夢の常温常圧超電導体「LK-99」の存在を支持する研究結果が相次いで発表される、再現したLK-99が超電導物質だと示唆する動画も公開
2023年7月、韓国の研究チームが室温かつ常圧で超電導状態になる物質「LK-99」を開発したとする論文を発表し、世界中の研究者から大きな注目を集めています。新たに、LK-99の常温常圧超電導を支持する研究結果がアメリカのローレンス・バークレー国立研究所や中国の瀋陽国立研究所の研究者らによって発表されたほか、中国の華中科技大学によって「再現したLK-99の超電導性を示唆する動画」も公開されました。 [2307.16892] Origin of correlated isolated flat bands in copper-substituted lead phosphate apatite https://doi.org/10.48550/arXiv.2307.16892 [2307.16040] First-principles study on the electronic struc
","naka5":"<!-- BFF501 PC記事下(中⑤企画)パーツ=1541 -->","naka6":"<!-- BFF486 PC記事下(中⑥デジ編)パーツ=8826 --><!-- /news/esi/ichikiji/c6/default.htm -->","naka6Sp":"<!-- BFF3053 SP記事下(中⑥デジ編)パーツ=8826 -->","adcreative72":"<!-- BFF920 広告枠)ADCREATIVE-72 こんな特集も -->\n<!-- Ad BGN -->\n<!-- dfptag PC誘導枠5行 ★ここから -->\n<div class=\"p_infeed_list_wrapper\" id=\"p_infeed_list1\">\n <div class=\"p_infeed_list\">\n <div class=\"
はじめに 本記事はMicrosoft Security Advent Calendar 2023、10日目の記事になります。 シリーズ3部作です。 きっかけ 所属企業にて、2022年7月頃、情報システム部門に異動。種々の課題感に対する解決策(ここも話すと長くなる)としてMicrosoft 365 E5を導入することに決定。2023年1月にテナントにライセンスが適用され、E5セキュリティの実装を始める。同時に、組織内でIdPが複数運用されていることに対しても課題感を持っていたため、IdPの整理・統合も始める。 さらに同時期に、セキュリティ侵害の多くの原因が、パスワード漏洩だということを知る。 フィッシングメールでパスワードが漏洩(個人1位)し、クレジットカードが不正利用(個人4位)されたり、インターネット上のサービスに不正ログイン(個人10位)されたり…。スマホ決済の不正利用(個人5位)もで
症状検索エンジン「ユビー」 では、ローンチ当初から Firebase Auth (GCP Identity Platform) を使っていましたが、OIDCに準拠した内製の認証認可基盤に移行しました。 認証認可基盤そのものは m_mizutani と nerocrux と toshi0607(退職済) が作ってくれたため、僕は移行のみを担当しました。 結果として、強制ログアウトなし・無停止でビジネス影響を出さずに、年間1000万円以上のコスト削減に成功しました[1]。その移行プロセスについて紹介します。認証認可基盤そのものの紹介はあまりしません。 移行した理由 大量の匿名アカウント ユビーでは、アクセスした全ユーザーに対して自動的に匿名アカウントを発行しています。これにより、ユーザーがアカウント登録しているかどうかに関わらず、同じID体系で透過的に履歴情報等を扱うことができます。アカウント
【注意】海外ナレーターからの宅録ナレーション依頼にどうかご注意ください。|石井しおり | ナレーター・MC | コトバテラス
一人でも多くの方にこの記事が届きますようにという思いを込めて、この度投稿することにいたしました。ぜひ周囲の方、特にフリーランスの方にこういった事例があることを周知していただければと思います。 発信することの重要性を前回お伝えしましたが、実はその投稿直後に自身の発信をきっかけに特殊詐欺の被害に遭い、発信することのウラに潜む危険な面を自ら経験しました。これからお伝えする私の経験をもとに、公に発信する内容につきましてはどうか皆さん慎重にご検討いただければと思います。 と言いますのも、私は今年の初めに仕事用のInstagramアカウントを立ち上げたのですが、まさにそれがきっかけとなってしまったのです。Instagramを通してある宅録ナレーションの依頼を受け、データを納品したにもかかわらず、結果的に報酬をいただくどころか多額のお金を奪われてしまいました。そして恐ろしいことに、今もなお追加の振り込み
