訂正のお知らせ 本文中で、修正前は「パスワードポリシーに関するガイドライン『NIST Special Publication 800-63B』の改訂版」と記載していましたが、正しくは「『NIST Special Publication 800-63B-4』の第2版公開草案」の誤りでした。誤解を招く表現となっていたことをお詫び申し上げます。該当箇所を訂正しました(2024年9月30日15時20分更新)。 米国立標準技術研究所(NIST)は2024年8月21日(現地時間、以下同)、パスワードポリシーに関するガイドライン「NIST Special Publication 800-63B-4」について、第2版公開草案を発表した。 同草案では定期的なパスワードの変更や異なる文字タイプの混在(例えば数字、特殊文字、大文字小文字を組み合わせる)を義務付けるべきではないことが提案されている。 「パスワード
はじめに アクセスキー発行するのって非推奨なの? 普段、CLI操作はCloudShellや、Cloud9上で行うようにしているのですが(環境構築 したくない。)、デスクトップ上で操作したい時があります。 そこで、一番簡単な方法であるアクセスキーを発行しようとすると、こんな代替案を提案されます。 この警告にモヤモヤしていたので、今回は「IAM Identity Center」を使ってみた。っていう記事です。 実は、アクセスキーは丸見えだったり。 最近、職場の本番リリース中に気づいたのですが、AWS CLIに保存したアクセスキーや、シークレットアクセスキーは丸見えだったりします。 (↓は既に削除しているキーたちです。) アクセスキーの何がいけないのか? おおむね以下の理由から、非推奨の模様。 永続的な認証情報だから。 キーが流出すると、攻撃者がリソースにアクセスし放題。 キーの管理が面倒。 複
財布紛失→役所「マイナンバーカードと保険証の再発行には身分証が必要」自分「身分証なしで作れる身分証ある?」役所「ない」…エンドレス地獄
9番街レトロ なかむら★しゅん @24shunta 財布紛失してマイナンバーと保険証を再発行するために役所連絡したら「再発行には身分証が必要でまず身分証を作ってください」言われて、「身分証なしで作れる身分証ってなにになるんですかか」って聞いたら「ありません」言われた とりあえずめっちゃしんどい☺️☺️✌🏻
X / Twitter、ブロックしても相手は投稿が読めるよう仕様変更。イーロン・マスク氏がブロック廃止を進める理由 | テクノエッジ TechnoEdge
X / 旧Twitter のイーロン・マスク氏が、ブロック機能の仕様変更を告知しました。 従来、ユーザーが誰かのアカウントをブロックすると、ブロックされたアカウントからは、自分をブロックした相手の投稿は読めなくなっていました。 今後は誰かをブロックしても、相手は変わらず公開の投稿を読める状態のまま。リプライなどのエンゲージメントだけが封じられることになります。 Twitter を買収してXに改名したイーロン・マスク氏は当初からブロック機能自体に懐疑的で、意味がない機能だから廃止するつもりだと2023年の時点から公言したうえで、段階的に仕様を変更してきました。 たとえば今年の5月には「誰かにブロックされて投稿が見えなくなっても、(された)自分の投稿へのリプライについては見える」仕様に変更。 当時は変更について、従来からの「Xをグローバルな議論ための広場(タウンスクエア)」にする云々の方針とと
Webサーバーで使うサーバー証明書の発行数が世界最多の認証局Let's Encrypt(レッツエンクリプト)は2024年7月23日、衝撃的な声明を発表した。サーバー証明書の有効性を確認するメジャーなプロトコル「OCSP(Online Certificate Status Protocol)」のサポートを終了する意向を示したのだ。
Auth0の無料プランが拡大。月間2万5000アクティブユーザーまで、独自ドメイン、パスキーによるパスワードレス対応も
Auth0の無料プランが拡大。月間2万5000アクティブユーザーまで、独自ドメイン、パスキーによるパスワードレス対応も 認証プラットフォームを提供するOkta社は、Auth0の無料プランを拡大したと発表しました。 Auth0は、認証や認可にかかわる機能がクラウドサービスとして提供されており、SDKを用いてWebアプリケーションやモバイルアプリケーション、デスクトップアプリケーションなどに組み込むことで、通常のログイン名とパスワードを用いた認証はもちろん、Active DirectoryやGoogle Workspaceなどとの接続、Facebookなどを用いたソーシャルログイン、パスキーによるログインなどを簡単に実現します。 また、不正ログインに対する防御機能なども備えています。 無料プランで月間2万5000アクティブユーザーまで対応 これまでの無料プランは、最大で月間7500アクティブユ
TwilogとTogetterの15周年を記念し、それぞれのオリジナル開発者同士による対談をお届けする Twitter関連サービスとしてどちらも2009年にスタートし、2024年で15周年を迎えたTogetterとTwliog。その記念として、それぞれのオリジナル開発者であるyositosi(吉田俊明)とロプロス氏に、初めてTwitterに触れた頃の話からサービスの開発〜発展、Xへの変化を含むイーロン・マスク体制以降の動乱まで、この15年を振り返ってもらった。 Twitterはゆるくて気軽な雰囲気、APIも多機能で自由度が高かった ロプロスさんはいつ頃Twitterを始めたんですか?私が始めたのは2007年で、当時勤めていた会社の同僚たちの間で話題になっていたのがきっかけです。日本国内での最初の盛り上がりみたいなものが、このタイミングであったと記憶しています。「百式」の田口元さんあたりから
