GitHubでhttpsのパスワード認証が廃止された。Please use a personal access token instead. - Qiita
GitHubでhttpsのパスワード認証が廃止された。Please use a personal access token instead.GitGitHub $ git push origin branch名 remote: Support for password authentication was removed on August 13, 2021. Please use a personal access token instead. remote: Please see https://github.blog/2020-12-15-token-authentication-requirements-for-git-operations/ for more information. fatal: unable to access 'https://github.com/名前/リ
github.blog 9/1 に GitHub Container Registry がパブリックベータとして公開されました。GitHub が提供する Docker レジストリサービスです。 この記事では、GitHub Container Registry についていろいろ調べたり動かしたりした内容をまとめます。 目次 注意事項 背景 Docker Hub と GitHub Container Registry GitHub Packages と GitHub Container Registry 料金 organization での GitHub Container Registry の有効化 試してみる パーソナルアクセストークンの作成 イメージの push イメージの権限変更 認証なしで public イメージの pull イメージの削除 GitHub Actions から Git
国交省、そろそろ矛を納めないとホンダなんか本社をアメリカに移します。トヨタだって豊田章男さん次第 2024年6月12日 [最新情報] 2023年度ホンダが1兆円の収益を上げた内訳を見ると、大ざっぱに言ってアメリカの新車販売とアメリカのファイナンス(金融)、新興国のバイクが3分の1づつである。日本は収支トントン。私のような仕事で言えば、アメリカと東南アジアのメディアで書いた原稿料で収益を確保し、日本では取材ネタを探すことと日本向けの原稿書きをしているようなものである。 出稼ぎ状態ですね。当然ながらアメリカからは「収益の大半はウチなんだから本社も移転して欲しい」となるだろうし、タイあたりから「2輪事業は東南アジアに本拠地を置いて欲しい。優遇しますよ」。1兆円の収益を上げるホンダがアメリカに軸足を置くと言えば、アメリカは大歓迎してくれることだろう。東南アジアだってタイやベトナムベースにすればいい
Amazon Web Services ブログ ゼロトラストアーキテクチャ: AWS の視点 本投稿は、AWS の CISO オフィスのディレクターを務める Mark Ryland と AWS Identity の専門家である Quit Van Deman による寄稿を翻訳したものです。 アマゾン ウェブ サービス(AWS)の使命は、安全なシステムの構築、デプロイ、迅速な反復処理を行う際に行う作業がより少なくなるようにお客様に代わってイノベーションを行うことです。お客様からはセキュリティの観点について以下のような質問をよくいただきます、 “システムとデータの機密性、完全性、可用性を適切なレベルに確保し、スピードと俊敏性を向上させるのに最適なパターンは何ですか?“。ゼロトラスト・アーキテクチャまたはゼロトラスト・ネットワーキングのカテゴリーに該当するセキュリティアーキテクチャパターンが、これ
米Twitterは8月5日(現地時間)、ゼロデイ脆弱性(既に修正済み)が悪用され、540万以上のアカウントと電話番号やメールアドレスの情報が流出したと発表した。 この脆弱性については1月、同社のバグ報奨金プログラムを通じて報告を受けたという。昨年6月のシステム更新の際に発生したバグで、報告を受けて修正した時点では脆弱性が悪用された証拠はなかったとしている。 だが、米Restore Privacyの7月の報道で、この脆弱性が悪用され、アカウントリストが販売されていることを知ったため、影響を受けたことが確認できるユーザーには直接通知した。 この段階で公式ブログで発表するのは、「影響を受けた可能性のあるすべてのアカウントを確認することはできず」、特に匿名アカウントは国家などの標的になる可能性があるためとしている。 米BleepingComputerによると、アカウントと紐付けられたのは、電話番号
Firestoreセキュリティルールの基礎と実践 - セキュアな Firebase活用に向けたアプローチを理解する - Flatt Security Blog
