安全なパスワードの設定・管理 企業・組織におけるパスワードは、ユーザ名と組み合わせることで企業・組織内の情報資産へのアクセスの可否を決める重要なものです。パスワードの重要性を再認識して、適切なパスワード管理を心がけましょう。 他人に自分のユーザアカウントを不正に利用されないようにするには、推測されにくい安全なパスワードを作成し、他人の目に触れないよう適切な方法で保管することが大切です。 安全なパスワードの設定 安全なパスワードとは、他人に推測されにくく、ツールなどの機械的な処理で割り出しにくいものを言います。 理想的には、ある程度長いランダムな英数字の並びが好ましいですが、覚えなければならないパスワードの場合は、英語でも日本語(ローマ字)でもよいので無関係な(文章にならない)複数の単語をつなげたり、その間に数字列を挟んだりしたものであれば、推測されにくく、覚えやすいパスワードを作ることがで
パスワードレスなユーザー認証を実現する業界標準である「パスキー」を策定するFIDOアライアンスは、パスキーのユーザー体験を最適化させるためのデザインガイドラインの公開を発表しました。 パスキーは、従来のパスワードによるユーザー認証よりも強力で安全な認証方式とされており、普及が期待されていますが、多くのユーザーが慣れ親しんできたパスワード方式と比べると、サインアップやサインインの方法が分かりにくいという課題が指摘されていました。 FIDOアライアンスによるデザインガイドラインの公開は、こうした状況を改善するものとして期待されます。 パスキーのデザインガイドラインの内容 デザインガイドラインは主に以下の要素から構成されています。 UXの原則(UX princeples) コンテンツの原則(Content principles) デザインパターン(スキーマ、サンプルビデオ、AndroidとiOS
Appleは日本時間6月11日より開催する「WWDC24」において、「iOS 18」や「macOS 15」などの次期OSを発表する見込みですが、BloombergのMark Gurman氏によると、「iOS 18」や「macOS 15」には新しい「パスワード」アプリが導入されることが分かりました。 「パスワード」アプリは、「1Password」や「LastPass」のようなサードパーティ製パスワード管理アプリの代替となるもので、iPhone、iPad、Macユーザーが保存されているログイン情報にアクセスするためのよりシンプルな方法が提供されます。 AppleのOSには既にパスワード機能は組み込まれていますが、「設定」アプリに隠された状態となっている為、慣れていないユーザーにとっては少し見つけにくくなっています。 「パスワード」アプリには、Webサイトのログインとパスワード、Wi-Fiネット
[速報] IAMのMFA(多要素認証)でPasskeyが利用できるようになりました #AWSreInforce | DevelopersIO
あしざわです。 現在開催されているAWS re:Inforce 2024 のKeynote にて、AWS IAMのrootユーザーおよびIAMユーザーのMFA(多要素認証)としてPasskeyのサポートが発表されました。 AWS What's newブログ、AWS Blogの両方で発表されています。 概要 本アップデートによって、AWSのrootユーザー、IAMユーザーのMFAデバイスとしてPasskeyが利用できるようになります! AWS側で発行したPasskeyをGoogleアカウントや1passwordなどのクラウドサービスに登録することで、MFA認証としてPasskeyを利用してAWSアカウントにログインできるようになります。 AWS Blogに以下のように記載があるため、初回のリリース時はPasskey+パスワード認証のみでパスワードの利用は必須であるようです。今後のリリースでP
![[速報] IAMのMFA(多要素認証)でPasskeyが利用できるようになりました #AWSreInforce | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/3943ff4d5aff421cb4c2e42ad253a590a12c7bdf/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2024%2F06%2FIMG_3975-2.jpg)
ついにブロックができるようになった!Amazon GuardDuty Malware Protection for Amazon S3が発表されました! #AWSreInforce | DevelopersIO
