このブラウザではFacebookを利用できませんFacebookの利用を続けるには、以下のブラウザのいずれかを入手してください。詳しくはこちら
コンピューターにパスワードを設定することは、セキュリティの観点から非常に大切なことですが、そのパスワードを失念してしまったり、前の持ち主からパスワードを聞きそびれてしまったりした場合、コンピューター内のデータにアクセスできなくなってしまう事態に陥ってしまいます。「chntpw」はWindowsのパスワードを強制リセットし、そうした事態を回避することができるコマンドです。 chntpw | Remove, bypass, unlock and reset forgotten Windows password http://www.chntpw.com/ Windowsのパスワードを忘れてしまい、誤ったパスワードを入力すると、画像のように「パスワードが正しくありません。入力し直してください。」と表示され、ログインができなくなってしまいます。 chntpwはLinux上で動作するコマンド。今回は
米Twitterが、アクティブではないアカウントの所有者に対し、12月11日までにログインしないとアカウントを削除するという警告メールを送っていると、米The Vergeなどのメディアが11月26日(現地時間)に報じた。Twitterがそれを認める声明文を各メディアに送っている。 Twitterは以前からTwitterルールとポリシーで、少なくとも半年に1回はログインしてツイートするよう推奨し、「アクティブでない期間が長期にわたると、アカウントが恒久的に削除される場合があります」としているが、実際に削除すると警告するのはこれが初という。 英BBCが掲載した警告メールの文面は「Twitterを利用し続けるためには、あなたは現在の利用規約、プライバシーポリシー、Cookie利用について承認する必要があります。承認することで、あなたがTwitterと共有する情報について最善の決定ができるだけでな
はじめに こんにちは。株式会社Flatt Securityセキュリティエンジニアの村上 @0x003f です。 本稿では、Webアプリケーション上で実装される「ログイン機能」の実装パターンをいくつか示し、その「仕様の中で起きうる脆弱性」とその対策について解説していきます。 「ログイン機能」はToB、ToC問わず多くのWebアプリケーションで実装されている機能で、XSSやSQL Injection、Session Fixationといったような典型的な脆弱性の観点については、なんらかの解説を見たことのある方も多いと思います。 しかし、「仕様の脆弱性」というのはあまり多く語られていない印象です。今回はそのようなタイプの脆弱性についての解説を行います。なお、IDaaSを用いずに自前でログイン機能を実装しているケースを複数パターン想定しています。 はじめに ログイン機能の仕様パターンとセキュリティ
SPAのログイン認証のベストプラクティスがわからなかったのでわりと網羅的に研究してみた〜JWT or Session どっち?〜JavaScriptRailsJWT認証React SPAのログイン周りについて、「これがベストプラクティスだ!」という情報があまり見当たらないので、様々な可能性を模索してみました。 いろいろな状況が想定され、今回記載する内容に考慮の漏れや不備などがありましたら是非コメントでご指摘いただきたいです!特に「おすすめ度:○」と記載しているものに対しての批判をどしどしお待ちしております! この記事でおすすめしているものであっても、ご自身の責任で十分な検討・検証の上で選択されてください。 前提 想定しているAPIは、 ログイン外のAPIにはPOST/PUT/DELETEのものがなく、GETのみ GETのAPIにはDBを更新するなどの操作がない とし、そのためログイン外では
このツイートを見て、「アプリで再ログインを頻繁要求されるってユーザビリティ良くないな。」と思ったのですが、普段裏側の仕組みは意識していなかったりテックリードの方に任せきりだったりしていたので、これを機に調べてみました。 そもそもスマホアプリ の時代、もはやauthenticationですらないと思うのよね。(何を言ってるかわからねえだろうと思うが。) — Hiromitsu Takagi (@HiromitsuTakagi) 2019年7月8日 この記事は「アプリでログインしっぱなしは、どのように実現されるの?」という疑問と調べた結果を共有するために書いていきます。 間違いや「もっとこんな仕組みが使われてるよ!」等のツッコミがあれば、どしどし貰えると助かります! 疑問1. アクセストークンという仕組みとは? 「なぜアクセストークンという概念が必要なのか?」 モバイルアプリでユーザー認証をし
