Argo Tunnel Client(cloudflared)をngrokの代替として使う cloudflaredというArgo Tunnelクライアントを使えば、ngrokのようにローカルサーバを外部に公開することができる。 # localhost:8080 を公開する。実行後に表示されるURLを使ってどこからでもアクセスできる。 cloudflared tunnel --url http://localhost:8080 これだけならばわざわざ乗り換える理由にはならないが、ngrokでは有料でしか使えない機能も無料プランで使える。 カスタムドメインの割り当て SSOによる認証 TCPのプロキシ セキュアでDDNSのいらないVPNの構築 例えば個人で自宅にVPNの環境を作る場合、ルーターのVPN機能を使うか、VPNサーバを立ててDDNSでドメインを自宅のグローバルIPに紐付けるといったや
Sophosは8月22日(英国時間)、「Qilin ransomware caught stealing credentials stored in Google Chrome – Sophos News」において、ランサムウェア「Qilin」による侵害を調査する中で、Google Chromeに保存された認証情報を大量に窃取する攻撃を確認したと伝えた。2024年7月に確認されたこの事案では、Active Directoryのドメインコントローラからグループポリシーオブジェクト(GPO: Group Policy Object)を使用して悪意のあるスクリプトをドメイン参加端末すべてに配布して実行したとされる。 Qilin ransomware caught stealing credentials stored in Google Chrome – Sophos News 侵害経路 初期ア
AWS SESで信頼性の高いメール送信(SPF, DKIM, DMARC) with Terraform - 電気ひつじ牧場
メール認証の仕組みと、SESでのTerraformを使った設定方法について紹介します。 メール認証の種類 メールメッセージ MAIL FROM FROM SPF(Sender Policy Framework) DKIM(DomainKeys Identified Mail) DMARC SESの設定 SESで利用するドメイン認証 DKIM設定 DMARC with DKIM DMARC with SPF 参考 メール認証の種類 メールでは送信元のなりすましを検出するための認証の仕組みとして、主に以下の3つがあります。それぞれRFCで定められています。 SPF(Sender Policy Framework) DKIM(DomainKeys Identified Mail) DMARC(Domain-based Message Authentication, Reporting, and
Note 本記事は、2018 年公開の以下の Blog の内容が、現在の機能/技術にマッチしない内容になってきたことを踏まえ、2023 年現在の機能/技術を元に改めて考え方をおまとめしたものとなります。以前に公開した Azure AD が発行するトークンの有効期間について (2018 年公開) の記事は参考のためそのまま残し、新しく本記事を執筆しました。 こんにちは、Azure & Identity サポートの金森です。 Azure AD (AAD) は、Microsoft 365 をはじめ様々なクラウド サービスの認証基盤 (Identity Provider / IdP) として利用されています。その重要な機能としてユーザーの認証が完了したら、アプリケーションに対してトークンを発行するというものがあります。あるサービス (Teams や Exchange Online、他に Azure
Apple Watchの「家庭用心電計プログラム」と「家庭用心拍数モニタプログラム」が日本の医療機器承認・認証を取得
公益財団法人医療機器センターの登録情報に、AppleのApple Watchに搭載されている「家庭用心電計プログラム」(承認・認証番号:30200BZI00020000)と「家庭用心拍数モニタプログラム」(承認・認証番号:30200BZI00021000)が医療機器承認・認証を取得したと掲載されていると、お茶の水循環器内科が伝えている。 外国特例承認で、両方とも医療機器のクラス分類はクラスIIとなっている。 お茶の水循環器内科では、医療機器承認・認証を受けて、不整脈の発作時の記録を基に、不整脈の疑いの評価、さらなる精密検査の必要性、治療の必要性等の相談を受けるApple Watch外来を開始するそうだ。