ついにブロックができるようになった!Amazon GuardDuty Malware Protection for Amazon S3が発表されました! #AWSreInforce Amazon GuardDutyで待望のマルウェアに対する保護機能がリリースされました!信頼できないオブジェクトをS3にアップロードする環境ならガンガン活用していきましょう! こんにちは、臼田です。 みなさん、AWS上でのマルウェアチェックしてますか?(挨拶 AWS re:Inforce 2024で待望のS3に対するネイティブなマルウェア検出と保護の機能である「Amazon GuardDuty Malware Protection for Amazon S3」がリリースされました! Detect malware in new object uploads to Amazon S3 with Amazon Gua
4億7000万円相当のビットコインを保管するウォレットのパスワードを忘れてしまった人物をサポートしたハッカーが実際に取った方法について解説
ビットコインをはじめとする仮想通貨は、パスワードや秘密鍵などで厳重に保護されているウォレットに保管するのが一般的ですが、パスワードを忘れるとウォレットから仮想通貨を引き出せなくなってしまう問題があります。デジタルウォレットのパスワードを忘れてしまったユーザーのアカウント復旧をサポートしたエンジニアのジョー・グランド氏が、パスワードを解読した方法について解説しています。 I hacked time to recover $3 million from a Bitcoin software wallet - YouTube Researchers cracked an 11-year-old password to a $3M crypto wallet | Hacker News https://news.ycombinator.com/item?id=40503925 ヨーロッパ在住のマイ
個人情報保護委員会は5月27日、公式YouTubeチャンネルを開設した。「施策に関する情報や個人情報保護の大切さなどを動画で伝えていく」という。 チャンネルには「マンガで学ぶ個人情報 知って防ごう! 個人情報悪用リスク『オンラインゲーム』」や「個人情報保護法の概要_地方公共団体職員向け」など、個情委公式サイトにも掲載している動画十数本を投稿。いわゆる“ショート動画”も投稿している。 関連記事 積水ハウスにサイバー攻撃 約30万件の情報漏えい、パスワードも 流出疑いも50万件超【追記あり】 積水ハウスは5月24日、会員制サイト「積水ハウス Net オーナーズクラブ」で情報漏えいがあったと発表した。会員・従業員のメールアドレスやパスワードなど50万件超が漏えいした可能性がある他、これとは別に30万件近くの情報が実際に漏えいしたという。 マイナカード画像など15万人分情報漏えいの労務クラウド、流
[アップデート] CloudShell を任意の VPC 上で起動できる CloudShell VPC environment が提供されました! | DevelopersIO
こんにちは、AWS 事業本部の平木です! 皆さんは CloudShell を活用していますか? 普段使用したことがある方ならご存じかと思いますが、今まで CloudShell はパブリックな環境のためインターネット経由で様々な通信を行っていました。 今回のアップデートで、ユーザーが作成した VPC 上に CloudShell を起動できる CloudShell VPC environment が提供されたため仕様を確認してみます。 何ができるようになったか 何ができるようになって、何ができないようになったのかを確認してみます。 任意の VPC 上に CloudShell を起動 まずメインの部分はこちらです。 今までは CloudShell ではインターネットに自由に出ることができましたが、今回のアップデートによりユーザーが作成した VPC 上に CloudShell を起動することでプラ
![[アップデート] CloudShell を任意の VPC 上で起動できる CloudShell VPC environment が提供されました! | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/0a0e7b3291eb56e38287dd9b8dd2b32df9a92dd2/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2023%2F08%2Faws-cloudshell.png)
【パスワード用ノート】記入欄の工夫で文字の識別がきっちり!あの文具王が企画・デザイン「ケルベロス」(舘神龍彦) - エキスパート - Yahoo!ニュース
