この記事の目的 課題: Webサービスの各機能の仕様に関するセキュリティ情報があまりない Webサービスを設計するにあたり、よくある機能というのが存在するかと思います。 ユーザ登録 ログイン・ログアウト パスワード復旧 URLで共有 SNSログイン お気に入り登録 いいねボタン マイページ 通知 等・・・ これらに関して、自分の認識をまとめておきたい・意見をもらってブラッシュアップしたいと思い、記事を書きます。 大きい記事たくさん書くの大変なので、機能ごとに書こうかな・・・と思ってますが一つを育てていくかもしれないです。 前書いた記事が個人的には好評だったことも受けて、書いています。 ユーザ登録機能の仕様とセキュリティ toC向けサービスならかなりの割合で存在する機能です。よくある仕様パターンについて考えてみます。 この機能でユーザから取得するもの 認証情報(ID/パスワード) 連絡手段
Emotetの解析結果について | 警察庁 @police
新機能の確認(2022年6月9日) ウェブブラウザ「Google Chrome」に保存されたクレジットカード番号や名義人氏名、カード有効期限を盗み、外部に送信する機能が追加されたことを確認しました。Google Chromeでは個人情報を暗号化して安全に保存していますが、Emotetの新機能は暗号データを元に戻すための鍵も同時に盗み出すため、Emotetに感染すると、お使いのクレジットカード情報が第三者に知られるおそれがあります。 活動再開 電子メールの添付ファイルを主な感染経路とする不正プログラム「Emotet」は、2021年1月27日のEUROPOL(欧州刑事警察機構)を中心とした停止措置により活動を停止していましたが、2021年11月中旬ころから活動を再開していることが確認されました。 活動を再開したとされるEmotetを警察庁で入手し解析を行ったところ、情報窃取の対象となるメールソ
アプリ/ホスト/コンテナ/クラウド/ネットワーク機器など、 全レイヤー脆弱性管理を組織全体で実現します
Zen Educate, an online marketplace that connects schools with teachers, has raised $37 million in a Series B round of funding. The raise comes amid a growing teacher shortage crisis…
兵庫県尼崎市でUSBメモリ紛失のインシデントが発生し、大きな話題を集めました。インシデント自体も問題ですが、記者会見の場でパスワードの詳細が漏れてしまうなどセキュリティ管理の甘さが取り沙汰されています。ここからどのような教訓が得られるのでしょうか。
.app 1 .dev 1 #11WeeksOfAndroid 13 #11WeeksOfAndroid Android TV 1 #Android11 3 #DevFest16 1 #DevFest17 1 #DevFest18 1 #DevFest19 1 #DevFest20 1 #DevFest21 1 #DevFest22 1 #DevFest23 1 #hack4jp 3 11 weeks of Android 2 A MESSAGE FROM OUR CEO 1 A/B Testing 1 A4A 4 Accelerator 6 Accessibility 1 accuracy 1 Actions on Google 16 Activation Atlas 1 address validation API 1 Addy Osmani 1 ADK 2 AdMob 32 Ads
テレワークかどうかは、もはや関係ない? 三菱重工のインシデント報告から学べる「IT管理者あるある」な反省点:半径300メートルのIT(2/2 ページ) レポートに記された「IT側にもあった落ち度」こそ、誰もが見直すべき理由 そしてもっとも注目すべきは、今回明らかになったSNS以外の要因です。その一つは、多くの人にとって覚えがありそうな“ITを管理する側の落ち度”でした。 影響範囲が当該従業員の社有PCから他機器に広がった要因として、同地区の一部のサーバのローカル特権アカウントに対し、同じパスワードが設定されていたことが考えられます。 (特権アカウントを悪用され他機器にログインされたものと考えております。)これらに対し、ローカル特権アカウントのパスワードを全て異なるものに変更する対策を実施済みです。 これは、ウイルスに感染した社用PC内から読み取られたパスワードと、サーバの特権アカウント(a