こんにちは、株式会社Flatt Security セキュリティエンジニアの梅内(@Sz4rny)です。 本稿では、Cloud Firestore (以下、Firestore) を用いたセキュアなアプリケーション開発を行うためのアプローチについて説明するとともに、そのアプローチを実現するセキュリティルールの記述例を複数取り上げます。 本稿を読むことで、そもそも Firestore とは何か、どのように Firestore に格納するデータの構造を設計、実装すればセキュアな環境を実現しやすいのか、また、Firestore を利用するアプリケーションにおいてどのような脆弱性が埋め込まれやすいのかといったトピックについて理解できるでしょう。 なお、本稿は以前に投稿した記事と共通する部分があります。理解を補強するために、こちらの記事も適宜ご覧ください。 flattsecurity.hatenablo
2024年4月25日紙版発売 2024年4月25日電子版発売 市原創,板倉広明 著 A5判/456ページ 定価3,740円(本体3,400円+税10%) ISBN 978-4-297-14178-3 Gihyo Direct Amazon 楽天ブックス ヨドバシ.com 電子版 Gihyo Digital Publishing Amazon Kindle 楽天kobo honto この本の概要 SSL/TLSは,通信の秘密を守るために利用されている通信プロトコルです。HTTPSやHTTP/3にも利用されており,今日のWebでは利用が一般的になっています。本書では,その最新バージョンであるTLS 1.3のしくみと,その使い方を解説します。SSL/TLSは公開されている実装例などを真似すれば基本的な動作はさせられますが,それを応用していくには技術に関する理論の理解が必須になります。しかしSSL
巨大なテーブルのテーブル定義を無停止で安全に誰でも変更できるようにする / Table-definitions-for-huge-tables-can-be-modified-by-anyone-safely-and-non-disruptively
先日、Viceに他人のSMS(ショートメッセージサービス)を簡単に盗む方法があるという衝撃的な内容の記事が掲載されました。 攻撃者はターゲットのスマホにアクセスする必要も、SIMカードを手に入れる必要もありません。 ただ、VoIPサービス卸売業者にわずかなお金を払って、自分たちが再販業者であると思い込ませ、書類を偽造し、ターゲットのSMSを別の番号に転送するように仕向けるだけでいいのです。 セキュリティの甘かったSMSサービスLucky225さんはMediumで次のように説明しています。 2021年3月11日(木)のある時点まで、NetNumberは、あらゆる携帯電話番号のNNIDの再割り当てや乗っ取りを、認証も検証を行なわずに許可していました。 おそらく、この筆者やほかのジャーナリストから説明を求められたNetNumberは、内部調査を行ない、それが事実であることがわかると、一時的に携帯
より安全にご利用いただけるようになったClassiのご報告と今後の取り組みについて | Classi(クラッシー) - 子どもの無限の可能性を解き放ち、学びの形を進化させる
1.はじめに 2020年4月(昨年)、当社サービス「Classi」に不正アクセスがあった件に関し、過去一年間、弊社はこれを重く受け止め、お客様に安全にClassiをご利用いただく事を当社事業の最優先事項とし、各種対策を年間を通じ実施してまいりました。 今年度も、昨年度から継続して、サービスのセキュリティを重視した全社的な対策を実行していく所存でございますので、以下に発生直後の対応、及び今日までに実行いたしましたセキュリティ強化対策を含めて、今後の取り組みについてご報告いたします。 現在に至るまで同様の不正アクセスは起こっておらず、セキュリティ状況についても外部企業の第三者調査の結果、他社と比較して標準水準以上に強化できていると評価いただいております。また2021年3月のISO/IEC27001に基づく情報セキュリティマネジメントシステム(ISMS)の継続審査 においても、マネジメントシステ
アメリカ時間の7月15日夜、数々の有名人のアカウントを巻き込んだツイッター史上最大の乗っ取り事件が発生しました。 影響をうけたのはバラク・オバマ元大統領、ジョー・バイデン元副大統領 / 大統領候補、マイケル・ブルームバーグ元NY市長、イーロン・マスク Tesla CEO、アップル公式アカウント、カニエ・ウェスト、ビル・ゲイツ元マイクロソフト会長などです。 これらのアカウントがほぼ同時にビットコインをめぐる詐欺ツイートを送信したことで乗っ取りが発覚し、1時間以内にすべてのアカウントはツイッター運営によって利用もパスワードの再設定もできない状態にされました。 その後、いわゆる「認証バッジ」をもっているアカウントが狙われていたことから、ツイッター側のセキュリティ対応としてすべてのそうしたアカウントのツイートができない状態になり、復旧には約一日がかかりました。 今回の攻撃が本当に認証アカウントのみ