Webサイトの各種サービス。そしてそのパスワードの管理は、先進国の人類全員の課題です。 日々Webサイトにアクセスして各種サービスを利用する。 そしてそのときのログインIDはなにか、パスワードはなにか。 確かにWebブラウザには、それを覚えさせる機能はあります。 ですが、各種サイトにログインしているユーザーの全員がその機能について知っているわけではありません。 また、そもそも何らかの理由でログインできなくなったときに、パスワードをどうやって思い出せるのか、あるいは、その変更の履歴をどうとるか。こうなるとWebブラウザにはもうお手上げです。 こんにちは。デジアナリスト・手帳評論家・歌手の舘神龍彦(たてがみたつひこ)です。今回は、パスワードを管理するためのノート「パスワードノート ケルベロス PWN-1」を紹介しようと思います。 あの文具王・高畑正幸氏の企画監修によるプロダクトです。 デフォル
Apple、macOS 15 SequoiaやiOS/iPadOS 18、visionOS 2に新しい「パスワード」アプリを導入。SwiftUIで開発され、Windows PCとの同期や1Passwordなど他のパスワード管理アプリからのデータの読み込みが可能。
AppleがmacOS 15 SequoiaやiOS/iPadOS 18、visionOS 2に新しい「パスワード」アプリを導入すると発表しています。詳細は以下から。 Appleは現地時間2024年06月10日に開催した、世界開発者会議WWDC24の基調講演の中で、今年の秋にもリリースを予定している次期「macOS 15 Sequoia」では、現在Safariやシステム設定に実装されているパスワード管理機能が「パスワード (Passwords.app)」というスタンドアローンアプリとして導入されると発表しましたが、 このパスワードアプリは、Wi-Fiやアプリ、Webサイトのログインパスワード、認証コード、パスワードの共有、Sign in with Apple、パスキーに対応するだけでなく、以下のような機能に対応しているそうです。 SwiftUIですべてのプラットフォームに対応 Appleが
総務省が5月26日、インターネットを使う際に気を付けるべき事項をまとめたWebサイト「国民のためのサイバーセキュリティサイト」をリニューアルした。 →国民のためのサイバーセキュリティサイト このサイトに掲載された、Webサービスなどで用いるパスワードの設定に関する記載が一部で注目を集めている。 定期的なパスワード変更は不要 本サイトでは、サイバー空間でのセキュリティを確保するために心掛けるべき事項を「サイバーセキュリティの三原則」という形でまとめている。 →サイバーセキュリティ初心者のための三原則 三原則は「ソフトウェアを最新に保とう」「強固なパスワードの設定と多要素認証を活用しよう」「(Webサイトやダウンロードしたアプリを)不用意に開かない・インストールしない」と、内容的には当たり前といえば当たり前……なのだが、今回注目を集めているのが、2つ目に掲げられた“パスワード”についての説明だ
Appleは来週から始まるWWDCで、ウェブサイトやソフトウェアへのログインのための新しい自社製アプリ「Passwords」を発表する予定だとBloombergのMark Gurman氏が関係者から得たとして報告しています。 新しいPasswordsアプリは、1PasswordやLastPassのようなサードパーティ製アプリの代替となるもので、パスワードを生成し管理することができます。 Appleは、iPhone、iPad、Mac OSの次期メジャーバージョンである「iOS 18」、「iPadOS 18」、「macOS 15」の一部として、この新しいアプリを計画しています。 iOS 18のイメージAppleの各OSにはすでにパスワード機能が組み込まれていますが、「設定」に隠れており、わかりにくく、使い勝手が良いとは必ずしも言えません。Appleは、ログインとパスワードの保存、ワンタイムログ
使い回しを避けたり定期的に変更したりといった、パスワードの運用法に頭を悩ませている方も多いのではないでしょうか。 いくらセキュリティ上の観点からは重要だとわかっていても、複雑なパスワードが増えすぎると覚えておくのも大変。自らかけたカギでサービスから締め出されるくらいなら、脆弱性に目をつむったほうがまし、とのリスキーな思想に陥ってしまいがちです。 「PassCard」は、アナログでパスワード生成できるアイデアプロダクト。強力なパスワードを実質無限に生成できる「PassCard」を試してみたところ、シンプルにパスワード管理できそうだとわかったので内容をご紹介していきます。 生成するパスワードが安心安全 Photo: 山田洋路 サービスごとに一意なパスワードを生成する手法として、「置換暗号」を利用したものがあります。アルファベット配列やキー配列をもとに、“右に1字ずらす”といったルールを設けて文