Vue.jsを使用して、Webページやスマホアプリでよく使用されるフォームを簡単に実装できるVue Formulateを紹介します。 サインアップ、ログイン、メールアドレス、ファイルのアップロード、アンケートなど、さまざまなフォームをサポートしており、バリデーション機能も備えています。 Vue Formulate Vue Formulate -GitHub Vue Formulateの特徴 Vue Formulateのデモ Vue Formulateの使い方 Vue Formulateの特徴 Vue Formulateは、Vue.jsを使用してフォームを構築する最も簡単な方法です。主な機能は、フォームとフィールドの検証、ファイルのアップロード、フォームの生成、ラベルをサポートする単一要素の入力、ヘルプテキスト、エラーメッセージ、プレースホルダーなど、さまざまなプロジェクトで使用するための包
いつの世も人々は権限設計に苦しめられている。そうは思いませぬか。 ご多分にもれず、ぼくも note に入ってからというもの AWS の権限設計をどうしてやろうかと、あれこれ思い悩みまくった人間でした。 組織が変われば権限も変わる。誰が何をしたいのかなんてとても把握しきれないし、かといって全員に Administrator を割り振るような豪胆さも持ち合わせておらず。組織再編が繰り返される中で、なんとか運用に耐えうる設計を考え、実装しようと試みた内容をまとめたのがこの note です。 note 社における AWS 権限設計の変遷と、その結果生まれた自動で AWS の権限を払い出す仕組みについて書いていきます。 ※この記事はnote株式会社 Advent Calendar 2022 の 25 目の記事です。 注意事項つらつらと書き連ねていたら 12,000 字超の大作 note となってしま
認可のベストプラクティスとDDDでの実装パターン
最近、少々複雑な権限機能の開発を担当している中で、対応方針を悩んでいたことがありました。 権限機能というものは取り扱いが難しく、影響範囲が広いにも関わらず、対応漏れや考慮不足があると情報漏洩に繋がってしまいます。 また、機能拡張をしてく中でも対応漏れを起こさないようにする必要があるなど、考えることも多く頭を悩ませておりました。 そこで、認可処理の設計のベストプラクティスやDDDの実装パターンに認可処理を組み込む方法など、色々と調べていたのですが、その中でいくつか知見を得られたのでまとめようと思います! 権限と認可 権限と切っては切れない関係にあるのが認可です。 権限はある操作を実行できる権利を指します。 それに対して、認可は操作を実行する許可を出すため仕組みのことを指します。 例えば、ブログ投稿サービスで考えてみると、以下のような感じです。 権限: 投稿者はポストを編集できる。 認可: ユ
ユーザーごとに異なるデータを提供するため、ログイン機能を搭載しているウェブサイトは多数存在します。しかし、ユーザー側はウェブサイトに搭載されたログイン機能の「認証方式」まで気にすることはあまりないはず。そんなウェブサイトの認証方式について、代表的な6つの方式をエンジニアのAmal Shaji氏が解説しています。 Web Authentication Methods Compared | TestDriven.io https://testdriven.io/blog/web-authentication-methods/ ◆ベーシック認証 HTTPの中に組み込まれているベーシック認証は、最も基本的な認証方式です。ベーシック認証に暗号化機能はなく、Base64でエンコードされたユーザーIDとパスワードをクライアントからサーバーに送信するとのこと。 認証フローはこんな感じ。まずクライアントはサ
","naka5":"<!-- BFF501 PC記事下(中⑤企画)パーツ=1541 -->","naka6":"<!-- BFF486 PC記事下(中⑥デジ編)パーツ=8826 --><!-- /news/esi/ichikiji/c6/default.htm -->","naka6Sp":"<!-- BFF3053 SP記事下(中⑥デジ編)パーツ=8826 -->","adcreative72":"<!-- BFF920 広告枠)ADCREATIVE-72 こんな特集も -->\n<!-- Ad BGN -->\n<!-- dfptag PC誘導枠5行 ★ここから -->\n<div class=\"p_infeed_list_wrapper\" id=\"p_infeed_list1\">\n <div class=\"p_infeed_list\">\n <div class=\"