実サービスで GraphQL API をインターネットに公開する際は、悪意あるクエリに対する防衛が欠かせません。この記事における「悪意あるクエリ」とはサービスに意図的に負荷をかけるクエリのことです。GraphQL では 、木構造や再帰的な構造を利用して、一回のクエリで容易に数百万・数千万件のデータを取得することができます。そのようなクエリを実行してしまうと、アプリケーションサーバーや、その後ろにいる別のサービスに甚大な負荷がかかります。これは攻撃者からしてみれば恰好の的で、なんらか対策を講じる必要があります。 幸いこうした問題はよく知られており、クエリを静的に解析するライブラリがいくつか存在します。しかし、そうしたライブラリをどう使うかといったことはあまり議論されておらず、効果的な対策を行うのは依然として難しい状況だと感じます。この記事では、典型的な負荷の高いクエリとその具体的な対策を紹介
俺のワンタイムパスワードはいつ当たりが出るのか
$ time node index.js 1 *100k searched.. 2 *100k searched.. - snip - 20 *100k searched.. 21 *100k searched.. Found in 21 *100k + 25484 Fri Aug 09 2024 13:22:25 GMT+0900 (日本標準時) 1723177345522 777777 real 1m7.435s 再来年の8月か...楽しみだなぁ... Googleカレンダーに入れなきゃ。 安全性 なんでこんな簡単で面白い事をみんなやらないの?というのは当然の疑問かもしれない。 アカウントとセキュリティ 当然、 ↑で使ったSecretは本物ではなくてデモサイト( https://rootprojects.org/authenticator/ )で生成したものを使っている。このため、仮に
ヤフー株式会社は、2023年10月1日にLINEヤフー株式会社になりました。LINEヤフー株式会社の新しいブログはこちらです。LINEヤフー Tech Blog こんにちは。サービス統括本部ID本部で認証サービスの開発運用を担当している服部です。 パスワードに代わる新たな認証手段としてパスキーが登場し、多くのサービスでも利用ができるようになってきていますが、みなさんはご活用されていますでしょうか。このパスキーとはパスワードに代わる認証情報で、Fast IDentity Online(FIDO)仕様というFIDOアライアンスによって規格策定されている技術をベースとしています。ヤフーでも2018年から「生体認証でログイン」としてFIDO認証に対応し、2023年よりパスキーをつかった認証にも対応しています。 この記事ではこのFIDO認証の技術的な説明から当時の課題と解決方法、そしてその解決方法を
はじめまして、デジタルペンテスト部2年目のれーじです。 1年目はIoTペネトレ、2年目の現在はスマホアプリ診断を担当しています。先輩も後輩も化物みたいな人しかいないため、足を引っ張らないように必死です。 先日友人から「フリーwifiとかって危ないって聞くけど実際どうなの?」と聞かれました。「危ないよ!」と即答したのはいいものの具体的にどう危ないかの説明に困ったため、それを機にwifiハッキングについて少し勉強し、実験した内容をブログにしました。 はじめてのブログですので色々ご容赦ください。 これからの内容は絶対に自身の環境以外で試さないでください。「不正アクセス禁止法」に引っかかる可能性があります。 wifiハッキングって何するの? 隣の家のwifiを不正利用 実験環境 事前準備 kaliにwifiインタフェースを認識させる。 実験内容(手順) wifiインタフェースをMonitor mo
iPhone全モデルと2020年以降のMacからパスワードやメールを盗み出す「iLeakage」が報告される、実際に動作するデモ映像もあり
すべてのiPhoneおよびiPadや2020年以降に登場したApple Silicon搭載Macが対象となる攻撃手法「iLeakage」がジョージア工科大学の研究チームによって発見されました。iLeakageを悪用するウェブサイトにアクセスした場合、ウェブサービスのパスワードやメールなどの情報を盗み出されてしまいます。 iLeakage https://ileakage.com/ iLeakageは必要になる可能性のある処理を事前に行うことでCPU性能の向上を図る技術「投機的実行」を悪用するタイプの攻撃で、iPhoneやiPadに搭載されているAシリーズチップおよびMacや一部のiPadに搭載されてるMシリーズチップに対して有効です。このため、すべてのiPhoneおよびiPadと2020年以降に登場したMacはiLeakageによる攻撃の対象となり得ます。 iLeakageは「ウェブサイト