「iOS 18」「iPadOS 18」「macOS 15 Sequoia」に、純正アプリとして新たに「パスワード」アプリが追加されました。 アプリ単体で利用でき、1Paswordなど人気のサードパーティ製アプリの代替として期待されます。 iOS 18:パスワードアプリiPhone 11 ProをiOS 18にアップデートしてみたところ、デフォルトで「パスワード」アプリがインストールされていました。 iOS 18: パスワードアプリ今回iOS 17.5からiOS 18.0 Beta 1にアップデートしたのですが、iOS 17.5の「設定」内「パスワード」に保存されていたパスワードがiOS 18の「パスワード」アプリにも入っていました。というのも、iOS 17ですでに用意されていた設定内の機能をスタンドアロンアプリとしてリリースしたというのが実情のようです。 パスワードはiCloudキーチェー
macOS 15 Sequoiaでスタンドアローン化されるAppleの「パスワード」アプリでは、メニューバーからアカウント名やパスワード、認証コードを素早く取得することが可能に。
macOS 15 Sequoiaでスタンドアローン化されるAppleの「パスワード」アプリでは、メニューバーからアカウント名やパスワード、認証コードを取得することが可能になるそうです。詳細は以下から。 Appleは現地時間2024年06月10日に世界開発者会議(WWDC24)の基調講演を行い、その中で、今年の秋もリリースを予定している「macOS 15 Sequoia」では、現在システム設定に実装されているパスワード管理機能が、「パスワード (Passwords.app)」アプリとしてスタンドアローン化され、iOSやiPadOS, visionOSにも提供されると発表しましたが、 Appleが公開したWWDC24のセッション10125「Streamline sign-in with passkey upgrades and credential managers」によると、macOSのパス
[レポート] 生成AIを使ってファイアウォールを強化しよう #NIS375 #AWSreInforce | DevelopersIO
AWS re:Inforce 2024 NIS375 Enhance your firewall protection with generative AI のセッションレポートです。 Amazon Bedrockを使ったAWS Network Firewallの効率的な運用方法を学ぶセッションでした。 こんにちは! AWS 事業本部コンサルティング部のトクヤマシュンです。 フィラデルフィアで開催されている AWS re:Inforce 2024 に参加していました。 本記事は AWS re:Inforce 2024 のセッション「Enhance your firewall protection with generative AI」のセッションレポートです。 Amazon Bedrockを使ったAWS Network Firewallの効率的な運用方法を体験するセッションでした。 セッシ
![[レポート] 生成AIを使ってファイアウォールを強化しよう #NIS375 #AWSreInforce | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/d1ac42cfd4e5f0a287ed5db0380a987866b4dde2/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2024%2F06%2Feyecatch_awsreinforce2024_1200x630.png)
[レポート] 生成AIアプリにおけるインシデント対応のセッション – 生成AIワークロードにおける脅威の検出と対応 #TDR302 #AWSreInforce | DevelopersIO
[レポート] 生成AIアプリにおけるインシデント対応のセッション – 生成AIワークロードにおける脅威の検出と対応 #TDR302 #AWSreInforce あしざわです。 米国フィラデルフィアで開催されている AWS re:Inforce 2024 に参加しています。 本記事は AWS re:Inforce 2024 の Breakout Session 「Detecting and responding to threats in generative AI workloads」のレポートです。 セッション概要 While generative AI is an emerging technology, many of the same services and concepts can be used for threat detection and incident respon
[速報] CloudTrail LakeでAIを活用した自然言語によるクエリ生成機能が発表されました(Preview) #AWSreInfoce | DevelopersIO