フリーWi-Fiを提供しているレストランやカフェなどでは、専用のカードにネットワーク名とパスワードが記入されており、これを入力することでWi-Fiに接続することが可能となります。そんなWi-FiのSSIDとパスワードが書かれたカードを手軽に作成できるサービスが「WiFi Card」です。Wi-Fiのネットワーク名とパスワードを入力すると自動生成されるQRコードをスマートフォンなどのカメラで読み取れば、面倒なパスワード入力作業なしで、簡単にWi-Fiにアクセスできるようになります。 WiFi Card https://wificard.io/ 使い方はとても簡単で、WiFi Cardにアクセスすると2つのテキストボックスがあるので、ここにWi-Fiのネットワーク名とパスワードを入力すればOK。今回は架空のネットワーク名として「GIGAZINE_Net」、架空のパスワードとして「HOGEhog
どうも、まさとらん(@0310lan)です! 今回は、誰でも無料で使える天気予報APIを提供してくれるWebサービスをご紹介します! 面倒なユーザー登録やAPIキーの設定などが不要で、欲しい天気情報のパラメータを含めたURLを好きなように構成するだけで簡単にJavaScriptから制御できるのが特徴です。 日本はもちろん、世界中の詳細な天気情報を取得できるのでご興味ある方はぜひ参考にしてみてください! 【 Open-Meteo 】 ■「Open-Meteo」の使い方 それでは、「Open-Meteo」をどのように使えばいいのか詳しく見ていきましょう! 「Open-Meteo」が提供する天気予報APIを利用するにあたり、何か特別な登録や申請は必要ありません。もっと言えば、ユーザー登録も不要でAPIキーもありません。 非営利プロジェクトであれば誰でも自由に使うことが可能で、以下のエンドポイント
サマリとある通販サイトにて「 メールアドレス・パスワードを保存する」機能がありますが、サイトにクロスサイトスクリプティング(XSS)脆弱性がサイトにあると生のパスワードが漏洩する実装となっています。本稿では、この実装方式を紹介し、なぜ駄目なのか、どうすべきなのかを紹介します。 記事の最後にはセミナーのお知らせを掲載しています。 はじめに家人がテレビを見ていて欲しい商品があるというので、あまり気は進まなかったのですが、その商品を検索で探して購入することにしました。「気が進まない」というのは、利用実績のないサイトはセキュリティが不安だからという理由ですが、この不安は的中してしまいました。 最初の「えっ?」はパスワード登録のところでして、パスワードを再入力する箇所で「確認のためもう一度、コピーせず直接入力してください」とあるのですよ。私は乱数で長く複雑なパスワードを入力しかけていたのですが、コピ
RR @RR_IT_Learn 情シスのヤバい話。 あるいは、常識少なめツッコミ所マシマシな話。 (特定を避けるため、一部改変しています。が、空気は変わっていない筈) RR @RR_IT_Learn はじまりはGW明けの、情シス(社内IT)への問い合わせ電話だった。 「パソコンにログインできなくなった」 担当者は語る。 「原因はどうあれ、ありがちな案件だと思った。ーー最初は」 しかし、アカウント情報を見て仰天した。 入社が2021年4月1日 退社が2021年4月上旬 既にアカウントは停止済み。 RR @RR_IT_Learn 「いや、貴方、退職してますね?ログインできないじゃなくてパソコン返却して?」 混乱しながらも担当は言った。 しかし相手はヤバかった。 「これは会社から貰ったんだから自分に権利がある、引き渡せとか脅迫やめて使えるようにしろ」 オマエハナニヲ言ッテルノカシラ? RR @R
2023年4月10日(月)12:36 追記 現在も引き続き、Twitter連携機能とTwitterログインがご利用いただけない状態が継続しています。 また、すでにお知らせした内容に加え、 ツイートをブックマークした際にタイトル等の取得に失敗する という不具合も発生しています。 ご利用の皆様にはご不便をおかけしており、誠に申し訳ありません。 これらの事象は、従来はてなで利用していたTwitter社の提供するAPIが、何らかの理由により利用できなくなったことに起因して発生しています。 現在詳細な原因の調査ならびにTwitter社への問い合わせなどの対応を進めておりますが、現時点で引き続き復旧の目処は立っておりません。 早期復旧の目処が立たないことから、現在、Twitterに関連する各種機能の代替となる機能や手段を提供すべく準備を進めております。 まずはご利用いただくケースも特に多いと考えられる
Twitterの新CEOイーロン・マスクが、休眠アカウント約15億を近日中に削除し、名前を開放することを明らかにしました。 使いたかったユーザー名 (@のうしろの部分)が休眠アカウントに先取されていて残念だった場合には取得のチャンスであると同時に、アカウントを長い期間使っていなかった場合は削除されてしまう可能性があります。 イーロン・マスクによれば、削除されるのは「年単位でログインがなくツイートがないアカウント」 “ These are obvious account deletions with no tweets & no log in for years” と自明のアカウント削除と表現していることから、「作られた時から」ひとつもツイートがなく、何年もログインがない空アカウントの意味と思われますが、「何年もツイートやログインがない」アカウント、つまりかつては使われていたものの数年前から