パスワードレスなユーザー認証を実現する業界標準である「パスキー」を策定するFIDOアライアンスは、パスキーのユーザー体験を最適化させるためのデザインガイドラインの公開を発表しました。 パスキーは、従来のパスワードによるユーザー認証よりも強力で安全な認証方式とされており、普及が期待されていますが、多くのユーザーが慣れ親しんできたパスワード方式と比べると、サインアップやサインインの方法が分かりにくいという課題が指摘されていました。 FIDOアライアンスによるデザインガイドラインの公開は、こうした状況を改善するものとして期待されます。 パスキーのデザインガイドラインの内容 デザインガイドラインは主に以下の要素から構成されています。 UXの原則(UX princeples) コンテンツの原則(Content principles) デザインパターン(スキーマ、サンプルビデオ、AndroidとiOS
「1Password」が昨年世界で最も顧客数が増えた業務アプリ。テクノロジースタートアップの人気1位の業務アプリは「Google Workspace」。Oktaの調査結果
Oktaは業務アプリの利用動向に関する年次調査を発表。1社当たりの業務アプリ数、米国は105、日本は35で、昨年最も顧客数が増えたのは「1Password」などの結果が示された。 アイデンティティ管理サービスを提供するOktaは、1万8000社以上が利用する同社のサービスの利用データなどを基にした業務アプリの利用動向に関する年次調査「Businesses at Work 2024」 の結果を発表しました。 1社当たりの業務アプリ数、米国は105、日本は35 調査結果によると、1社当たりの業務アプリ数は平均で米国が105で調査結果中最大、日本は35と調査結果中最少だとされました。 企業規模別に見ると、従業員2,000人以上の大企業は前年比10%増の231、従業員数2000人未満の中堅・中小企業は、前年比4%増の72と、企業規模によって業務アプリの数に大きな違いがあることが示されました。 昨年
FIDOアライアンスが仕様を策定した「パスキー」は、パスワードではなく生体情報を用いて認証する「FIDO 2.0」を「Webauthn」標準に基いて利用して得た資格認証情報をデバイス単位で管理運用する技術です。このパスキーが抱える問題点について、Webauthn標準に関わったエンジニアのFirstyearことウィリアム・ブラウン氏が自身のブログで解説しています。 Firstyear's blog-a-log https://fy.blackhats.net.au/blog/2024-04-26-passkeys-a-shattered-dream/ Webauthnがパスワードに代わる認証技術として大きな可能性を秘めていると考えていたブラウン氏は、2019年にオーストラリアからアメリカに渡り、友人と共にWebauthnのRust実装であるwebauthn-rsの開発を始めました。その過程で
水原容疑者を銀行詐欺の疑いで訴追する訴状には何が書かれているのか。 訴状は4月11日付けで、訴追する側としてアメリカの連邦捜査機関で日本の国税庁にあたるIRS=内国歳入庁の特別捜査官の名前が記されています。 以下、詳しい内容をお伝えします。 ※1ドル153円で計算しています。 目次 携帯電話 ブックメーカーと数百のテキストメッセージ 2021年9月8日ごろ 違法賭博のアカウント番号とパスワードを付与
72ページ / A5サイズ / 電子版はPDF(フルカラー) / 紙の本は表紙カラー、本文モノクロ 技術書典16(2023年5月25日~6月9日)の新刊「読み手につたわる文章 - テクニカルライティング」です。 「PDF版」は名前のとおり、PDFをダウンロードできます。紙の本はついてこないので注意してください。 紙の本が欲しい方は「書籍版+PDF版」を購入してください。技術書典16の会期中は技術書典オンラインマーケット(送料無料)で購入できます。 https://techbookfest.org/product/3t8AGqtB65jsPtPhx6m5fr 「ダウンロードカード用」は、既に紙の書籍をお持ちの方向けのファイルです。紙の書籍を購入された方は、あとがきの後ろにダウンロード用のパスワードが記載されています。ダウンロード後、あとがきに記載されているパスワードでZIPファイルを解凍して
GitLabで1クリックアカウント乗っ取りが可能だった脆弱性から学ぶ、OpenID Connect実装の注意点 - Flatt Security Blog
はじめに こんにちは。株式会社Flatt Securityセキュリティエンジニアの森(@ei01241)です。 最近は認証や認可に際してOpenID Connectを使うWebサービスが増えていると思います。「Googleアカウント/Twitter/Facebookでログイン」などのUIはあらゆるサービスで見かけると思います。しかし、OpenID Connectの仕様をよく理解せずに不適切な実装を行うと脆弱性を埋め込むことがあります。 そこで、突然ですがクイズです。以下のTweetをご覧ください。 ⚡️突然ですがクイズです!⚡️ 以下の画面はOAuth 2.0 Best Practice上は推奨されないような実装になっており、潜在的リスクがあります。https://t.co/bXGWktj5fx どのようなリスクが潜んでいるか、ぜひ考えてみてください。このリスクを用いた攻撃についての解説記