【VRChat】リッピングでパスワードギミックが破られるので公開鍵を利用した対策品を作りました【無料配布】 - チカラの技術
こんにちは! 本記事はVRChatのワールド向けパスワードギミックの紹介・配布記事になります。 まず結論から:要点とギミック配布 従来のパスワードギミックはリッピング(VRChatのデータを不正にダウンロードする行為)によってパスワードが簡単に抜かれてweb上に公開され、誰でも開錠可能になってしまうことが分かりました。 今回その対策としてJWT(公開鍵を利用した検証技術)による新しいパスワードギミックを作成しました。ワールドデータにパスワードを置かないためリッピング耐性があります。従来のパスワードギミックの置き換えとして使用でき、オプションでパスワードの漏洩対策もできます。 こちらで無料配布しています。(MITライセンスで改変・再配布可能です) power-of-tech.booth.pm ※ VRChat公式のモデレートガイドラインの対応についてはマニュアルの序章に記載しています。 ワン
https://twitter.com/kuwahara_jsri のやってる朝活Twitterスペースで以下の記事を知りました。 もちろんこういったリスクを列挙、検討するのは重要なことなのですが、 Firebase Authentication関係ない話では あれ、仕様に関して勘違いしてる? というのがいくつかあったので、再整理していきます。リスクは列挙することには業務上あまり意味はなく、評価され、リスクを受け入れるか外すかを判断するところが重要なので。 IDaaSは脆弱性を生み出すか IDaaS を導入することにより、逆に脆弱性が生まれることもあります。(中略) Firebase Authentication は他の IDaaS と比べて設定項目が少ないという特徴があります。 もちろんここに書かれてることは間違いではありません。ただ、少し実装にフォーカスが寄りすぎていると思っています。
平井卓也デジタル改革担当相は11月24日の会見で、メールでパスワード付きファイルを送り、パスワードを別送する方法(いわゆるPPAP)について、26日から内閣府、内閣官房で廃止すると発表した。今後、外部へのファイル送信には外部ストレージサービスを活用し、他省庁の状況についても実態調査を進める。 内閣府の担当者によると、26日までに全職員に外部へのファイル送信時の運用変更について通知する方針だという。今後は主に内閣府が利用する民間のストレージサービスでファイルを共有し、パスワードをメールで送信する。担当者は一例として「Dropbox」などの名前を挙げたが、具体的なサービス名については「セキュリティ対策のため、公表していない」としている。 また、プロジェクトごとにあらかじめパスワードを決めておくことや、例外的な運用として内閣府の外部サービスにアクセスできない事業者向けに電話や別メールでパスワード
CookieのPartitioned属性 (CHIPS) の標準化はじまる - ASnoKaze blog
サードパーティCookieをトラッキングに使用できないようにする「Cookies Having Independent Partitioned State (CHIPS)」という仕組みが議論されています。 現在は、その仕組はW3CのPrivacy CGで議論されています。細かい仕組みは以前書いたとおりです。 ( トラッキングに利用できない3rdパーティクッキー「CHIPS」の仕組み (partitioned属性) - ASnoKaze blog ) このCHIPSは、Cookieに新しいPartitioned属性を利用します。Cookie自体の仕様は、IETFが発行するRFC 6265で定義されており、そこにPartitioned属性を追加してやる必要があります。 そのためIETF側にも「Cookies Having Independent Partitioned State specif
先日行われました AWS JAPAN SUMMIT ONLINE 2020 にて、「大規模な組織変遷と100以上のAWSアカウントの横断的セキュリティガードレール運用について」のテーマにて、私たちのグループで取り組んでいる全ての AWS に対する横断的な取り組みを ビジョナル CTO 竹内 と ビジョナル CIO 園田 より発表させていただきました。 今回は、その発表内容について、発表の中で伝えきれていない内容などより詳細にお話しさせていただきます。 こんにちは、システム本部 プラットフォーム基盤推進室 ORE (Organizational Reliability Engineering) グループ の 長原 です。 私が在籍するグループでは、 Visional グループの全事業のクラウドや非機能要件等に対して、横断的にエンジニアリングによる課題解決に取り組んでいます。 複数事業・マルチ