Datadogのセキュリティモニタリングを使った不正ログイン検知の実装方法について
俳優・松重豊さんがTwitterで認証がとれなかった理由は影響力のせいではない(高橋暁子) - エキスパート - Yahoo!ニュース
『孤独のグルメ』主演で知られる人気俳優の松重豊さんが、TwitterとInstagramの認証マークがとれなかったことを理由に、更新を停止すると発表して話題となっている。認証マークとは、アカウント名の隣についた青いチェックマークのこと。本人確認が取れた影響力があるアカウントにつくとされており、SNSを運営するならぜひほしいものの一つ。 Instagramでも同様の理由で更新中止を決定した 松重豊さんといえば、言わずとしれた著名俳優だ。フォロワーも現状Twitterで6.5万人、Instagramで6万2千人おり、しっかり運営もされている。 それにもかかわらずなぜ認証マークが取れなかったのか。理由と背景について解説したい。 過去には自己申請できた認証マークTwitterの認証マークは、当初は本人確認が取れたアカウントのうち、Twitter社から認証されたアカウントにつくのみだった。 ところが
shiodaifuku.io
Webエンジニアのブログです。
FCC fines America's largest wireless carriers $200 million for selling customer location data
ベイジでエンジニアをしている野村です。 ベイジには2012年の新年ともに入社し、WordPressやMovable TypeなどのCMSのカスタマイズなど、サーバーサイドの開発を中心に行っています。今後もそのあたりの情報を発信していきたいと思います。 今回は、WordPressについて。 WordPressはブログシステムというより、もはやCMSといっていいでしょう。インストールなどの設定も簡単、自由にカスタマイズできるプラグインやデザインテーマも豊富、何よりオープンソースで無償、ということで世界中で広く使われています。 このように数多くのメリットがあり、コストパフォーマンスが非常に高いWordPressですが、最近、セキュリティ上の問題を理由に、WordPressの使用を禁止している企業にしばしば出会います。 確かにWordPressは特別セキュアなCMSではありませんが、他の多くのCM
【個人開発】最新のNext.js+NextAuth.js+prisma+microCMSでECサイト作ってみた【フルスタックアプリケーション】 - Qiita
【個人開発】最新のNext.js+NextAuth.js+prisma+microCMSでECサイト作ってみた【フルスタックアプリケーション】TypeScriptフロントエンド個人開発Next.jsprisma はじめに 皆さんこんにちは、mamiなのだ! 今回はバックエンドは作らずにNextAuth.jsやprisma、microCMSなどを利用してNext.jsでECサイトを作成してみたので、その方法や手順などを公開しつつ、認証周りや大型開発案件でも採用されるstorybookなどについても解説していこうと思うのだ! フロントを勉強し始めた初学者さんや、フロントがメインではないバックエンドエンジニアの方に向けて、丁寧に解説を挟みながら書いていくので「へ〜フロントってこんな感じのことやってるんだ〜」と思ってくれたら嬉しいのだ! ちなみにこの記事は丁寧に解説しすぎて死ぬほど長くなってしまっ
2020/3/14 追記 昨年、PureSec も加盟している Cloud Security Alliance の Israel Chapter から、The 12 Most Critical Risks for Serverless Applications 2019 が公開されました。 ※本記事の公開時点で既に TOP12 が最新でした・・・ 本記事で記載している既存の TOP 10 の内容に大きな変更はなさそうですが(SAS-9 は Serverless Business Logic Manipulation に改題)、新たに追加された SAS-11、SAS-12 について本文に追記します。 既存の文章にも差分があるようですので、正確な内容は原文をご参照ください。 追記はここまで イスラエルのセキュリティスタートアップ PureSec による The Ten Most Critica