","naka5":"<!-- BFF501 PC記事下(中⑤企画)パーツ=1541 -->","naka6":"<!-- BFF486 PC記事下(中⑥デジ編)パーツ=8826 --><!-- /news/esi/ichikiji/c6/default.htm -->","naka6Sp":"<!-- BFF3053 SP記事下(中⑥デジ編)パーツ=8826 -->","adcreative72":"<!-- BFF920 広告枠)ADCREATIVE-72 こんな特集も -->\n<!-- Ad BGN -->\n<!-- dfptag PC誘導枠5行 ★ここから -->\n<div class=\"p_infeed_list_wrapper\" id=\"p_infeed_list1\">\n <div class=\"p_infeed_list\">\n <div class=\"
安全なウェブサイトの作り方を読んだので、理解した内容を自分なりにまとめておきます。資料 上記は3章構成になっていてそれぞれ長めの内容なので、ここでは3章の『失敗例』について、Ruby on Rails ではどうするかについてをまとめます。 SQL インジェクション OS コマンドインジェクション パス名パラメータの未チェック例(ディレクトリトラバーサル) 不適切なセッション管理例(セッション ID の推測) クロスサイト・スクリプティングの例(エスケープ処理) CSRFの例 HTTP ヘッダ・インジェクションの例 メールヘッダ・インジェクションの例 参考 SQL インジェクション 参考資料内の SQL インジェクション例を見て、Ruby on Rails ではどのように対策できるかを確認しました。 例えば、下記ような $uid, $pass をユーザ入力とし、SQL 文を動的に生成する場合
「情シス担当者がいなくなってサーバーやネットワーク機器を管理する人がいないので皆さんで管理しましょう」→斬新すぎる管理方法だった
Shadowhat @shadowhat HAGIWARA Takahiro (仮想化プリセエンジニア) 主にNutanix、最近M365、時々Linux、稀にネットワークな日々 発言は個人の見解であり、所属する企業の見解や意見を代表するものではありません。 Nutanix Technology Champion 2018-2024 infraapp.blogspot.jp Shadowhat @shadowhat 「情シス担当者がいなくなって社内のサーバーやネットワーク機器を管理する人がいないので皆さんで管理しましょう。」 といって、社内全員にAdministrator権限のユーザ名とのパスワードを共有する斬新な管理方法を聞いた。 なお、SIでソフトウェア開発をやっている会社さんだそうで。。。 2024-05-08 09:04:29
各サービスで電話番号宛のSMS認証が当然となった現代、携帯電話回線は非常に高い価値を持っています。 そんな電話回線をSIMカードごと奪う「SIMハイジャック(SIMスワップ)」という犯罪手法が海外で報告されていますが、最近は日本でも被害報告をチラホラと聞くようになっています。 そんなSIMハイジャックの魔の手が、なんと日本の政治家にまで及んでいたことがわかりました。 東京都議会議員の風間ゆたか氏が報告したところによると、PayPayの不正利用とパスワードリセットで異変に気付いたとのこと。 スマホで二段階認証を行ってもSMSが届かず、Wi-Fiでしか使えず、アンテナマークが解約を示すマークになっていることが判明。ソフトバンクショップに駆け込んだとのこと。 東京都ではなく名古屋のソフトバンクショップで最新機種を購入した形跡があり、ソフトバンクショップはその時の本人確認をマイナンバーカードのIC
2024年秋に従来の健康保険証をマイナンバーカードに一本化する、いわゆるマイナ保険証の導入をめぐって、政界を含め様々な懸念論が展開されています。 一本化への懸念には、マイナンバーの紐づけミスが発覚されたことが大きな引き金になっていることは言うまでもありません。こうした不安が払しょくされない限り、一本化は先送りすべきだという意見が野党だけでなく与党自民党内からも挙がっているようです。 さて、こうした声にもかかわらず、政府は健康保険証の廃止時期は延期せず、予定通り来年秋のマイナ保険証への移行までに国民の不安を払しょくするとい強い方針を提示し、明8月4日には岸田総理自らが国民に理解を呼び掛けるとしています。 衆議院解散総選挙が取沙汰されているにも関わらず、政府がこのような不退転ともいえる方針を表明した理由について、一部私の推測も交えて考察したいと思います。 1.国民皆保険制度を維持する上での財政