[速報] CloudTrail LakeでAIを活用した自然言語によるクエリ生成機能が発表されました(Preview) #AWSreInfoce あしざわです。 現在開催されているAWS re:Inforce 2024 のKeynote にて、CloudTrail LakeのAIを活用した自然言語によるクエリ生成機能が発表されました(Preview) AWS What's newブログ、AWS Blogの両方で発表されています。 AWS Blogをサラッと確認したところ、Previewでのリリース、利用できるリージョンも限られているようですが、個人的に激アツなアップデートです。 本ブログでは、アップデートの概要を確認して、アップデート内容を実際に試してみます。 概要 CloudTrail LakeはCloudTrailアクティビティログを集約、分析できるマネージドデータレイクです。 Clo
![[速報] CloudTrail LakeでAIを活用した自然言語によるクエリ生成機能が発表されました(Preview) #AWSreInfoce | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/9ae123f069464c8016b31a203bb1f4a5435407b5/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2024%2F06%2Fcloudtraillake-natural-language-reinforce2024.jpg)
[アップデート] Amazon Inspector SBOM Generator が Dockerfile の設定不備を検出するようになりました #AWSreInforce | DevelopersIO
[アップデート] Amazon Inspector SBOM Generator が Dockerfile の設定不備を検出するようになりました #AWSreInforce Amazon Inspector SBOM Generator が Dockerfile の設定不備を検出するようになりました。 Inspector Scan API を利用して詳細を確認できます。 こんにちは! AWS 事業本部コンサルティング部のたかくに(@takakuni_)です。普段は趣味で Amazon Inspector の追っかけをしています。 フィラデルフィアで開催されている AWS re:Inforce 2024 に参加しています。 Keynote や What's new の裏側で Amazon Inspector SBOM Generator が Dockerfile の設定不備を検出するようにな
Difyというツールを使うと、生成AIアプリを手軽に構築できると耳にしました。こちらの記事でも触れられていますが、私もちょうど「生成AIアプリのアイディアがあるけどPoCするには時間がかかりそう」と思っていたところだったので、Difyで簡単なRAGアプリを作成し、期待していたことがどこまでできるのか?検証してみました。 1. やりたいこと 生成AIアプリに求める挙動 ユーザーの入力: セキュリティリスクを想定するシステムやデータ アプリの出力: 想定される脅威 アプリが出力のベースに使うナレッジ: サイバーセキュリティ法規(UN-R155)の原文 なぜ、上記のようなアプリを欲しいと思ったのか? 自動車業界には、完成車メーカーが準拠しなければならないサイバーセキュリティ法規(UN-R155)があり、これに準拠していることを示すために様々なドキュメントを作成しなければならないという背景がありま
Appleが発表した、iOS18などの新機能「パスワード」アプリを実際に試したレポートを米メディア9to5Macが公開しました。安全なパスワードを生成し、iCloud経由で管理でき、Windowsでも利用できる機能性は、現在とほぼ同じで、あまり目新しさはありません。では、Applがわざわざ新アプリを開発した狙いはどこにあるのでしょうか? 「パスワード」アプリと既存のパスワードマネージャーの違いは? Appleは、ユーザーがパスワードを簡単に管理できる独立した「パスワード」アプリをiOS18、iPadOS18、macOS Sequoia、visionOS 2の新機能として追加します。 iOS18の開発者向けベータで「パスワード」アプリを使ってみてのレポートを米メディア9to5Macが伝えています。 IOS17までの「設定」アプリ内で提供されていたパスワードマネージャー機能と、「パスワード」ア
個人アカウントでも AWS Organizations と IAM Identity Center を使う a.k.a. 古の AWS アカウントにかけられた東京リージョン az-a の呪いからの脱出 - blog.ayakumo.net