Ars Technicaは10月25日(米国時間)、「Passkeys—Microsoft, Apple, and Google’s password killer—are finally here|Ars Technica」において、安全で使いやすいパスワードの代用品がついに登場したと伝えた。Microsoft、Apple、Googleの「パスキー(Passkeys)」の登場によって、パスワードの代替手段を手に入れることが可能になったという。 パスワードに変わる新たな選択肢として、パスキーが具現化した。もともと認証情報をハードウェアに保存するためのさまざまなスキームのことをパスキーと呼び、コンセプトは10年以上前から存在していた。パスキーは、パスワードよりも使いやすく、クレデンシャルフィッシングやクレデンシャルスタッフィング、アカウント乗っ取り攻撃にも完全な耐性があるといわれている。 F
注意事項 かなり高度なGASの使い方なのである程度GWS(Googleフォームやスプレッドシート)やGASをわかってる方前提で書いていますので結構省略しているとこも多いです。 あと作った後に手順を書いているのでなにか抜け漏れあったらごめんなさい。 まだ作ってみただけで実際に運用はしてないのでテスト等も不十分かも。運用してからまた追記します。 コードは直接スクリプトエディタでサクッと作ったサンプルです、実際はローカルでLintかけたりするのでインデントおかしかったりしても許してください。 背景 GWSを使う際にマイドライブで外部共有可能にするとやりたい放題なのでセキュアな環境とは言い難くなる。 また組織のファイルをマイドライブにおいてしまうとファイルオーナーが退職したときの扱いに困る。上長に移管したり、退職者アカウントに移管するのが一般的かと思うが、移管するということはマイドライブのファイル
認証に電話網を使うのはそろそろやめよう
こんにちは、Azure Identity サポート チームの 高田 です。 本記事は、2020 年 11 月 10 日に米国の Microsoft Entra (Azure AD) Blog で公開された It’s Time to Hang Up on Phone Transports for Authentication の抄訳です。新着記事ではありませんが、以前より繰り返し様々な記事で参照されており、多くのお客様にとって有用であるため抄訳しました。ご不明点等ございましたらサポート チームまでお問い合わせください。 以前のブログ パスワードで攻撃は防げない - Your Pa$$word doesn’t matter では、パスワードに潜む脆弱性を明らかにしました。加えて、「でもパスワード以外の他の認証方法も侵害される可能性あるでしょ」という無数の DM や E メールに対する答えとして
証明書のピンニングはやめましょう
デジタルトラスト製品/サービス一覧: エンタープライズ IT、PKI、ID DigiCert® Trust Lifecycle Manager ウェブサイト&サーバー DigiCert CertCentral TLS/SSL Manager コード&ソフトウェア DigiCert® Software Trust Manager 文書&署名 DigiCert® Document Trust Manager IoT&コネクテッドデバイス DigiCert® IoT Trust Manager Matter による IoT デバイス認証 DigiCert® TrustCore SDK
社内のソースコードをGitHub Enterprise にとりまとめてる話 - NTT Communications Engineers' Blog
みなさんこんにちは、社内のエンジニアが働きやすくすることを目標にする Engineer Empowerment プロジェクトの @Mahito です。 この記事は、NTT Communications Advent Calendar 2021 2日目の記事です。 今回は社内のソースコードを GitHub Enterprise にとりまとめる活動とそこで遭遇した課題と解決方法についてお話します。 背景 きっかけは「NeWork のソースコードが見たい」という私の思いつきでした。 これを私が言い出した 2020 年当時、NTT Com ではソースコード管理の方法に決まりはなく、各プロジェクトの判断でバラバラにソースコードリポジトリが導入されていました。ちなみに、私が社内で見かけただけでもソースコードのホスティング先には以下のようなものがありました。 GitHub (Team plan) Git