本当にあった Web アプリケーションの脆弱性
この記事の目的 今まで Web アプリケーション製作を行った経験が無い方が「ちょっと個人開発で何か作ってみようかな!」と思ったときにうっかり脆弱性を作りこんでしまうことを少しでも防げたらいいなと考えました。 そのためにはまず脆弱性を他人事だと考えないことが大事だと思ったので、私が過去の開発現場において実際に遭遇したことがある Web アプリケーションの脆弱性の事例を幾つか紹介します。 紹介の前に注意喚起をします。 自分が管理しているわけではない Web アプリケーションに対し、依頼されてもいないのに脆弱性を探す行為は絶対にしないでください。その行為の内容によっては犯罪になる可能性もあります。 外部から渡されたデータを何の対策もなしに SQL に埋め込んでいる SQL インジェクション攻撃の説明でよくみられる例ですが、ログイン処理でユーザーが入力した ID とパスワードに一致するユーザー情報
画像・PDF・TXT・メールなどの中身を読み取って検索できるようにするオープンソースのドキュメント整理ツール「Teedy」レビュー
Teedyはさまざまな種類のファイルの中身を読み取って検索できる状態にしてくれるドキュメント整理ツールです。受信したメールを自動で取り込む設定もできるとのことなので、実際にセルフホストして使い勝手を確かめてみました。 sismics/docs: Lightweight document management system packed with all the features you can expect from big expensive solutions https://github.com/sismics/docs TeedyのインストールにDockerを利用するので、下記のリンクから自分の環境に合った方法でDockerをインストールします。 Install Docker Engine | Docker Documentation https://docs.docker.com
2024年4月25日紙版発売 2024年4月25日電子版発売 市原創,板倉広明 著 A5判/456ページ 定価3,740円(本体3,400円+税10%) ISBN 978-4-297-14178-3 Gihyo Direct Amazon 楽天ブックス ヨドバシ.com 電子版 Gihyo Digital Publishing Amazon Kindle 楽天kobo honto この本の概要 SSL/TLSは,通信の秘密を守るために利用されている通信プロトコルです。HTTPSやHTTP/3にも利用されており,今日のWebでは利用が一般的になっています。本書では,その最新バージョンであるTLS 1.3のしくみと,その使い方を解説します。SSL/TLSは公開されている実装例などを真似すれば基本的な動作はさせられますが,それを応用していくには技術に関する理論の理解が必須になります。しかしSSL
みなさん、デザインツールの Figma を使っていますか? 私はまだ「使っている」と言えるほど使えていません というわけで勉強会を開催して勉強します Figma とは 公式の紹介文は以下のとおりです デザインの追求からプロトタイプ作成、制作物のコーディングまで、Figmaはチームがコラボレーションして製品開発するためのプラットフォームです 本記事のタイトルと同じように、「デザインからデモ・実装までチームで製品開発できる」旨が書かれています まさにその通りで、ブラウザ上で UI をデザインし、そのまま動かしてみることができ、最終的にはコードの生成までできてしまうツールです Figma の人気 2022年に世界中のデザイン関係者を対象としたアンケートでも Figma は圧倒的な人気です いずれのランキングでも2位の10倍以上の得票数になっています メインで使っている UI デザインツール第1位
GitHubでマルウェアを仕込んだリポジトリを本物に見せかけて拡散させる手口が横行し、10万を超す感染リポジトリが見つかっているとしてサイバーセキュリティ企業が注意を呼びかけている。攻撃は今も続いており、何も知らない開発者がこうしたリポジトリを使えば、マルウェアに感染してパスワードなどの情報が流出する恐れがある。 サプライチェーンのセキュリティ対策を手掛ける米Apiiroによると、GitHubのリポジトリを狙う「リポコンフュージョン(取り違え)攻撃」は2023年11月ごろから激化したという。 攻撃者は、開発者をだまして悪質なコードやファイルをダウンロードさせる目的で、正規のリポジトリのクローンを作成。そこにマルウェアを呼び出すコードを仕込み、同一の名称でGitHubにアップロードする。次に自動化の仕組みを使ってそれぞれを何千回もフォークさせ、Web上のフォーラムなどで宣伝しているという。