Auth0のアクセストークンをLocal Storageに保存するのは安全?メリット・デメリットをin-memory方式と比較して検討する - Flatt Security Blog
※追記: 本記事の続編としてin-memory方式からアクセストークンを奪取するPoCを下記記事で公開しました。ぜひあわせてご覧ください。 はじめに こんにちは。 セキュリティエンジニアの@okazu-dm です。 この記事では、Auth0のSPA SDKでアクセストークンのキャッシュを有効化する際の考慮ポイントについて紹介し、それを切り口にアクセストークンの保存場所に関してin-memory方式とlocalStorage方式の2つについて解説します。 Auth0のようなIDaaSは昨今かなり普及が進んでいると思いますが、Flatt Securityの提供するセキュリティ診断はAuth0に限らずFirebase AuthenticationやAmazon CognitoなどのIDaaSのセキュアな利用まで観点に含めて専門家がチェックすることが可能です。 ご興味のある方は是非IDaaS利用部
Firebase AuthなどJavaScriptでAPIセッション用のトークンを得ることについて - Qiita
ちょっとでもセキュリティに自信がないなら、 Firebase Authentication を検討しよう (※ こちらの参照記事の内容自体に不備があるとか甘いとか指摘するものではないんですが、勝手に枕として使わせてもらいます) 上記記事は、Firebase Authenticationが提供するJavaScript APIを使ってJWTのトークンを取得し、自前のサーバにHTTPのヘッダで送りつけて検証をさせることで、認証の仕組みをセキュアかつかんたんに実現しよう、という内容です。 このようにJavaScriptのAPIでトークンを発行して自前バックエンドのAPI認証につかう方法はAuth0のSDKなどでも行われていますので、IDaaSをつかってSPAを開発する場合には一般的なのかもしれません。 話は変わりますが、SPAの開発に携わっている方は「localStorageにはセッション用のトー
【読売新聞】 自動車・二輪車メーカー5社による量産に必要な認証「型式指定」の不正申請に絡み、国土交通省が、トヨタ自動車で判明した不正行為6事例について、国の基準だけでなく日韓や欧州を含む62か国・地域が採用する「国連基準」にも反する
Twitterは無料APIへのアクセスを遮断するだけでなくTwitterアカウントを利用した外部サービスへのログインも無効化している
by Esther Vargas Twitterは2023年2月にAPIの無料提供を終了することを発表し、有料APIへの移行を進めるために外部サービスの無料APIへのアクセスを遮断し始めています。そんな中、無料APIだけでなくTwitterアカウントを利用した外部サービスへのログインも遮断され始めていることが、ソーシャルアグリゲーションサービス・FlipboardのCEOを務めるMike McCue氏によって報告されました。 In addition to turning off their API, #Twitter has also inexplicably turned off access for users to sign in to #Flipboard and other platforms with Twitter SSO. This is an unacceptable b
首からジャラジャラと垂れ下がる身分証、スッキリさせます――。河野太郎・規制改革担当相と小泉進次郎環境相が16日の閣議後会見でそんな発表をした。環境省の職員が立ち入り検査で使う多数の身分証について、愛知県から改善を求める声が河野氏のもとに届き、ひとつにまとめたという。今後、ほかの省庁や自治体でも、統合の動きを広めたいとしている。 統合したのは、環境省の45種類の身分証。これまで温泉法や自然公園法、大気汚染防止法、浄化槽法など各法令に従って身分証が1枚ずつ発行され、検査時に身につける必要があった。 小泉氏は会見で、愛知県の職員からウェブ会議で実態を聞いたことを紹介。これまで必要だった多数の身分証を手に、「なんと愛知県は25枚どころか1人で33枚、こういう方がいたそうだ。発行の事務作業が大きく軽減されることを非常に喜んでもらった」と胸を張った。 さらに「こういったモデルが次の風穴につながっていけ
いまだに大事なことはハガキで届くんだよな。 ワクチンの接種券とか年金のなんたらかんたらのお知らせとか。 この部分って不動なのか? 郵便に変わるようなオフィシャルな電子的な仕組みというのは出来ないものなのだろうか?