はじめに AI搭載コードエディターCursorが話題なので自分にとって使いやすいのか実験してみました。 まだまだCursorの実験途中ではありますが、CursorProをサブスクしてたった3日でgpt-4に332回聞いてました。 Cursorはプロンプトの会話から現在のコードにDiffで提案してくれたり、エラーを解決してくれたり本当に便利で最高なのですが、頼り過ぎも良くないなと反省することもあったので、やったこと全部と感想をシェアしていきたいと思います。 やったこととしては、Cursorのチャットに質問しながら予備知識のないChatVRMというオープンソースのチャットアプリケーションの追加実装をしました。わりと簡単に実装できたこととうまくできなかったことがあるので例を挙げて紹介していきます。 Cursorとは Cursor(カーソル)とは、VScodeをフォークして作られたOpenAIのg
接続元のネットワークやデバイスを問わず常にアクセスを精査し、適切に認証・認可をするセキュリティーモデル「ゼロトラストアーキテクチャー(ゼロトラスト)」が注目を集める。 コロナ禍でテレワークが普及し、社外からインターネット経由でクラウドサービスに直接アクセスする企業が続出した。それに伴い、ファイアウオールで社内外のネットワークを区切り、社内は安全なものとみなす「境界型セキュリティー」ではデータを守り切れないケースが増え、ゼロトラストの注目度はさらに高まっている。 だが何か1つ製品を導入すればよいというものではない。既存の技術で完全なゼロトラストを実現するのは困難ともいわれ、雲をつかむような話に苦戦する企業は多いようだ。 そんな中、経済産業省は2021年5月12日に「DXオフィス関連プロジェクト管理業務等の効率化に関するデジタルツールの導入実証・調査事業」の報告書をソフトウエア開発プラットフォ
xIDは、マイナンバーカードを活用するデジタルIDソリューションを中心に、次世代の事業モデルをパートナーと共に創出するGovTech企業です。
公式ドキュメントで説明されているけど、同僚に何度か説明する機会があったり、作る必要のないサービスアカウントキーを目にすることも多いのでまとめておく。 認証情報が登場しないアプリケーションコード 例えば以下のコードで Secret Manager に保存したトークンを取得することができる。SecretManagerServiceClient にサービスアカウントキーを渡さずとも動作する。 const {SecretManagerServiceClient} = require('@google-cloud/secret-manager'); const client = new SecretManagerServiceClient(); (async () => { const [secret] = await client.accessSecretVersion({ name: 'proj
はじめに こんにちは。株式会社Flatt Securityセキュリティエンジニアの梅内(@Sz4rny)です。 本稿では、弊社がこれまでに実施してきたFirebase診断の事例や筆者独自の調査をもとに、Firebaseを活用して開発されたサービスにおいて発生しやすい脆弱性の概要やそれにより引き起こされるリスクおよびその対策を深刻度や発生頻度の評価を踏まえつつお伝えします。本稿を通じて、Firebaseを活用したサービスにおいて発生しやすい脆弱性にはどのようなものがあるのか、また、そのような脆弱性を埋め込むことなくセキュアなサービス実装を実現するためにはどのような観点に気をつければよいのかについて理解を深めていただけますと幸いです。 なお、本稿では「Firebase活用時に限って発生しうる脆弱性(例:Firestoreのセキュリティルールにおけるバリデーション不備)」と「Firebaseを活
IETFに『Secure shell over HTTP/3 connections』という提案仕様が提出されています。 これは、HTTP/3コネクション上でSSHを実行するプロトコルを定義しています。なお、"SSH3"という名称を仕様中で使用していますが、あくまで提案段階ですので今後変わる可能性もあります。 SSH3ではHTTP/3を使うことにより以下の特徴を持ちます QUICのメリットが享受できる(例えばIPアドレスが変わってもコネクションを維持できる) HTTPの認証方式をサポートする(Basic認証、OAuth 2.0、Signature HTTP Authentication Scheme) SSH通信の秘匿 (第三者からするとただのHTTP通信にみえる) エンドポイントの秘匿 (Signature HTTP Authentication Schemeを使うことで、そこでサービス
BacklogにmacOSの指紋認証でログインする様子 ヌーラボでは2019年3月にW3Cで標準化されたパスワードレス認証の「Web Authentication API」(WebAuthn: ウェブオースン)と、「FIDO2」(Fast IDentity Online: ファイド)対応のサーバを実装することで、Backlog / Cacoo / Typetalk上でのパスワードを使わない新しい認証に対応しました。 WebAuthn / FIDO2を使用した生体認証ログインのメリットは次のとおりです。 生体認証でログインが素早く簡単になります 生体情報はネットワーク上には流れず、ローカルのセキュリティ デバイスに保存されるため安全です 2要素認証※2のため安全です サーバに登録する認証情報は公開鍵のため、パスワードリスト型攻撃や情報漏洩のリスクがありません ドメインが検証されるため、フィッ