PassFab iPhone Password Manager iPhone/iPadに保存されている全てのパスワードを検索
全員に管理者権限、パスワードは全部共通、脆弱性は放置…… ランサム攻撃受けた大阪急性期・総合医療センターのずさんな体制
2022年10月末にサイバー攻撃を受けたことで話題になった大阪急性期・総合医療センターが3月28日に、同件の調査報告書を公開した。調査によると、同センターではユーザー全てに管理者権限を付与していた他、数あるサーバやPCなどで共通のIDとパスワードを使用しており、侵入経路となったVPN機器は脆弱性が放置されているなどずさんな管理体制だったことが分かった。 問題が発生したのは22年10月31日。電子カルテシステムを稼働させていた基幹システムサーバがランサムウェアで暗号化され診療を制限することになった。完全復旧したのは23年1月11日。被害額は調査と復旧で数億円。診療制限で十数億円に及ぶという。 攻撃者は同センターが患者給食業務を委託している業者経由でシステムに侵入したとみられる。給食事業者に設置されていたVPN機器は脆弱性が放置されていたため、侵入経路になったという。 攻撃者は給食事業社のシス
[速報] IAMのMFA(多要素認証)でPasskeyが利用できるようになりました #AWSreInforce | DevelopersIO
あしざわです。 現在開催されているAWS re:Inforce 2024 のKeynote にて、AWS IAMのrootユーザーおよびIAMユーザーのMFA(多要素認証)としてPasskeyのサポートが発表されました。 AWS What's newブログ、AWS Blogの両方で発表されています。 概要 本アップデートによって、AWSのrootユーザー、IAMユーザーのMFAデバイスとしてPasskeyが利用できるようになります! AWS側で発行したPasskeyをGoogleアカウントや1passwordなどのクラウドサービスに登録することで、MFA認証としてPasskeyを利用してAWSアカウントにログインできるようになります。 AWS Blogに以下のように記載があるため、初回のリリース時はPasskey+パスワード認証のみでパスワードの利用は必須であるようです。今後のリリースでP
![[速報] IAMのMFA(多要素認証)でPasskeyが利用できるようになりました #AWSreInforce | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/3943ff4d5aff421cb4c2e42ad253a590a12c7bdf/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2024%2F06%2FIMG_3975-2.jpg)
技術選定と、組織のかたちと、セキュリティ
技術選定について最近の私生活や労働を通して考えたことを、つらつらと書き下した文章(ポエム)です。 他者に伝えることではなく、頭の中におぼろげに存在する考えを言語化して客観視することを目的に書いた雑記なので、 誰かにとっては当たり前なことも、誰にも当てはまらないことも書いてあるかと思います。 またここで述べることは、こうやって書き下した時点での僕の考えに過ぎないので、明日僕は全く別の考えを持って行動しているかもしれません。 いわばこれは僕の思考のスナップショットです。 諸々、ご容赦ください。 技術選定そのもの ソフトウェアの開発においては、どこからが開発者の作るものの責務であり、どこからがその下のレイヤの責務であるかを(あるときには能動的な思考より、またあるときには受動的な思考により)明確にする、という知的活動を繰り返していくことになります。 この営みは、開発するソフトウェアに関する前提を定
B+木入門:PHPで理解する データベースインデックスの仕組み/b-plus-tree-101
PHPerKaigi 2024 の登壇資料です
フィッシングサイトへの自動入力のリスク SMS OTPとWebサイトが紐付かない状態では、正規のSMS OTPがフィッシングサイトへ自動入力されるリスクが生じる。現実的なリスクとして、GutmannらはMITMと組み合わせた「ログインにおける2要素認証の回避」と「ソーシャルログインの偽装による電話番号確認の回避」、「オンライン決済における取引認証の回避」の3つのシナリオを示している⁷。2要素認証の回避につながるリスクは、iOSの自動入力がPayPayの偽サイトで発動した前回の検証で確認している。今回の検証ではAndroidの自動入力がPayPalの偽サイトで発動するか確認する。 2要素認証の回避 PayPalの偽サイトは前回と同様にMITMフィッシングフレームワーク「Evilginx2」で複製し、一般利用者が誤ってアクセスしないようインバウンド接続を制御した。Android 11のChro