2024年6月21日にデジタル庁からデジタル認証アプリの発表がありました。 このデジタル認証アプリで何ができるのか、ざっくり整理してみました。 この記事で対象としている方 デジタル認証アプリの概要についてざっくり理解したい方 デジタル認証アプリについて今北産業してほしい方 この記事では技術的な話はなるべく避け、全体像を整理していきます。 技術的な話を理解したい方は、参考リンクより他の方が書かれた記事を参照してみてください。 「デジタル認証アプリ」はどんなものか? 「デジタル認証アプリ」は、マイナンバーカードを使った認証や署名を、安全に・簡単にするための、デジタル庁が提供するアプリです。 (デジタル認証アプリサービスサイトより引用) デジタル認証アプリは、デジタル庁が提供するデジタル認証アプリサービスAPIと組み合わせて1つのサービス(デジタル認証アプリサービス)を構成しています。デジタル認
Amazon SESとAmazon Route 53によるDKIM, SPF, DMARCの設定 - DMARCパラメータの概要と設定例 - - NRIネットコムBlog
小西秀和です。 2024年2月1日以降、Gmailでは迷惑メール削減を目的として、Gmailアカウントにメール送信する送信者は送信元アドレスのドメインにDKIM(DomainKeys Identified Mail)、SPF(Sender Policy Framework)の設定が必要となりました。 また、Gmailアカウントに1日あたり5000件以上のメールを送信する場合にはDMARC(Domain-based Message Authentication, Reporting, and Conformance)の設定も必要となっています。 参考:Email sender guidelines - Google Workspace Admin Help このような事情から最近再びDKIM, SPF, DMARCの設定に関する話題が多くなっていたので、今後の新規ドメインによるメール送信も考
Twitterくん、お前正気か?
検証用に作ってあったTwitterアカウントを削除したのだが ・セキュリティトークン(YubiKey)の二段階認証 ・アプリの時間式ワンタイムパスワードの二段階認証 を、設定してあった。 さて、このアカウントを削除すると [Twitterの2要素認証がオフになりました] ってメールが来る。 まさかなぁ・・・と思ってIDとパスワードでログインしたら「アカウント削除処理したけど復活させるか?」って出てくるのよ で、アカウント復活させるとDMとかツイートとか全部見えるの。 勿論「二段階認証は解除されてる」 いや、Twitterくんお前マジでなんでこういう実装した!? ========================= 分かってくれてる人もいるけど、一応補足しておくと二段階認証を設定されているアカウントで、削除の操作を行った時点で二段階認証の設定が削除。 そのため、IDとパスワードでログインすれば
パスキーとは--パスワードに代わる認証方法の基礎
おそらく、読者の皆さんも多くのパスワードを使っているはずだ。 パスワードマネージャーの助けを借りたとしても、パスワードはほとんどの人にとって、ますます大きな負担になっている。 p455w0rd123のようなばかげたパスワードを設定して、使い回すことのできた時代は、とっくに終わっている。現在では、すべてのオンラインアカウントを、複雑で一意のパスワードによって保護する必要がある。 さらに、多数のパスワードの1つが侵害された場合に備えて、常に警戒しておかなければならない。 もっと良い解決策が必要だ。実は、パスワードよりも優れた解決策が存在する。 それはパスキーだ。 パスキーとはどんなものなのか パスキーは、ウェブサイトとアプリの認証手段である。Appleが2022年6月に「iOS」と「macOS」でパスキー(同社の独自規格ではなく、普通名詞である)のサポートを追加したことで、広く知られるようにな