2023年9月22日、津山市教育委員会は市内の公立中学校で教員が保管していたアカウント一覧表を不正に入手した生徒が他の生徒の授業用タブレットに不正アクセスを行っていた事案が発生したと発表しました。ここでは関連する情報をまとめます。 サポートのため教員が一覧表を教室へ持参 津山市公立中学校の生徒2名が不正に入手した生徒用Googleアカウント一覧表に記載された情報を元に、別の生徒8名のアカウント(授業用タブレット)に不正アクセスを行っていた。生徒らは授業に使用するタブレットに保存された動画(体育、音楽の授業の様子を撮影したもの)の閲覧やダウンロードを行ったり、タブレットのホーム画面の壁紙変更を行ったりしていた。*1 不正閲覧した生徒は、興味本位やからかい目的で行ったと学校の聞き取りに答えている。 生徒用Googleアカウント一覧表は1クラス約30名分の情報を記載したもので教員が管理を行ってい
2023/08/26(土)に開催された Frontend Nagoya #11 のセッションで使用したスライド資料です。
米Gizmodoの元記者、退職時にSlack上の名前を「Slackbot」に変えて数か月間なりすましていたことを告白 | テクノエッジ TechnoEdge
ガジェット全般、サイエンス、宇宙、音楽、モータースポーツetc... 電気・ネットワーク技術者。実績媒体Engadget日本版, Autoblog日本版, Forbes JAPAN他 ビジネス向けIT技術情報サイトIT Brewのシニアレポーター、トム・マッケイ氏は、所属していた米Gizmodoを2022年に退職した際、Slackアカウントの名前を「Slackbot」に書き換え、その後数か月間、偽SlackbotとしてこっそりアクセスしていたことをX(Twitter)で明かしました。 マッケイ氏は、このことについてGizmodoの親会社であるG/O Mediaが「何か月も発見も削除もできなかった」と述べています。 Slackbotとは、Slackユーザーの特定の投稿に対して自動的にレスポンスを返したり、リマインダーを知らせたりする機能を持つBotのこと。 条件や応答内容を設定してカスタマイ
youtu.be こんにちは。freee 基盤チーム Advent Calendar 2023 12/6の記事は、PSIRTのWaTTsonがお届けします。セキュリティの仕事をやっている新卒2年目です。 freeeでは会計や人事労務といった領域のプロダクトを提供していて、顧客となる企業の財務情報や給与情報のような、非常に機微な情報を扱うことがあります。このため、情報セキュリティには特に気をつけて対策をとる必要があります。 freeeのセキュリティに関する施策方針については、セキュリティホワイトペーパーにまとめて公開しています。この中で、データの取り扱いについては「セキュリティレベル」を定めてそれに応じた保護策をとる旨が記載されています。 データの取り扱いとセキュリティレベル プロダクトを作る際、機微な情報は適当に定めた信頼境界から外に出さないように運用して、情報漏洩などの被害が起きないよう
Appleは日本時間6月11日より開催する「WWDC24」において、「iOS 18」や「macOS 15」などの次期OSを発表する見込みですが、BloombergのMark Gurman氏によると、「iOS 18」や「macOS 15」には新しい「パスワード」アプリが導入されることが分かりました。 「パスワード」アプリは、「1Password」や「LastPass」のようなサードパーティ製パスワード管理アプリの代替となるもので、iPhone、iPad、Macユーザーが保存されているログイン情報にアクセスするためのよりシンプルな方法が提供されます。 AppleのOSには既にパスワード機能は組み込まれていますが、「設定」アプリに隠された状態となっている為、慣れていないユーザーにとっては少し見つけにくくなっています。 「パスワード」アプリには、Webサイトのログインとパスワード、Wi-Fiネット
サーバーセキュリティ構成の話 - Chienomi
序 最近、安易に建てられた危険なサーバーが増えているため、サーバーセキュリティを鑑みた基本的な設定や構成はどういうものかという話をする。 本記事では具体的な設定や構築を説明するが、環境や前提、用途などもあるため、これを真似すれば安全ということではない。 セキュリティは銀の弾丸があるわけではなく、全ての要素を合わせて考えたア上での最適を導かねばならない。それがセキュリティの難しいところでもある。 本記事はセキュリティが未熟だと自認する人にとっては参考になる内容だと思うが、どちらかというと、本記事の内容が当たり前に「すでに理解できている内容」になっていない人は、サーバーを建てるべきではない(危険な未熟の段階である)ということが重要であり、各々が自身の技量を測る指標として使ってもらえればと思う。 宣誓の儀 「サーバーを破られるということは、すなわち犯罪に加担するということである」 この言葉をしっ
認証に電話網を使うのはそろそろやめよう