Google, Yahoo の Sender Guidelines について | IIJ Engineers Blog
2015 年新卒入社。途中、2年ほど IIJ Europe に出向経験もあるが SMX の中の人として長年スパムメールと奮闘中。M3AAWG, JPAAWG にも参加し始め、メッセージングエンジニアとして頑張ってます。最近の趣味はぶらり都バス旅。 メール送信者のガイドライン – Google More Secure, Less Spam: Enforcing Email Standards for a Better Experience – Yahoo! 2023年10月初旬、Google と米国 Yahoo! からとある衝撃的な発表があった。 要約すると、送信ドメイン認証に対応していないメールは受け取らない という内容である。 送信ドメイン認証(SPF, DKIM, DMARC) の普及や活用については世界各国で議論がされており、特に DMARC については RFC 公開されて今年で 8
Twitter、著名人には「公式マーク」を新設へ。青い認証マークは月8ドルで一般人に販売 | テクノエッジ TechnoEdge
Twitter は青い認証マークを月8ドルのサブスクで一般販売する一方、著名人や企業など従来の認証済みアカウントには新たな「公式アカウント」の印を付与するようです。 Twitter を買収しCEOに就任した実業家イーロン・マスクは、認証マークについて「持つものと持たざるもので、貴族と平民のような現在のシステムはクソ」「民衆に力を!」と称して、毎月8ドルの有料プランTwitter Blue 加入者には特典として青いチェックマークを提供する仕組みを準備しています。 Twitter、月8ドルで認証マークの販売を開始「あなたもセレブや企業や政治家のように青いチェックマークが持てます」 | テクノエッジ TechnoEdge 従来の認証マークは企業や著名人、ジャーナリスト等に対して「本人確認済み」の証として与えることで成りすましを防止し、Twitter上の誤情報を減らす役割を果たしてきました。 新た
[2023-01-31 12:00 JST 更新] JWTのシークレットポイズニングに関する問題
By Artur Oleyarsh January 10, 2023 at 12:33 AM Category: Cloud, Vulnerability Tags: CVE-2022-23529, exploit, open source, Prisma Cloud, remote code execution, Vulnerability Exploitation 2019年1月30日 PST 本脆弱性の悪用シナリオの前提条件に関するコミュニティからのフィードバックを受け、私たちはAuth0と協力してCVE-2022-23529を撤回することを決定しました。 本稿で解説したセキュリティの問題はJsonWebTokenライブラリが安全でない方法で使用された場合には依然として懸念されるものです。そのシナリオでは、すべての前提条件を満たせばこの問題を悪用できる可能性があります。私たちは、その
![[2023-01-31 12:00 JST 更新] JWTのシークレットポイズニングに関する問題](https://cdn-ak-scissors.b.st-hatena.com/image/square/d5fd8fbb78690994f0d69b816752b350c4fdb30b/height=288;version=1;width=512/https%3A%2F%2Funit42.paloaltonetworks.jp%2Fwp-content%2Fuploads%2F2023%2F01%2FCloud-providers.png)
送信ドメイン認証の現状
2019/09/07 DNS温泉6 in 下呂 で利用したスライドです。 内容的にマズい部分は改変してあります。 時間的に古いものですので、現在と相違がある部分もあります。
はじめに NearMeでは最近、相乗り配車サービスのための外部向けAPIプラットフォームを構築しました。 これにより、他アプリからシームレスに注文したり、Lineミニアプリのような新しいチャネルのUIを独自に構築することを可能にしました。 その設計においては様々な考慮が必要でしたので、ここにまとめたいと思います。 提供方法 APIを利用するにはまず、外部連携先の"組織"を作成し、登録した"組織"で「〇〇 地域シャトル」「〇〇スクール送迎」などの"サービス"を作成します。これにより、ユーザー管理、車両管理、注文管理などが管理画面から利用できるようになります。マルチテナント方式なので専用の"サービス"が構築されます。 次に、API連携に関する基本情報を格納する"アプリケーション"という項目を作成します。 認証情報やWebhookのURLなどもここで設定します。 この"アプリケーション"のIDが