「Amazon.co.jpを不正利用された」──X(元Twitter)では9月上旬からそんな投稿が相次いでいる。「Amazonギフトカードを大量購入された」「二段階認証を設定していたのに、それを突破された」などの報告が上がっている。 Xでは「(アカウントに)二段階認証を設定していたにもかかわらず不正アクセスされ、Amazonギフトカードを大量に購入された」と被害を訴える声が多く見られる。特に話題になっているユーザーの投稿によると「注文履歴を非表示にされ、不正利用に気が付かないままクレジットカードの請求が来た」と語っている。 このユーザーがAmazonのサポートに問い合わせしたところ「同様の案件が多発している」「現状では手口が分からないのでどうやって侵入してるのか調査中」などと返事があったという。その後、被害額は全て返金してもらったとしている。 Amazonではサイバーセキュリティ対策の一環
サーバサイドでJWTの即時無効化機能を持っていないサービスは脆弱なのか? - くろの雑記帳
きっかけ 昨年(2021年9月ごろ)に徳丸さんのこのツイートを見て、「2022年にはJWTを用いたセッション管理に代表される、ステートレスなセッション管理は世の中に受け入れられなくなっていくのだろうか?」と思っていました。 OWASP Top 10 2021 A1に「JWT tokens should be invalidated on the server after logout.」(私訳:JWTトークンはログアウト後にサーバー上で無効化すべきです)と書いてあるけど、どうやって無効化するんだ? ブラックリストに入れる?https://t.co/bcdldF82Bw— 徳丸 浩 (@ockeghem) 2021年9月10日 JWT大好きな皆さん、ここはウォッチしないとだめですよ。これがそのまま通ったら、ログアウト機能でJWTの即時無効化をしていないサイトは脆弱性診断で「OWASP Top
LINE株式会社は、2023年10月1日にLINEヤフー株式会社になりました。 LINEヤフー株式会社のコーポレートサイトはこちらです。 当ページに記載されている情報は、2023年9月30日時点の情報です。 1. 概要 2020年2月、LINEのアカウントに対して複数の不正ログインの試みが発生し、約4千名を超えるLINEアカウントが不正ログインの被害を受け、ユーザーの意図に反するメッセージやタイムライン投稿が行われていることを確認しております。 ユーザーの皆さまからの通報内容をもとに調査したところ、これらのメッセージ及びタイムライン投稿の内容は、購買誘導をするためのスパムの他、LINEのアカウントの恒久的な乗っ取りを目的としたフィッシング詐欺のためのURLが含まれておりました。 当社では引き続き、被害の拡大防止のための対応を行っておりますが、現在、LINEの機能やメールを通じたフィッシング
AWSで”最小権限の原則”を実現するための考え方 /20240722-ssmjp-aws-least-privilege
ssmonline #43 での発表資料です。 (運用設計ラボ合同会社 波田野裕一)
2022年4月16日(日本時間)にアナウンスがあった、Heroku/Travis-CIのOAuthトークンの流出および悪用を受けて、ユーザーとしてやっておくといいことをまとめました。 GitHubのOrganizationのオーナー向けと個人向けで分けてあります。 追記: 複数の補足のコメントを頂き、記事にも取り込んでいます。ありがとうございます! 注意 執筆者はGitHub, Heroku, Travis-CIの専門家ではありません。この記事は誤っている可能性があります。 この記事は現在調査中の問題について書かれています。最新情報は必ず公式サイトをご確認ください。 GitHub Heroku Travis CI インシデントの概要 GitHubがHerokuとTravis-CIのOAuthアプリケーションに発行したトークンが流出・悪用したことで、それらの連携が有効だった多くのOrgani
オニギリペイのセキュリティ事故に学ぶ安全なサービスの構築法 (PHPカンファレンス2019)
PHPカンファレンス2019「オニギリペイのセキュリティ事故に学ぶ安全なサービスの構築法 」のスライドです。Read less
Twitterのショートメールを使った2要素認証が2023年3月20日以降は有料に、無料のまま2要素認証を有効にする方法は?