こんにちは、Azure Identity サポート チームの 高田 です。 本記事は、2020 年 11 月 10 日に米国の Microsoft Entra (Azure AD) Blog で公開された It’s Time to Hang Up on Phone Transports for Authentication の抄訳です。新着記事ではありませんが、以前より繰り返し様々な記事で参照されており、多くのお客様にとって有用であるため抄訳しました。ご不明点等ございましたらサポート チームまでお問い合わせください。 以前のブログ パスワードで攻撃は防げない - Your Pa$$word doesn’t matter では、パスワードに潜む脆弱性を明らかにしました。加えて、「でもパスワード以外の他の認証方法も侵害される可能性あるでしょ」という無数の DM や E メールに対する答えとして
ブクマカが以下のようにドヤってたから訴状見てみたけどさ ・西村博之はじめ「通訳が大谷の口座にアクセスできたわけがない」みたいなことを言っていた人は多いが、実際はこれ。自分の常識で世の中をはかることの危険性が浮き彫りになったね ・普段からプロスポーツの話題に接していれば代理人やマネージャーが選手の資産を持ち逃げしたみたいな話は野球に限らずそれなりに起きていることだと分かるので、「普通じゃ考えられない」なんてことはないです ・「通訳が大谷の口座にアクセスできたわけがない」って言ってた有識者の方々は単に「自分は通訳に口座にアクセスなんかさせない」って自己紹介してるだけだったんだと思うよw 盗まれた大谷の口座:x5848 MLBからの給与が振り込まれる口座エンドーストメントや投資などの収入は別の口座が使用されていた大谷はすべての口座が代理人、会計士、財務アドバイザーに管理されていると認識していた大
ここまで散々体温計付きカメラを分解してきましたが、久しぶりに面白い案件にぶち当たってしまいました。 これにどれだけの何が残ってるかまだわかんないけど、このラベルが貼ってあるガラクタを、「これが検温カメラの型番だと思ってヤフオクに出品するレベルの人間の手に渡ってる」の何かしらの問題だと思う どっかのショップ店頭の備品を誰か売ったんかな、と思ってたんだけど... https://t.co/XN1g9XVBwQ pic.twitter.com/vv8Ja9VFL5 — ひろみつ (@bakueikozo) 2023年8月8日 大元の所有者に連絡を投げたつもりですが、お盆進行なのか全然返事が来ませんね。 つまんないので、今回入手した検温カメラからどうやって画像を取り出したかを記録しておきましょう。 このカメラ、普通に立ち上げるだけで、ネットワークインターフェイスは有効化され、 192.168.1.
Steamのアカウントはほかの人に「遺産相続」できないとの報告。遺言で決めてもだめ - AUTOMATON
Steamアカウントは、遺言などでほかのユーザーに相続することができないという。海外メディアArs Technicaが伝えている。 Steamでは、購入・配布で入手したゲームはすべてアカウントのライブラリに追加される仕組みになっている。そのため出先のPCなど別のデバイスからでも、自分のアカウントにログインすれば、自分のSteamライブラリから所有するゲームなどをプレイ可能だ。 今回、このSteamアカウントを「相続」できるのかという疑問をSteamのサポートチームに問い合わせたというユーザーが現れた。ユーザーが海外フォーラムResetEraに投じた報告では、サポートとのやり取りとみられるスクリーンショットが確認できる。 Image Credit: delete12345 on ResetEra ユーザーは「もし自分が死んだ場合、遺言にもとづいてSteamアカウントを譲渡できるのか」と質問。
","naka5":"<!-- BFF501 PC記事下(中⑤企画)パーツ=1541 -->","naka6":"<!-- BFF486 PC記事下(中⑥デジ編)パーツ=8826 --><!-- /news/esi/ichikiji/c6/default.htm -->","naka6Sp":"<!-- BFF3053 SP記事下(中⑥デジ編)パーツ=8826 -->","adcreative72":"<!-- BFF920 広告枠)ADCREATIVE-72 こんな特集も -->\n<!-- Ad BGN -->\n<!-- dfptag PC誘導枠5行 ★ここから -->\n<div class=\"p_infeed_list_wrapper\" id=\"p_infeed_list1\">\n <div class=\"p_infeed_list\">\n <div class=\"
最小限で基礎的なセキュリティガイダンスである「AWS Startup Security Baseline (AWS SSB)」を紹介します | DevelopersIO