SBI証券は顧客アカウントへの不正ログインにより9,864万円の顧客口座の資産が外部へ流出したと発表しました。資産流出には不正に開設された銀行口座も悪用されました。ここでは関連する情報をまとめます。 SBI証券の発表 悪意のある第三者による不正アクセスに関するお知らせ なりすまし口座を使った犯行 不正利用の手口(SBI証券発表情報よりpiyokango作成)SBI証券からの流出は以下の手口で送金まで行われてしまった。 SBI証券の顧客アカウントに不正ログイン。 偽造した本人確認書類を用いて銀行でSBI証券と同名義の口座を開設。 顧客アカウントが保有する有価証券を売却。出金先銀行口座を不正口座に設定変更。 売却した資金を不正口座に送金。送金された金を引き出し。 約1億円が流出 SBI証券が2020年9月16日時点で把握している被害は顧客数6人、総額9,864万円。1件当たり数百~3,000万
中国のメディアやゲーム産業を管轄する国家新聞出版署は12月22日、「网络游戏管理办法(オンラインゲーム管理弁法)」を草案として公表した。1月22日まで一般の意見が募られるとのこと。 今回公表されたオンラインゲーム管理弁法では、オンラインゲームの規制を強化する狙いとして全64条におよぶ法案が記されている。なかでも注目されているのは第18条で、ゲームの遊びすぎや大量課金を規制する内容になっている。毎日のログインや初回ログイン、連続ログインなどに向けた報酬を設定してはならないという。さらにすべてのオンラインゲームは課金の限度額を設定してサービス規約で公開しなければならず、ユーザーが“不合理な課金”をおこなった際にポップアップウィンドウで警告をおこなう仕組みを用意する必要もあるという。 中国ではかねてより未成年者のオンラインゲームへの依存を予防するための規制がおこなわれてきた。たとえば2021年に
LINEがオープンソースで「LINE FIDO2 Server」公開。パスワード不要でログインできる「FIDO2/WebAuthn」を実現 LINEは、スマートフォンやPCの指紋認証や顔認証などを用いることでパスワード不要でログイン処理を可能にする標準技術「FIDO2」や「WebAuthn」に対応したサーバ「LINE FIDO2 Server」をオープンソースで公開しました。 これにより、さまざまなWebアプリケーションやモバイルアプリケーションなどでFIDO2/WebAuthnを利用したログインが容易に実装できるようになることが期待されます。 LINE Security R&DチームがFIDO2認証標準を実装したFIDO2 ServerをOSSとして公開しました。 FIDO2-Serverは、FIDO2の登録と認証の主要部分を提供します。さまざまなWebブラウザとOSプラットフォーム、お
Yahoo! JAPAN は日本にて検索やニュースといったメディアサービス、e コマース、メールサービスなど、100を超えるサービスを提供している企業です。これらのサービスで利用するためのユーザーアカウントも長年提供し続け、月間のログインユーザーは 5,000 万を超える規模となっています。しかし、このユーザーアカウントを提供する中で、ユーザーアカウントに対しての攻撃を継続的に受けており、また、アカウントを継続利用する上での課題についてユーザーから問い合わせも多く頂いていました。これらの課題の多くはパスワードという認証手段に依存するものでした。また、当時、技術的にもパスワード以外の認証手段を提供するための機能やデバイスの普及が始まりつつありました。こういった背景のもと、Yahoo! JAPAN はパスワードによる認証からパスワードレスな認証へ移行すると判断しました。 なぜパスワードレスか
みずほのインターネットバンキング「みずほダイレクト」を巡るトラブルがTwitter上で話題になっている。声優の民安ともえ(@tammy_now)さんは10月26日、みずほダイレクトが突然利用できなくなったと投稿。口座の凍結は不正利用の可能性を検知したためだったが、疑いが払拭された後のみずほ側の対応に疑問を感じたという。 民安さんのツイートによると、26日にみずほから「重要なことなので電話します」と記載されたメールが届いたという。その後、みずほダイレクトのアプリを開いたところ「この口座は使えなくなりました。詳しくはサポートデスクにお問い合わせください」と表示され、アプリが利用できない状態になった。 みずほに電話で問い合わせしたところ「不正利用の疑いを検知したため、緊急でインターネットバンキングのサービスを止めた。後ほど電話をするのでそれまで待っていてほしい」と話を受けたという。その後、みずほ