Twitterはアカウントのセキュリティを強化するための方法として2要素認証(2FA)を提供しています。2FAでは「ショートメール」「認証アプリ」「セキュリティキー」の3つのいずれかを使って認証を行うこととなるのですが、このうちショートメールを使ったものを有料化するとTwitterが発表しました。 An update on two-factor authentication using SMS on Twitter https://blog.twitter.com/en_us/topics/product/2023/an-update-on-two-factor-authentication-using-sms-on-twitter Twitter to charge for SMS-based two-factor authentication - 9to5Google https://
トヨタ自動車は、グループの豊田自動織機が生産するディーゼルエンジンで認証取得の不正があったとして、このエンジンの供給を受ける国内向けの6車種を含む合わせて10車種の出荷を停止することを決めました。 発表によりますと、トヨタ自動車のグループの豊田自動織機が生産する自動車用のディーゼルエンジン3機種で、認証手続きに必要な出力試験の違反行為が見つかったということです。 これを受けてトヨタ自動車は、このエンジンの供給を受ける国内向けの6車種を含む合わせて10車種の自動車の出荷を停止することを決めました。 対象はランドクルーザー300や、ハイエース、ハイラックスなどが含まれています。 国内向けの6車種のうち4車種は国内の工場で生産していて、トヨタ自動車は、4つの工場の6つの生産ラインで29日夕方から2月1日まで生産を停止することを決めました。 4つの工場は、「トヨタ車体」の ▽愛知県刈谷市にある富士
Nuxt.js+Firebaseの認証・認可を実装した雛形プロジェクトを公開しました - Qiita
この記事について NuxtとFirebaseを使って、これまでいくつかサービス開発をしていますが、認証/認可の実装はどのサービスでも毎回同じようなコードを書いている気がします。 サービスとしてのコア部分ではないですが、センシティブな部分なのでしっかりと調べながら実装すると結構大変ですよね(毎回時間がかかってしまいます)。 ここ最近のサービスはNuxt +Firebaseで開発することが多く、認証 / 認可のコードベースのTipsが貯まってきたので公開したら需要あったりするのかな? サンプルになりそうなプロジェクト見当たらないし、コアな部分ではないのであまり楽しくないし...。 雛形のプロジェクトとして需要あれば公開します👍 — フジワラユウタ | SlideLive▶️ (@Fujiyama_Yuta) June 7, 2020 自分だけではなく、いろんな人が同じような課題感を感じている
三菱電機が今年に入って2度目の不正アクセス被害の発表をしました。前回の発表は朝日新聞のスクープ記事から発覚しましたが、今回も朝日新聞のスクープ記事が出ていました。 digital.asahi.com 複数の関係者によれば16日夕方、同社が利用する外部クラウドサービスの監視システムが、通常とは異なる不審なアクセスを検知し、警告を発した。本社内でしかアクセスしないはずの管理者アカウントで、中国国内に割り当てられたIPアドレス(ネット上の住所)から接続があったためだ。 同社は不正アクセスの発生と判断し、接続を遮断した。調査の結果、社内ネットワークの管理や保守を担当する従業員の管理台帳ファイルを盗み取ろうとしていた形跡が見つかった。 接続元のIPアドレスを手掛かりに調べたところ、新たに2人の社員アカウントからの接続も見つかった。いずれもクラウドサービスの管理を任されている社員のものだった。ハッカー
米Twitterのイーロン・マスクCEOは11月25日(現地時間)、停止中の月額8ドルのサブスクサービス「Twitter Blue」の提供を12月2日に再開するとツイートした。 Twitter Blueに加入すると、自動的にいわゆる「青バッジ」(現在の正式名称は「青いチェックマーク」)が付与されることになっている。マスク氏はこのチェックマーク付与についての変更も説明した。 チェックマークの色を、個人アカウントは(セレブも含めて)すべて青に、企業アカウントはゴールドに、政府関連アカウントはグレイにするという。 また、これまではTwitter Blueに加入すれば無条件でチェックマークを付与するとしていたが、付与前に「人間が認証する」。これについてマスク氏は「つらいが必要なこと」としている。 Twitter Blue受付を停止しているのは、青いチェックマークと従来提供していた本人確認を示す青バ