Web会議サービス「Zoom」を運営する米Zoom Video Communicationsは4月22日(現地時間)、セキュリティに関連する複数の改善を発表した。ほとんどが今週中にリリースする「Zoom 5.0」アップデートで有効になる。 最も大きな改善は、認証付き暗号のAES-GCM(256-ビット)のサポートだろう。これにより、会議のデータの保護と改ざんに対する耐性を強化できるとしている。ミーティングに参加するすべてのアカウントでGCMが可能になる必要がある。システム全体で有効になるのは5月30日の見込み。 その他、以下の新機能(中には既に有効になっているものもある)が追加される。 9日に追加されたセキュリティアイコンに「ユーザーを報告」項目 ホストが参加者による自分の名前変更を不可能にする機能 教育期間向けプランで画像共有はデフォルトでホストのみに ホストがミーティングのパスワードの
パスワードを決める画面でのアホなルールを集めたリポジトリ dumb-password-rules | 秋元@サイボウズラボ・プログラマー・ブログ
dumb-password-rules/dumb-password-rules パスワードの登録や更新画面で出てきたおかしな制約やエラーを募集している GitHub リポジトリがあります。 あほなパスワードの文字制限を分類 多数の事例が載っていますが、代表的なものをグループ化してみます。 文字種や記号を謎に制限 「% は使えません」「\ は使えません」 – 内部でエスケープしちゃうんですねわかります。ちゃんと作ってあればこんな特例要らないと思うんですが。 「記号で使えるのは ? ! $ €% & * _ = – +. ,:; / () {} [] ~ @ # だけです」 「記号はアンダースコアとハイフンだけ使えます」 「数字や記号は使えません」 「使える記号がありますが、どの記号が使えるかは秘密です」 「パスワードは5-15文字です(が、スペースは文字数としてカウントしません)」 「パスワ
Windows10/11を起動する時に毎回パスワードを入力してログインするの面倒です。何かいい方法はありませんか? Windows10/11では起動する度にパスワードを入力を求められますが? パスワードを毎回入力するのは面倒くさいので私は自宅で使うパソコンは自動ログインできるように設定しています。 今回紹介する自動ログイン方法はとても便利ですがパソコンに詳しい人でも意外と知らない方が多く起動時に毎回パスワードを入力しているそうです。
このコーナーでは、2014年から先端テクノロジーの研究を論文単位で記事にしているWebメディア「Seamless」(シームレス)を主宰する山下裕毅氏が執筆。新規性の高い科学論文を山下氏がピックアップし、解説する。 Twitter: @shiropen2 中国の南開大学や北京大学などに所属する研究者らが発表した論文「Pass2Edit: A Multi-Step Generative Model for Guessing Edited Passwords」は、1つのサービスで使っているパスワードを少し変えて別のサービスで使い回しているパスワードを予測して特定する攻撃を提案した研究報告である。 インターネットでサービスを利用すると、アカウント数が増加する。一般のユーザーは、80~107個ものオンラインアカウントを持っているとされている。このような状況において、新しいパスワードを都度設定するのは
2020年お正月 あけましておめでとうございます。 てか、あけきりまして、本当に、おそうございますが 皆様 、おめでとうございます。 いや〜〜〜ぁ、ずぅっ〜〜とブログお休みしていたら、うっかり、その存在を忘れてしまって、年末から年始に向けて自由を謳歌し、青春謳歌ってなくらい謳歌してたら、あっという間に時が過ぎてました。 え? 今日は2020年。 心は、まだ、2019年なんですが、まさかの2020年ですか? いや冗談だよね。きっと、12月24日にブログあげたの、たぶん、昨日。 昨日は言い過ぎかもしれないけど、3日ほど前。 へ? 今日はもう1月8日。ほんとに? 2020年早々、やらかしましたか。 あ、あの、今更ですが・・・ 皆さま、お元気でしたでしょうか? アメリッシュ、まだ、ブログ心ってものがあるなら、その心を過去においたまま、しっかりと生きております。 そうです、長いおつきあいの方はご存知