質問をすることでしか得られない、回答やアドバイスがある。15分調べてもわからないことは、質問しよう!新規登録して質問してみよう
『1Password』が刷新! Apple製品の最強パスワードマネージャーである8つの理由 | ライフハッカー・ジャパン
サンディスクのmicroSDカード 512GBが40%OFF。写真や動画のデータ置き場はこれで良くない?【Amazonセール】
IT(情報技術)システムの認証からパスワードをなくす動きが広がっている。新型コロナウイルス下で在宅勤務が進む中、漏洩リスクが高いという見方が強まったためだ。米マイクロソフトはメール「アウトルック」やチャット「チームズ」といった自社アプリで顔認証などを標準とした。導入コストも下がり始め、多くの企業が脱パスワードを検討すべき時期を迎えた。スマートフォンに指をのせると、傍らのパソコンの画面が切り替わ
IETFのOAuth WGでは、今あるOAuth2.0関連の仕様を整理し、一つの仕様としてまとめなおし OAuth2.1 として標準化するとりくみが進められています。 今回は、簡単にOAuth2.1について紹介します。 OAuth 2.0 OAuth 2.0は2012年10月に「RFC6749 The OAuth 2.0 Authorization Framework」として標準化されています。その後、OAuth2.0の改善は続けられ、セキュリティ向上のために利用すべき機能(PKCE)などが追加されているほか、逆に非推奨になっている機能(Implicit Grant)などがあります。 IETFのOAuth WGではOAuth2.0を安全に利用するためのベストカレントプラクティスを「OAuth 2.0 Security Best Current Practice」としてまとめています。 この
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
GitHub Container Registry 入門 - 生産性向上ブログ
国交省、そろそろ矛を納めないとホンダなんか本社をアメリカに移します。トヨタだって豊田章男さん次第
ゼロトラストアーキテクチャ: AWS の視点 | Amazon Web Services
Twitter、ゼロデイ脆弱性悪用の約540万アカウントデータ漏えいを正式に認める
SSL/TLS実践入門 ──Webの安全性を支える暗号化技術の設計思想
クラウド会計ソフトfreeeのデータセキュリティと内部統制
SMS認証はダメ。セキュリティ対策の注意点を徹底解説 | ライフハッカー・ジャパン
おそらく多くの人が記憶していないツイッターの認証バッジの経緯と問題 (追記あり)|ほりまさたけ
Datadogを使った不正ログインのモニタリングの実装
Engadget | Technology News & Reviews
簡単にできるWordPressのセキュリティ対策×12 | knowledge / baigie
サーバーレスアプリケーションの最も危険なリスク12選 - Qiita
パスワードの代替「パスキー」が続々登場、Microsoft・Apple・Googleが対応
GoogleフォームとGASを使って利便性高くセキュアな共有ドライブ運用を作る
携帯電話契約の本人確認、マイナカード一本化へ
Cursor Proを3日間で300回も使い倒してみた所感
経産省がゼロトラストの概念取り入れた業務環境、「イケてる」作りに驚いた
xID(クロスID)│ ソーシャルメディア等で頂いているxIDアプリに関するご意見について
GCP の Application Default Credentials を使った認証 - ぽ靴な缶
Firebase利用時に発生しやすい脆弱性とその対策10選 - Flatt Security Blog
HTTP/3コネクション上でSSHを実行するSSH3プロトコル - ASnoKaze blog
さよならパスワード!WebAuthnに対応したBacklog / Cacoo / Typetalkで指紋を使って安全ログイン | 株式会社ヌーラボ(Nulab inc.)
外部向けAPIプラットフォームの設計について - NearMe Tech Blog
CentOS7、suコマンドでrootにログインできない、パスワードは絶対あっているのになぜ?
さよならパスワード マイクロソフト、顔認証など標準に - 日本経済新聞
OAuth 2.1 の標準化が進められています - Qiita