【PoC編】XSSへの耐性においてブラウザのメモリ空間方式はLocal Storage方式より安全か? - Flatt Security Blog
はじめに こんにちは。 セキュリティエンジニアの@okazu-dm です。 この記事は、Auth0のアクセストークンの保存方法について解説した前回の記事の補足となる記事です。前回の記事の要旨をざっくりまとめると以下のようなものでした。 Auth0はデフォルトではアクセストークンをブラウザのメモリ空間上にのみ保存するin-memory方式であり、XSSへの耐性のなさ等の理由でlocalStorageで保存することを推奨していない しかし、XSSでアクセストークンを奪取できるのはin-memory方式でも同じのはず(検証は行いませんでした)。localStorage方式を過度に忌避する必要はないのではないか なお、Flatt Securityの提供するセキュリティ診断はAuth0に限らずFirebase AuthenticationやAmazon CognitoなどのIDaaSのセキュアな利用
If you’re not using SSH certificates you’re doing SSH wrong
If you’re not using SSH certificates you’re doing SSH wrongUpdated on: May 20, 2024 SSH is ubiquitous. It's the de-facto solution for remote administration of *nix systems. But SSH has some pretty gnarly issues when it comes to usability, operability, and security. You're probably familiar with these issues: SSH user experience is terrible. SSH user on-boarding is slow and manual. Connecting to ne
マイナンバーカードのセキュリティ
2022.09.10 全ての国民の皆様に、マイナンバーカードの取得をお願いしています。 しかし、マイナンバーカードのセキュリティが不安だから取得したくないという声を伺いました。 そこで、マイナンバーカードのセキュリティについてご説明します。 マイナンバーカードには、ICチップが搭載されています。 このマイナンバーカードのICチップには、カードの券面に印刷されているあなたの情報(氏名、性別、生年月日、住所、顔写真、マイナンバー)のほか、あなたがあなたですよということを証明する電子的な鍵(公的個人認証の電子証明書)と、マイナンバーのもとになる番号(住民票コード)しか記録されていません。 あなたの年金や税などのプライバシー性の高い個人情報はマイナンバーカードには記録されません。 健康保険証として使用する場合も、あなたの特定健診結果や薬剤情報がICチップに入ることはありません。 ICチップの空き領
【現在は対応不要】Chrome80以降でALBの認証を使っているとcookieが4096バイトを超えて認証できないことがあり、社内サービスではcookie名を縮めて対応した - hitode909の日記
2020/2/18追記 サポートに問い合わせたところ、ALBの不具合はロールバック済みで、cookie名を縮める対応は不要、とのことでした。試してみたところ、たしかにcookie名の指定をやめても問題なく認証できました。 AWSのApplication Load Balancerの認証機能を使って、スタッフからのアクセスのみ許可する社内向けウェブサービスを運用しているのだけど、昨日くらいからGoogle Chromeで認証が通らなないという声を聞くようになった。 現象としてはリダイレクトループが発生していて、コンソールを見るとSet-Cookie headerが長すぎるというエラーが出ていた。 Set-Cookie header is ignored in response from url: https://****/oauth2/idpresponse?code=e51b4cf0-8b
【認証】JWTについての説明書