Development Division/Platform Team/Sys-Infra Unitの伊豆です。Sys-Infra Unitはインフラエンジニア・SRE 的な役割を担っています。 今回は、ある日突然SSHログインが遅くなったときに調査した内容を共有します。 SSHログインに数分かかる ある日、AWS EC2上で動いている開発環境のSSHゲートウェイにSSHログインすると30秒以上かかると報告がありました。-vvvオプションを指定してSSHログインしてみるとpledge: filesystemというログが出力された後、数十秒から数分程度かかってSSHログインが成功する状況でした。 pledge: filesystemやssh slowなどで検索してみると、主に以下のような対処法が挙げられていましたがどれを試しても状況は改善されませんでした。 systemd-logindを再起動
ritouです。 いよいよドコモさんもパスキー対応が始まりましたね!いや、これを書いている時点ではまだです。 k-tai.watch.impress.co.jp それよりも、今回はマネーフォワード IDのパスキー対応に注目します。 corp.moneyforward.com (4/5追記) マネーフォワード側からも解説記事が出ていました。この記事で言いたいことが全部書いてあります。 moneyforward-dev.jp ブラウザのパスワードマネージャー機能を利用したパスワード認証のUX パスキー対応に触れる前に、マネーフォワードIDのパスワード認証のUXから見ていきましょう。 マネーフォワードの「メールアドレスでログイン」のフローを何も考えずに使うと、最初にメールアドレスを入れてからパスワード入力を求めるUXになっています。 このようなUXでブラウザのパスワードマネージャーの機能を使う場
SPAのアプリケーションで、外部のIdPを使ってOpenID Connect によるログイン機能を開発しようと考えています。IDトークンの保存先として、ブラウザのCookieかサーバーのDBに保存するかの2つの案があると思っています。調べた限り、サーバーサイドで持つべきという意見が多いように見えますが、以下のような背景がある中で開発しても、ブラウザのCookieでは持つべきなのではないのでしょうか? - IDトークン自体にも、個人の属性(氏名等)情報は無いことを確認している - サーバーサイドでIDトークンの署名検証をして、IDトークンの改ざんが無いか確認する - Http Only属性:JSによるCookieへのアクセスを防ぐため - Secure属性:流出防止のため - SameSite=strict:CSRF対策のため 結論から言えば、「どちらでもよい」となります。しかし、恐らく話は
Googleアカウントにログイン不要でYouTubeを広告なしでサクサクと視聴できる専用プレーヤーが「FreeTube」です。Cookieによる追跡がなくプライベートな環境でYouTubeを再生可能で、Googleアカウントにログインしなくてもチャンネル登録ができる専用ブラウザで、Windows・Mac・Linux向けが無償で配信されています。 FreeTube - The Private YouTube Client https://freetubeapp.io/ 上記リンクにアクセスしたら上部メニューの「Download」をクリックして、今回はWindows版をインストールするため「.exe(x64)」をクリックし、インストーラーをダウンロードします。 インストーラーのファイルサイズはEXE形式だと約62MB。ダブルクリックして起動します。 「次へ」をクリック。 「インストール」をクリ
みなさん、「DX」の時代ですよ! 最初に見たときはマツコ・デラックスのことかと思いましたが、正確には「デジタルトランス・フォーメーション」の略でありまして、要するに「お前らちゃんとネット使って仕事しろよ」という話であります。 「Zoom飲み会」は残業代を請求しましょう そういえば、コロナ禍が酷くなるに応じて偉い会社さんほどリアル対面をしないで会議を進める「ウェブ会議」に移行し、やれZoomだGoogle MeetsだマイクロソフトTeamsだFacebookメッセンジャーだとワイワイやっておりました。高齢者キラーでもあるコロナから逃れてデジタル化を進めたいと思っているのは、会社のお偉いさんがみんな高齢者だからなんでしょうか。使われているソフト、みんな外資系のもんばっかりやがな。 さらには、家にずっといて寂しい上司や取引先の偉い人が「Zoom飲み会」なるものを企画して、オンラインなのに飲みニ
こねこ星人(転生) @konekoseijin むかし、某大手さんにでっかいシステム開発を依頼したところ、納品されたシステムが「ユーザーIDが正しければパスワードが何でもログインできる」というお粗末さで、でもテスト結果報告書を確認したら「間違ったパスワードではログインできない」という項目がクリア済みでから... こねこ星人(転生) @konekoseijin 担当者に聞いたら、こちらがサンプルとして出したテスト仕様書のフォーマットをちょっと変えて実際にはテストもせずに全部OKにして出しましたって白状してきたっていうびっくり事案があったんだけど、システムの受け入れ側にチェック体制や知識がなかったらこういうシステムもリリースされちゃう... こねこ星人(転生) @konekoseijin どうでもいいけど、そこの営業担当がその件の謝罪もかねて一部を修正したドキュメントをメールに添付で送ってきた