スマホを機種変更した。 タイトルのとおりだが、三井住友銀行と三井住友カードのアプリがずば抜けて移行しづらかった。それでフラストレーションが溜まりすぎたのでどこかに書かないと気がすまない。感情そのままタイピングするので、細かいところのミスは許して。 通常のWebサービスと違い生体認証があるので変更後の端末でログインすればOKのようにはならず、信用できる唯一のデバイスとして再登録しないといけない。そのステップが必要なのは別に分かる。が、それをやろうとしたこのたった30分でこれほどヘイトが貯まるとは思わなかった。 SMBCセーフティパスが機種変更時のキモだったのだが、なんかよくわからん認証プロセスを毎回させてくるクソアプリという初手の感想からそれに気づくためのヒントのなさに多分イライラしている。 そもそも現実世界で三井住友銀行と三井住友カードしか認知していないのに、OliveだのSMBC IDだ
左:『インタビュー:坂本龍一 特装版』三方背ケース表1画像、右:『インタビュー:坂本龍一』(通常版)カバー表1画像 坂本龍一の37年間におよぶインタビューを1冊に。リットーミュージックは、音楽雑誌『キーボード・マガジン』と『サウンド&レコーディング・マガジン』に掲載された坂本龍一のインタビューを1冊にまとめた『インタビュー:坂本龍一』の刊行を発表。特装版には、坂本龍一とともに音楽制作を行った20名以上のアーティスト/クリエイター/エンジニアのインタビューを掲載した特別付録『坂本龍一を語る』が同梱されます。『インタビュー:坂本龍一 特装版』『インタビュー:坂本龍一』は12月17日発売。 以下インフォメーションより 本書は、株式会社リットーミュージックの音楽雑誌『キーボード・マガジン』と『サウンド&レコーディング・マガジン』に掲載された坂本龍一のインタビューを1冊にまとめたものです。最も古い記
シンデレラのように魔法がとけないうちは本番環境にアクセスできるようにしてみた - NTT Communications Engineers' Blog
この記事では、できるだけアクセスを絞るべき本番環境に対して、かのシンデレラのように時間制限つきの承認性アクセスができるようにした事例を紹介します。 目次 目次 はじめに 背景 複数の環境 これまでの運用 課題 実現方法 実装 - Google Cloud IAM 設定スクリプト 設定 - GitHub Environments 実装 - GitHub Actions その他細かな工夫点 ゴミ掃除 Slack 連携 サービスアカウントキーの発行 運用を変えてみて おわりに はじめに こんにちは、NeWork 開発チームの藤野です。普段はオンラインワークスペースサービス NeWork のエンジニアリングマネジメントをしており、最近では実際にコードを書く機会も増えてきています。 この記事では、これまで手動 + ガッツで運用していた本番環境へのアクセス管理の工程のほとんどを自動化した内容をご紹介し
今では使う機会がめっきり減ったプリンターですが、業界大手のHPが純正インクカートリッジを使用しないと自社製プリンターを使えないようにファームウェアをアップデートしたことで多くの批判を集めています。そんなHPがプリンター関連の有用なアイデアをテストしていると、Ars Technicaが報じました。 In rare move from printing industry, HP actually has a decent idea | Ars Technica https://arstechnica.com/gadgets/2024/09/in-rare-move-from-printing-industry-hp-actually-has-a-decent-idea/ プリンター業界は停滞しています。その理由は単純で、記事作成時点でほぼすべてのものがデジタル化されているため、以前のようにプリ
定期ってつけてるぐらいいつも言ってることなのですが、公開鍵暗号方式にしたらフィッシング対策もできてすんばらしいみたいな表現には反対です。 何が課題なのかパスワード認証とフィッシング攻撃における課題はいくつかあります。 フィッシングサイトにパスワードそのものが盗まれ、それを使ってログインされてしまう (クレデンシャルスタッフィング) フィッシングサイトの中継により、ログインセッションが盗まれてしまう(MiTM, AiTM) OTP、TOTP、認証アプリなどの認証を追加してもやられてしまう 前者については明示的ですね。そもそもSMS OTPは認証イベントに紐づいていますし、TOTPは時間に紐づけられています。なので前者のような再利用の課題へは元から対策されているとも言えます。Webアプリケーションやネイティブアプリが正規なものに対してのみパスワードが入力されるような仕組みが必要とされていたわけ
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
「定期的に変更するな」 NISTがパスワードポリシーのガイドラインについて第2版公開草案を発表
アクセスキーを使ったaws-cliはもうやめよう! - Qiita
世界最大の認証局Let's EncryptがOCSPサポート停止、企業ユーザーにも影響
Twitterのカルチャーが「残っている」という自負――ロプロス × yositosi 開発者対談
三井住友銀行と三井住友カードのWebサービスが(今のところ)酷すぎる
坂本龍一の37年間におよぶインタビューを1冊に 『インタビュー:坂本龍一』刊行決定 - amass
プリンター業界の悪しき慣習を生み出してきたHPがプリンター関連の優れたアイデアをテスト中
公開鍵暗号方式だからフィッシング対策できるって意見、もうええでしょう|ritou