最小限で基礎的なセキュリティガイダンスである「AWS Startup Security Baseline (AWS SSB)」を紹介します いわさです。 SaaS on AWS では大きく 4 つのフェーズ(設計・構築・ローンチ・最適化)で役立てる事ができるコンテンツが提供されています。 設計フェーズでは技術面からコンプライアンスに準拠したりセキュリティベースラインを考える必要があります。 これらについてベストプラクティスが提案されている動画コンテンツがあります。 その中で初期段階で実施出来ることとして次のステップが紹介されていました。 セキュリティ周りは Well-Architected Framework や Security Hub の適用から始めることも多いと思いますが、様々な制約からすぐの導入が難しい場合もあります。 そんな方に本日は上記の中の AWS Startup Secur
2024年2月2日、Cloudflareは同社が運用するAtlassianサーバーが2023年11月に不正アクセスの被害にあっていたとして、その対応と調査結果について公表しました。ここでは関連する情報をまとめます。 CloudflareのAtlassianサーバーに不正アクセス blog.cloudflare.com 不正アクセスの被害が確認されたのは、Cloudflareが社内Wikiやバグ管理で使用していたオンプレミスのAtlassianサーバーおよびAtlassian製品。約10日間にわたって同社システムに対して攻撃者による活動が行われていた。 攻撃者は有効となっていたMoveworks用のサービストークンを悪用し、ゲートウェイ経由で認証後にAtlassian JiraとConfluenceに対して不正アクセスを行っていた。さらにSmartsheet用アカウントを使用してCloudf
Google Cloud案件を1年半程度経験してみてAWSと比較しながら違いを整理してみた - NRIネットコムBlog
本記事は 【Advent Calendar 2023】 15日目の記事です。 🎄 14日目 ▶▶ 本記事 ▶▶ 16日目 🎅 はじめに 想定している読者 一覧 まとめてみて 参考 はじめに クラウド事業推進部の小野内です。昨年5月にキャリア入社してから早1年半以上が経ちました。 入社以降、AWS、Google Cloud のデータ分析基盤の開発・運用に関わっておりますが、現在はGoogle Cloud メインでやってます。 試行錯誤の毎日ですが、Google Cloud案件をどんどん盛り上げていきたい所存です。 1年ほど前の投稿記事では、 Google Cloudの学び方について触れましたが、本記事ではGoogle Cloud案件を1年半程度経験してみて、 AWSと比較しながら、Google Cloudの主要なサービスについて、違いを整理しました。 想定している読者 AWS案件に半年以
Postman 入門
今回の記事は、2023年8月29日に開催されるPostman Meetup Fukuokaの登壇に向けて、Postmanへの感謝を伝えるために執筆した記事である。 今回の記事は、これからPostmanを実務で導入するプログラマーを対象に基本的な使い方を解説した記事になる。Postmanの専門的な使い方を知りたいならPostman Learning Centerを確認してほしい。本記事はあくまで二次情報に過ぎないので、より正確な情報を求めるならそちらを参照すること。 今回の記事では、API設計・開発で重宝するサービス「Postman」の使い方を解説する。 対象者 これからPostmanを学ぶひと 実務でPostmanを触っているひと Postmanに興味があるひと タイトルでなんとなく気になったひと Postmanとは PostmanはWeb API(以下「API」)の設計・開発、テストをサ
あけましておめでとうございます。株式会社ミツエーリンクスの中村直樹です。昨年と同じく、2023年のWebアクセシビリティに関連する出来事を振り返りつつ、2024年のWebアクセシビリティの展望について俯瞰していきたいと思います。 WCAG 2.2の勧告とWCAG 2.1の更新 長らく待ちわびていたWCAG 2.2について、2023年10月5日付けでようやくW3C勧告(Recommendation)となりました(日本語訳はまだありません。詳細は後述の「臨時WGの活動状況」を参照)。また、これと連動する形でWCAG 2.1(日本語訳)の勧告も改めて発行されました。 今回のWCAG 2.1の更新では、達成基準4.1.1構文解析に注記が設けられています。これにより、WCAG 2.2で削除された達成基準4.1.1の扱いについて連続性が保たれるようになっています。WCAG 2.1からの変更点は、公
Amazon の 2段階認証 突破の噂についての仮説 と 2段階認証で意識すること【2FA/2SV/MFA】 - Qiita