アカウント温故知新と東京リージョン az-a の呪い 昔話になりますが、私は個人の AWS アカウントを 東京リージョンが利用可能になった 2011年 に作成しました。それ以降 EC2 をはじめとして散発的に AWS リソースを使用してきましたが、時代とともに古いアカウントならではの制限事項が目につくようになってきました。 制限事項の中で最も大きいのが 古い AWS アカウントでは東京リージョンのアベイラビリティゾーン a が使用できない という問題です。AWS CDK しかり、Cfn しかり、何かのハンズオンしかり、基本的に新しめの(?) AWS アカウントを想定しており、その度に「他の人のアカウントではうまくいくが自分のアカウントだとエラーになってしまう」ケースが「稀ではなくよくある」事態となっていました。 こういった経緯を含め、アカウント管理の体制を一新して AWS Organiza
AWS環境ですぐできるマルウェア対策!Amazon GuardDuty Malware Protectionについて整理してみる - 電通総研 テックブログ
こんにちは、コーポレート本部 サイバーセキュリティ推進部 セキュアシステムデザイングループの福山です。 今回は、AWSの脅威検知サービスAmazon GuardDutyで利用できるマルウェア検出機能「Malware Protection」について整理してみました。 サーバーにおけるマルウェア対策について Malware Protectionとは Malware Protectionのスキャン手法 従来のアンチウイルスソフトとの比較 有効化・実行する方法 実行型マルウェアスキャンの場合 オンデマンドスキャンの場合 スキャン結果の確認方法 費用 Malware Protectionのユースケース別の活用例 最後に サーバーにおけるマルウェア対策について マルウェアとは、ウイルス、トロイの木馬、ワーム、スパイウェア、そして近年被害が話題になっているランサムウェアなどの総称です。 マルウェアの脅威
kicsとは Infrastructure-as-CodeのためのOSSアナライザー セキュリティの脆弱性、コンプライアンスの問題、およびインフラストラクチャの構成ミスを 早期に検知することができる kicsを使用するメリット デプロイなしでチェック可能 人間によるレビューよりも短い時間でチェック可能 高度な知識を持つレビュアーがいなくてもチェック可能 使用方法 config構成 CLI、CI(GitLab)いずれの場合でも共通
serverspecをコンテナに格納してお手軽インフラテスト自動化 #STIG #PCI-DSS #CISベンチマーク - Qiita
まとめ InSpecコマンドとテストコードをコンテナイメージに入れて、いつでもどこでもインフラテストを実行できるようにします。 Docker Hubで公開されているchef/inspecは、CPUアーキテクチャのARM対応していないなど不具合が発生しがちなので、Dockerfileで自前でInSpecコンテナを用意するのが近道です。 FROM ubuntu # Mixlib-install gem で InSpecをインストール RUN apt update -yq && apt install -yq ruby git nginx RUN gem install -N mixlib-install && mixlib-install download inspec -v 5 RUN dpkg -i inspec* ## ライセンス回避 RUN echo 'export CHEF_LICE
Rate Limitの概要 Rate Limitは、APIへのリクエスト数を制御するためのシステムです。 これは、APIを過剰に使用したり、悪意のある攻撃を防ぐために使用されます。 Rate Limitによって、一定期間内に許可されるリクエストの数が限定されることで、サーバーの過負荷を防ぎ、サービス品質を維持することができます。 Rate Limitの利点 サービスの過負荷防止 APIへの過剰なリクエストがサーバーのリソースを圧迫し、サービスが遅くなったり、最悪の場合はダウンしたりすることを防ぎます。 Rate Limitによって、予期せぬトラフィックの急増による障害からAPIを守ります。 悪意のある利用の防止 DDoS攻撃など、悪意のあるユーザーによる過剰なリクエストを防ぎます。 これにより、APIが安全に運用されることを確保します。 公平なリソースの利用 全てのユーザーに対して公平にA
今回はGitLab IaC Scanning機能を検証しました。 docs.gitlab.com 背景 GitLabのIaC ScanningはIaCファイルに対する静的解析機能を提供します。IaC Scanningの内部ではKICSというIac専用の静的解析ツールを実行しており、セキュリティの脆弱性やコンプライアンス的な問題点などを指摘します。 IaC Scanningの対象のIaCツールは複数あり、以下に対応しています。なお一つのリポジトリ上に複数のIaCツールファイルを配置する場合もサポートします。 Ansible AWS CloudFormation Azure Resource Manager Dockerfile Google Deployment Manager Kubernetes OpenAPI Terraform docs.gitlab.com IaC Scanning