)
PPAP (セキュリティ) - Wikipedia
PPAP(ピーピーエーピー)はコンピュータセキュリティの手法の一つ。 名称[編集] 「Password付きZIPファイルを送ります、Passwordを送ります、Angoka(暗号化)Protocol(プロトコル)」の略号である[1]。 日本情報経済社会推進協会に所属していた大泰司章(おおたいし あきら)(現・PPAP総研)が問題提起し命名した[2]。ピコ太郎の『PPAP』(ペンパイナッポーアッポーペン)の響きが「プロトコルっぽい」と言う人がいたことから大泰司が命名のヒントを得た[3]。PPAPという用語は『日本情報経済社会推進協会』の発行する文書にも使われている[4]。 具体的な方法[編集] PPAPによるファイルの送受信は、次のような段階によって行われる。 送信者は、ファイルをパスワード付きzipファイルで暗号化し、メールに添付して送信する。 送信者は、1.で送信した添付ファイルのパスワ
はじめに こんにちは、サイボウズ24卒の@yuasaです。 サイボウズでは開発・運用系チームに所属する予定の新卒社員が研修の一環として、2週間を1タームとして3チームの体験に行きます。新卒社員の私が生産性向上チームの体験に行った際に、チーム内でGitHub Actionsを利用する際の脅威と対策について調査を行い、ドキュメント化した上で社内への共有を行いました。本記事では、そのドキュメントの一部を公開します。 対象読者 本記事の主な対象読者としては、以下のような方を想定しています。 GitHub Actionsを組織で利用しているが、特にセキュリティ対策を実施していない方 GitHub Actionsを組織で利用しており、部分的にセキュリティ対策を実施しているが、対策が十分かどうか分からない方 本記事がGitHub Actionsのセキュリティ対策を検討する上で参考になれば幸いです。 本記
パスワードがハッシュ値で保存されているサイトのSQLインジェクションによる認証回避の練習問題解答 - Qiita
この記事は、以下の問題の想定正解です。まだ問題を読んでいない方は、先に問題を読んでください。 まず、多くの方に記事を読んで頂きありがとうございます。解答もいくつかいただきましたが、その中で、以下のhm323232さんの解答は非常に優れたもので、これに付け加えることはほとんどありません。 しかし、気を取り直して、解答を書きたいと思います。 まず、ログイン処理の中核部分は以下に引用した箇所です。 $sql = "SELECT * FROM users WHERE userid = '$userid'"; $stmt = $pdo->query($sql); $user = $stmt->fetch(); if ($user && password_verify($password, $user['password'])) { echo "ログイン成功:" . htmlspecialchars(
ABEMA weber 勉強会 2021/06/30, 07/07 --- @uenitty 本当にあったモーダルの怖い話 ABEMA weber 勉強会 2021/06/30, 07/07 背景と目的 2 • モーダルに驚くほど苦しめられたので、状況を説明して改善方法を提案する • OOUIの特徴のうち「操作性 / 使いやすさ」についての説明はよく見かける ので、今回は「開発効率 / 作りやすさ」の方に重点を置いて説明する • 「モーダルの方が実装が楽なのかと思っていた」というデザイナーの声が あったので、職種関係なく理解してもらえるような説明を試みる 内容 3 • 前提の認識合わせ • 本当にあった話 • 改善に向けて 既存のUI設計 4 前提の認識合わせ 「手続き」を完了させたい 5 • ビジネス要求 • 重要な「手続き」は開始したら迷いなく完了してほしい • 手続きの例 • アカウ
「パスキー」は各種ウェブサイトにパスワード不要でログインできるようにする仕組みで、AppleやGoogle、Microsoftといった大手テクノロジー企業が利用を推進しています。新たにGoogleのログインシステムがパスキーに対応してパスワード不要でログインできるようになったので、実際にAndroidスマートフォンやiPhoneを用いてGoogleにログインする手順を確認してみました。 Passkeys: What they are and how to use them https://blog.google/technology/safety-security/the-beginning-of-the-end-of-the-password/ ・目次 ◆1:パスキーでのログインを有効化する手順 ◆2:Androidスマートフォンを使ってGoogleにログインする手順 ◆3:iPhone