by Esther Vargas Twitterは2023年2月にAPIの無料提供を終了することを発表し、有料APIへの移行を進めるために外部サービスの無料APIへのアクセスを遮断し始めています。そんな中、無料APIだけでなくTwitterアカウントを利用した外部サービスへのログインも遮断され始めていることが、ソーシャルアグリゲーションサービス・FlipboardのCEOを務めるMike McCue氏によって報告されました。 In addition to turning off their API, #Twitter has also inexplicably turned off access for users to sign in to #Flipboard and other platforms with Twitter SSO. This is an unacceptable b
「ニンテンドーネットワークID」に対する 不正ログイン発生のご報告と 「ニンテンドーアカウント」を安全に ご利用いただくためのお願い 日頃は弊社商品をご愛顧賜りまして、誠にありがとうございます。 この度、何らかの手段で弊社サービス以外から不正に入手したログインIDとパスワード情報を用いて、4月上旬ごろから「ニンテンドーネットワークID(※1、以下NNID)」に、なりすましログインを行ったと思われる現象が発生していることを確認いたしました。 また、このなりすましログインを利用し、NNID経由で一部の「ニンテンドーアカウント」に不正にログインされた事象があることも確認いたしました。 そのため、本日NNIDを経由してニンテンドーアカウントにログインする機能を廃止いたしましたのでお知らせいたします。 また、不正ログインされた可能性があるNNIDやニンテンドーアカウントに対し、順次パスワードリセット
2023年1月18日、警視庁葛西署は、不正アクセス禁止法違反の容疑で男を逮捕したと発表しました。男は複数の女性のインスタグラムアカウントへ不正ログインした疑いがもたれています。ここでは関連する情報をまとめます。 60人以上のインスタアカウントに不正ログインか 逮捕は2023年1月16日で不正アクセス禁止法違反、私電磁記録不正作出・同供用の容疑。2020年8月から2022年10月にかけて、自分のスマートフォンなどを使い面識のない東京、埼玉、神奈川などに住む女性9人のインスタグラムアカウントに対して59回にわたり 不正にログインを行い、個人情報をのぞき見たり、本人になりすましメッセージ送信を行うなどをした疑いがある。*1 男は不正ログイン後にアカウントのパスワードや登録された電話番号の変更を行っていたとみられ、2020年8月に被害に遭った女性の一人がアカウントにログインできないと警察へ相談した
先日だれでもAIメーカーというWebサービスをリリースしました。このサービスは例によってOpenAI APIを使っており、トークンの使用量がランニングコストに大きく影響します。 また、気軽に使ってもらえるよう未ログインでも使用できる仕様にしているため、気をつけないと悪意のある人に大量にトークンを使用されてしまう可能性があります。 ノーガードだとどうなるか 例えば、POST /api/askという「リクエストbodyのpromptの値を取り出し、OpenAI APIのChat Completionsに投げる」という単純なエンドポイントを作ったとします。 「未ログインでも使ってもらいたいから」と認証を一切しなかった場合どうなるでしょうか? 悪意のある攻撃者に見つかれば、promptを上限ギリギリの長さの文章に設定したうえで、/api/askに対してDoS攻撃するかもしれません。 トークンを大量
こんにちは、後藤です。今回はAWS構成における踏み台についての記事です。 データベースなどのインターネットに繋げたくないリソースに踏み台リソース経由でアクセスさせることは、セキュリティ設計としてよくある構成だと思います。 今回はその踏み台リソースに「ユーザーログイン有無を検知して自動停止する」ロジックを組み込んだ方法を共有します。 また、一般的によく用いられるのはEC2だと思いますが、今回はECS on Fargate(以降はFargateと略)を使います。しかも自動停止ロジックにLambdaを使いません!!コンテナの中で完結させます。 踏み台を設計する時に気になること そもそも踏み台について設計する際に何が気になるのでしょうか。それはOS管理負担と自動停止です。 踏み台にEC2を用いるとOSパッチ適用などの運用コストが発生します。業務系サーバでないのに心労が重なるのはなるべく避けたいとこ
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く