はじめに この記事を読んでいるあなたはJWTについて知っているだろうか?JWTは、認証されたユーザを識別するために最も一般的に使用される。JWTは認証サーバから発行されて、クライアント・サーバで消費される。 今回の記事では、Webアプリケーションの認証方法として最も利用されているJWT認証を簡潔に解説する。 本記事の読者の対象 JWT認証について知らない人 JWTのメリット・デメリット、仕組みについて詳しく知りたい人 アプリケーションの認証方法について詳しく知りたい人 JWTとは JSON Web Token(JWT)とは、クライアント・サーバの間で情報を共有するために使われる規格の1つである。JWTには、共有が必要な情報を持つJSONオブジェクトが含まれている。さらに、各JWTはJSONのcontentsがクライアントあるいは悪意のあるパーティによって改ざんされないように、暗号(ハッシュ
はじめに Twitterの動乱に巻き込まれている皆様、いかがお過ごしでしょうか。 私も例外なく巻き込まれており、特にAPI利用していたアプリケーションを停止することになって非常に残念です。 そこでTwitter代替サービスを探すわけですが Mastodon Misskey とActivityPub系が来て、何か新たに面白そうなものが現れました。 Damus、そしてそのプロトコルのNostrです。 今回、こちらをちょっと触ってみたので紹介します。 とりあえず触ってみたい人はこちら AT Protocolも書きました。こちら 注意 Nostr Assets ProtocolおよびNostrトークンは、Nostrの名前を勝手に使用している無関係の(おそらく詐欺)通貨です。混同しないようにご注意ください。 最近の動向含めた最新情報(2023/12) こちらの記事が参考になります ▽それ、1個のアカ
なぜWebサービスの選定においてSAML/SSOが重要なのか
TL;DRクラウドネイティブな時代のビジネスではWebサービス活用は必須Webサービスをセキュアに利用していくには管理やセキュリティ面での工数・コストが増えるこの工数・コストを下げることこそがWebサービス活用推進ひいてはビジネスの加速に繋がる工数・コストを下げる為に導入するWebサービスにSAML/SSOは必須ログインをSAML/SSOに限定出来ることまでがマストWebサービス利用におけるセキュリティ面で一番重要なのがID周り個々のWebサービスのセキュリティ対策よりもID管理に特化したシステムに任せた方がよっぽどセキュア(餅は餅屋)Webサービス導入時には値が張ってもSAML/SSO出来るプランで契約するSAML/SSOが出来ないことによるデメリット(工数・コスト)の方が、SAML/SSOを有効にできるプランにアップグレードする費用に勝るB2BのWebサービスを提供する企業は全プランに
チーム勉強会で Feature Flag とトランクベース開発の話をしました (追加訂正と書かれているスライドは、勉強会後議論した結果を反映したものです)
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
最近知ったCloudflareで実はこんなこともできる集
Chromeに保存された認証情報を大量に窃取するサイバー攻撃確認、注意を
Azure AD が発行するトークンの有効期間と考え方 (2023 年版)
Vue.jsを使用してさまざまなフォームを簡単に実装できる -Vue Formulate
note 社の AWS 権限設計の変遷を辿る|かとうかずや | kakato
ウェブサイトのさまざまな「認証方式」をまとめて比較した結果がコレ
タブレットのパスワード忘れ、電子時刻表見られず JR水郡線に遅れ:朝日新聞デジタル
ついに本格スタートした「マイナンバーカード保険証」の実際【鈴木淳也のPay Attention】
トヨタの不正行為6事例、「国連基準」も満たさず…国交省「欧州でも不正と判断される可能性高い」
「首折れそう」多すぎる身分証 河野氏と小泉氏が改善:朝日新聞デジタル
いまだに大事なことはハガキで届くんだよな。 ワクチンの接種券とか年金の..
デジタル庁が発表した「デジタル認証アプリ」でできること ざっくり整理 - Qiita
「Amazonを不正利用された」──SNS上で報告相次ぐ 「二段階認証を突破された」などの声も
LINEへの不正ログインに対する注意喚起 | LINE Corporation | セキュリティ&プライバシー
HerokuのOAuthトークン流出で、やっておくといいことリスト(コメント大歓迎)
トヨタ 10車種出荷停止 豊田自動織機エンジンで認証取得の不正 | NHK
三菱電機は二段階認証を破られた - Fox on Security
Twitter、12月2日に青バッジ提供再開とマスクCEO 「つらいが人間が認証する」
Nostrプロトコル(damus)を触ってみた - Qiita
Feature Flag Deep Dive