Amazon の 2段階認証(2SV)が突破された? Amazon の 2段階認証(2SV) が突破されたのではないかという件が話題になっています。 私もこれについてはとても気になっており、できるだけ早く真相が解明されることを願っています。 そこで、ふと疑問に感じたことが、2SV は何をどの程度防いでくれるのかということです。 ここでは、Amazon を例に、いろんなことを考えていきたいと思います。 フィッシングの前には無力 まず、2SVの突破と言っても様々な手口があります。 徳丸先生の動画が示す通り、中継型フィッシングであれば、自ら正しい認証情報を入力することになるので、2SVを設定していようがいまいが突破されてしまいます。 フィッシングではなく、かつ、TOTPでも突破されたケースも 今回の被害者には、中間者攻撃やフィッシングを受ける状態になかったと仰っている方がいました。 なので、何か
「偽造マイナンバー」による詐欺事件が増加 ある都議会議員が「スマートフォンを乗っ取られた」という注意喚起的なポストをXに投稿した。所持していたスマートフォンの契約キャリアを切り替えられ、身に覚えのない支払いやパスワード変更通知を受け取ったという内容だ。一連のポストによると、家族も同じ被害に遭い、ショップや当局への相談・通報などを行ったという。 本人が関知しないところで通信事業者を変更ができてしまった理由として、一体何が考えられるだろうか。 現在、スマートフォンやSIMの契約は、本人以外が行うことは非常に困難となっている。原則として店頭などで本人確認ができない限り、新規の契約はできないようになっているのだ。 その本人確認にマイナンバーカードを使うことが増えているのだが、今回の事件では「偽造したマイナンバーカードが利用されたのでは?」という推理や主張がソーシャルメディアで話されている。 実際、
こんにちは、アルダグラムのSREエンジニアの okenak です 今回は AWS ClientVPN を導入したことで、社内の運用業務の効率化とセキュリティの強化を達成した事例を紹介したいと思います。 背景 2019年の段階では社員数が12名程度だったこともあり、社内システムのアクセス制御にAWSのセキュリティグループを利用してオフィスIPやリモート接続先IPを解放することで対応を行っておりました。 2023年には社員数が80名になっており、インバウンドルールが40を超えセキュリティグループが穴だらけという状態になっており、社員数増加に伴うIP制限更新作業による管理コストの増大とセキュリティ上のリスクが問題になってきたため、AWS ClientVPNを導入することに踏み切りました。 AWS ClientVPNについて VPNに関して他社のサービスとも比較しましたが以下の点が推しポイントでし
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
茂木幹事長ら10年で億単位を「資金移動」 公開基準甘い団体に:朝日新聞デジタル
社内をパスワードレスにするため頑張った話(前編) - Qiita
Firebase Authから内製認証基盤に無停止移行して年間1000万円以上削減した
「パスキー」のユーザー体験を最適化させるデザインガイドライン、FIDOアライアンスが公開
パスワード不要の認証技術「パスキー」はパスワードよりもエクスペリエンスが悪いという批判
【訴状の内容は】水原一平容疑者 違法賭博にのめり込んだ経緯 | NHK
読み手につたわる文章 - テクニカルライティング - mochikoAsTech - BOOTH
NHKがColaboに謝罪 取材メモが批判する人物に流出していた:朝日新聞デジタル
安全なウェブサイトの作り方~失敗例~ - goruchan’s blog
日本でもSIMハイジャック発生、ついに政治家が携帯電話番号を乗っ取られる事態に - すまほん!!
政府はマイナ保険証の導入をなぜ急ぐのか?|安達和夫
SSL/TLS実践入門 ──Webの安全性を支える暗号化技術の設計思想
Figma でデザイン、そのままデモ、そのまま実装! - Qiita
GitHubに大量の悪質リポジトリ、その数“10万超” 感染するとパスワード流出の恐れ
生徒用アカウント一覧表を盗み撮りして行われた不正アクセスについてまとめてみた - piyolog
「推測されやすい」パスワードを入力させないためにフロントエンドエンジニアができること
credentialをSlackに書くな高校校歌 - freee Developers Hub
「iOS 18」や「macOS 15」では「パスワード」アプリが登場へ | 気になる、記になる…
「通訳が大谷の口座にアクセスできたわけがない」は正しかったんじゃん
素性のよくわからない検温カメラから画像を取り出す手口 - honeylab's blog
岸田派、数千万円のパーティー収入を不記載か 東京地検が把握:朝日新聞デジタル
Cloudflareの社内サーバーへの不正アクセスについてまとめてみた - piyolog
2024年のWebアクセシビリティ | gihyo.jp
「偽造マイナンバー」で増えるSIMハイジャック、個人情報を守るために“やるべきこと”
社内システムのIP制限更新作業が大変になってきたのでAWS ClientVPNを導入した話