Appleは、iOS18とmacOS 15に「パスワード」アプリを搭載するとの予想を、Bloombergのマーク・ガーマン記者が伝えています。 この予想が的中した場合、1Passwordなどサードパーティー製パスワードマネージャーアプリを純正アプリで代替することができるようになります。 単独の「パスワード」アプリが搭載と予想 iOS18とmacOS 15に搭載される可能性がある「パスワード」アプリは、現行OSに搭載されている類似機能とは異なる単独アプリになり、サードパーティー製パスワードマネージャーアプリのような使い勝手の良さが実現されそうです。 「パスワード」アプリのデータはiCloud Keychain上に構築され、iCloudを通じてデバイス間で同期される見通しです。 この機能は、現行OSの「設定」アプリ内の「パスワード」が備えているものを全て含んでおり、Vision Proでも利用
[レポート] ワークショップ – GitHub Actionsを使ったIAMポリシーの検証と分析の自動化 #IAM452 #AWSreInforce | DevelopersIO
[レポート] ワークショップ – GitHub Actionsを使ったIAMポリシーの検証と分析の自動化 #IAM452 #AWSreInforce あしざわです。 米国フィラデルフィアで開催されている AWS re:Inforce 2024 に参加しています。 本記事は AWS re:Inforce 2024 のワークショップ 「Automating IAM Policy Validation and Analysis using GitHub Actions」のレポートです。 セッション概要 In this builders’ session, learn how to automate the validation of AWS Identity and Access Management (IAM) policies using the IAM Policy Validator f
発端 GraphQL API の利用者から API クライアントのコードレビューに付き合ってほしいと言われたので出席したんですが、とんでもない実装になっていて腰を抜かしてしまったので、注意喚起しようかなと。 はじめに結論 クエリの一部にユーザ入力を文字列連結するのはやめましょう! 動的パラメータは variables で指定しましょう。 variables の指定例は以下を参照。 https://graphql.org/learn/serving-over-http/#post-request ポピュラーな GraphQL クライアントであれば、 variables に当たる変数を渡すことができるインタフェースが用意されていると思います。 インジェクションが起きる仕組み 実装言語は何でも良いです。 以下のような API クライアント実装があるとします。 const userInput =
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
総務省 | 安全なパスワードの設定・管理 | 国民のためのサイバーセキュリティサイト
「パスワードは定期変更の必要なし」総務省が国民向けサイトで正式見解【やじうまWatch】
「パスキー」のユーザー体験を最適化させるデザインガイドライン、FIDOアライアンスが公開
「iOS 18」や「macOS 15」では「パスワード」アプリが登場へ | 気になる、記になる…
個人情報保護委員会がYouTubeチャンネル開設 「マンガで学ぶ個人情報保護法」など動画投稿
パスワードの「定期的な変更は不要」だが注意点も 総務省がサイバーセキュリティサイトで呼びかけ
Apple、1Passwordに代わる自社製パスワード管理アプリ「Passwords」を発表へ - こぼねみ
結局アナログが1番。このカードのおかげでパスワードの生成・管理が一気にラクになった | ROOMIE(ルーミー)
iOS 18/iPadOS 18/macOS 15で純正「パスワード」アプリが利用可能に - こぼねみ
サイバーセキュリティ法規を理解した生成AIアプリにセキュリティリスクを案出しさせる(Difyで簡単PoC)
iOS18などの新機能「パスワード」アプリ実使用レポート、既存機能とどう違う? - iPhone Mania
kicsでInfrastructure-as-Codeの静的解析をしよう - Qiita
RailsにおけるRate Limitの実装ガイド - Qiita
GitLab IaC Scanning機能を利用する - TECHSTEP
iOS18とmacOS 15に「パスワード」搭載〜1Passwordなどを無料代替? - iPhone Mania
GraphQL クライアントではクエリインジェクションに注意しよう - Qiita