凄まじいパスワード管理法として「ログインするたびに毎回パスワード再発行する」という豪気なのを聞いた「ロックされる可能性も」
noon🐥 @noonworks 凄まじいパスワード管理法として「登録時にランダム文字列をパスワードにし、どこにも記録しない。ログインするたびに毎回パスワード再発行する」という豪気なのを聞いたことがあります 2023-08-16 00:42:18
総務省|テレワークにおけるセキュリティ確保
2023年10月17日 中小企業等担当者向けテレワークセキュリティの手引き(チェックリスト)【設定解説資料】の更新を行いました。 企業等がテレワークを実施する際のセキュリティ上の不安を払拭し、安心してテレワークを導入・活用いただくための指針として、テレワークの導入に当たってのセキュリティ対策についての考え方や対策例を示した「テレワークセキュリティガイドライン」を策定・公表しています。 テレワークセキュリティガイドライン(第5版)(令和3年5月) テレワークセキュリティガイドライン 改定概要 ※本ガイドラインについてURLで紹介いただく場合は、PDF直接ではなく、次のURL(本ぺージ)を案内いただけますようお願いいたします。 https://www.soumu.go.jp/main_sosiki/cybersecurity/telework/ <改版履歴:報道資料へのリンク> 初版:平成16
広野 萌 on Twitter: "パスワードフォームのUIとインタラクションについて考える度、わりと毎回同じ結論・同じ仕様にたどり着くので、デザインするとき自分が正解としていること9点まとめてみた。みんなで車輪の再発明やめよ〜!(以下ひとつずつ解説) https://t.co/2S3PlFeQzC"
パスワードフォームのUIとインタラクションについて考える度、わりと毎回同じ結論・同じ仕様にたどり着くので、デザインするとき自分が正解としていること9点まとめてみた。みんなで車輪の再発明やめよ〜!(以下ひとつずつ解説) https://t.co/2S3PlFeQzC
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Webサービスによくある各機能の仕様とセキュリティ観点(ユーザ登録機能) - Qiita
yamory | 脆弱性管理クラウド
TechCrunch | Startup and Technology News
尼崎市のUSBメモリ紛失事件 “アンチパターン盛り合わせ”から学べること
Google Password Manager のパスキーのセキュリティ
テレワークかどうかは、もはや関係ない? 三菱重工のインシデント報告から学べる「IT管理者あるある」な反省点
GraphQL API を悪意あるクエリから守る手法 - yigarashiのブログ
FIDO認証&パスキー総復習(認証の仕組みやパスキー登場までの経緯)
マイナンバーカードの「パスワード残機」を読み取る機能、カード残高表示アプリに追加
簡単なwifiハッキング あなたの家は大丈夫? - ラック・セキュリティごった煮ブログ
「Firebase Authentication 7つの落とし穴」のリスクを再整理する
パスワード付きzip、内閣府と内閣官房で26日から廃止へ 外部ストレージサービス活用 平井デジタル相
100を超えるAWSアカウント運用におけるガードレール構築事例
6桁の英字パスワードなら家庭用PCでも1秒で解読。PPAPに警鐘
【最新版】Excel パスワードを忘れた場合の解決策まとめ
AIによるパスワードの解析時間をセキュリティ会社が公開。8桁なら7時間以内に解析完了
SMS OTPの自動入力によるリスクとその対策
Zoom 5.0アップデートでAES 256-bit GCM暗号化など多数の改善
netplwizコマンドを使ってWindows10/11PCでパスワードを省略して自動ログインする方法
パスワードを“ちょっと変える”はどれくらい危ない? 「abc123」→「123abc」など 中国チームが発表
今更ですが、2020年、あけきりましておめでとうございます。 - アメリッシュガーデン改
GitHub Actionsにおける脅威と対策まとめ
本当にあったモーダルの怖い話 / Terrifying Nonfiction of Modal
Googleがパスワード不要でログインできる「パスキー」に対応したのでiPhoneとAndroidスマホで試してみた
パスワードビューワ「ミルパス」に脆弱性、物理アクセスでパスワード窃取可能。使用中止呼びかけ
