジー企業が利用を推進しています。新たにGoogleのログインシステムがパスキーに対応してパスワード不要でログインできるようになったので、実際にAndroidスマートフォンやiPhoneを用いてGoogleにログインする手順を確認してみました。 Passkeys: What they are and how to use them https://blog.google/technology/safety-security/the-beginning-of-the-end-of-the-password/ ・目次 ◆1:パスキーでのログインを有効化する手順 ◆2:Androidスマートフォンを使ってGoogleにログインする手順 ◆3:iPhone
KyashでEngineering Managerとしてやってきたこと / やっていくこと - Konifar's WIP
2020年1月から1年ほどKyashでEMをやっています。 今までチームをリードしてきたことは何度かありましたが、いわゆるマネジメントという役割は初めてでした。EMについて抽象化した話ができるほど自分の中で咀嚼できているわけではありませんが、思考整理を兼ねてやってきたこととやっていくことをまとめておこうと思います。 ここに書く内容は当然自分だけでやってきたわけではありません。他のメンバーによって支えられてきたことの方が多いです。文章量の都合で端折ることもありますが、自分だけで色々やってきたみたいに捉えられるとなんだかむず痒い気持ちになるので一応前提として書いておきます。 1~6月 : Android/iOSチームのEM 1月にiOSエンジニアが1名入社したタイミングで、Android/iOSチームのEMをやることになりました。 それまではTechチーム全体を@ymzkmctが見ていましたが
Mercari Advent Calendar 2019 の10日目担当は メルカリ iOS チームの @HideakiTouhara です。 はじめに 2019年のWWDCで新しいSign in, Sign up方法であるSign in with Appleが発表されました。 今回は主にクライアントの実装を起点に、その流れを説明していきたいと思います。 Sign in with Appleの説明や特徴 まず、そもそもどういうものなのでしょうか? 2019年9月に更新されたガイドラインを引用します。 Make it easy for users to sign in to your apps and websites using the Apple ID they already have. With privacy and security features built-in, Sign
JPCERT コーディネーションセンター(JPCERT/CC)は12月20日、A5からA11プロセッサを搭載したiPhoneやiPad、Apple WatchなどのApple製品に脆弱性が存在すると発表しました。iPhoneシリーズではiPhone4sからiPhone Xが影響を受けます。 A5からA11プロセッサ搭載の製品に脆弱性 JPCERT/CCは、A5からA11のプロセッサを搭載する複数のApple製品で、SecureROM(ブートROMレベル)に、デバイス起動時において解放済みのメモリ使用 (use-after-free) の脆弱性(CWE-416)が存在する、と注意を呼びかけています。 この脆弱性の影響としては、デバイスに物理的にアクセス可能な第三者によって、任意のコードが実行される可能性があります。 アップデートによる対策不可 通常の脆弱性は、OSのアップデートによって対応可
新政権のデジタルガバメント構想の一環として、マイナンバーが日本でも再び注目を集めている。健康保険証や免許証との一体化や、銀行口座との紐づけなどを通して、国民IDとしての機能強化を目指す方向だ。 マイナンバーは、その仕組みの複雑さと不便さ、セキュリティに対する漠然とした不安、国家による監視強化への恐怖など、様々な観点と相反する国民感情が混然一体となるトピックであるため論点を整理しにくい。本稿は、このマイナンバーについて、米国の(実質的な)国民ID制度であるSSN(Social Security Number:社会保障番号)を参照点として理解を深めてみようという趣旨のテキストである。特に、国民IDのセキュリティの要衝である認証(本人確認)にフォーカスする。「マイナンバーとマイナンバーカードの違いってなに?」とか「なぜマイナンバーは他人に知られても大丈夫なの?」という素朴な疑問にも、認証における
こんにちは。サービス開発室の武田です。このエントリは、2018年から毎年公開しているAWS全サービスまとめの2024年版です。 こんにちは。サービス開発室の武田です。 このエントリは、2018年から毎年公開している AWS全サービスまとめの2024年版 です。昨年までのものは次のリンクからたどってください。 AWSにはたくさんのサービスがありますが、「結局このサービスってなんなの?」という疑問を自分なりに理解するためにまとめました。 今回もマネジメントコンソールを開き、「サービス」の一覧をもとに一覧化しました。そのため、プレビュー版など一覧に載っていないサービスは含まれていません。また2023年にまとめたもののアップデート版ということで、新しくカテゴリに追加されたサービスには[New]、文章を更新したものには[Update]を付けました。ちなみにサービス数は 247個 です。 まとめるにあ
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
すべてのプログラマーが試すべき挑戦的なプロジェクト
SNSの人気アカウント消去の疑い 少年3人を逮捕 | NHKニュース
総務省 | 安全なパスワードの設定・管理 | 国民のためのサイバーセキュリティサイト
iPhoneのWi-FiパスワードをQRコードにする方法。来客時や店舗での共有に便利!
セキュアなAWS環境の設計についての解説【2024年版】 - サーバーワークスエンジニアブログ
多要素認証を私物スマホでやっていいのか問題
【Tips】iPhone/iPadストレージの「その他」巨大化問題、解決策は? - iPhone Mania
パスキー時代の"認証要素"の考え方 ~パスキーとパスワードマネージャー~
エンジニアとして長く現役で生き残るために - Qiita
iPhoneの知らないと不便な時短機能10選 | ライフハッカー・ジャパン
WEB+DB PRESS総集編[Vol.1~136]
なぜ我々は「ORGANISM」に心奪われるのか? VRChat史に残る衝撃をSF作家と書評家が語り尽くす
アップル、iPhone 13シリーズにTouch ID、USB-Cを採用しなかった理由【石川 温】 (1/3)
Cloudflare Zero Trustで自宅PCにアクセスする
2024年のWebアクセシビリティ | gihyo.jp
「もしも」の時のために iPhoneの「故人アカウント管理連絡先」設定のススメ | おたくま経済新聞
スマホアプリの脆弱性診断って何するの?(iOS編) - STORES Product Blog
「古畑任三郎vs霜降り明星」の脚本を全部書く|前田知礼
iOS18が発表!ホーム画面、コントロールセンターが大きく進化 - iPhone Mania
SMS OTPの自動入力によるリスクとその対策
Googleがパスワード不要でログインできる「パスキー」に対応したのでiPhoneとAndroidスマホで試してみた
全く知らない人のためのSign in with Apple | メルカリエンジニアリング
iPhone4s〜Xなど、A5〜A11搭載製品にアップデートで修正不能な脆弱性 - iPhone Mania
米国からマイナンバーを擁護する ー あるいはフラットモデルの災厄について|ミック
【2024年】AWS全サービスまとめ | DevelopersIO