常時SSL化に役立つアカマイの機能 - Akamai Japan Blog
コンピューティング あらゆるワークロードに対応した VM により、構築、リリース、スケーリングを迅速に実行
コンピューティング あらゆるワークロードに対応した VM により、構築、リリース、スケーリングを迅速に実行
ども、@kimihomです。 API に関する基礎的な話で、なぜ API が重要なのか、APIの実装で注意する点について記述した。 今回はAPI開発において最も頭を悩ます、認証の問題について考えてみたい。 API における認証 よくあるログインが必要なページを考えてみていただきたい。 通常のWebアプリケーションであれば、Cookieという仕組みを使って毎回Webサーバーにアクセスするときにsession idというものを送信し、それとユーザー情報を紐付けたデータを取ってくることで、どんなユーザーからリクエストが来たのかをWebアプリケーション側で判断することができる。これにより、私たちはいつも閲覧しているWebアプリケーションが自分専用の画面として見れるようになっている。 これがAPIになると話は違ってくる。Cookieという仕組みが使えないのである。ということで、なんとかしてAPIにア
先日だれでもAIメーカーというWebサービスをリリースしました。このサービスは例によってOpenAI APIを使っており、トークンの使用量がランニングコストに大きく影響します。 また、気軽に使ってもらえるよう未ログインでも使用できる仕様にしているため、気をつけないと悪意のある人に大量にトークンを使用されてしまう可能性があります。 ノーガードだとどうなるか 例えば、POST /api/askという「リクエストbodyのpromptの値を取り出し、OpenAI APIのChat Completionsに投げる」という単純なエンドポイントを作ったとします。 「未ログインでも使ってもらいたいから」と認証を一切しなかった場合どうなるでしょうか? 悪意のある攻撃者に見つかれば、promptを上限ギリギリの長さの文章に設定したうえで、/api/askに対してDoS攻撃するかもしれません。 トークンを大量
サーバーレス化を支える認証認可の話
サーバレスアーキテクチャで構築する際の認証認可、アクセス制限のパターンを何となく説明しています
IDEA * IDEA
ドットインストール代表のライフハックブログ
7payが世の中を騒がせて、2段階認証という言葉がホットワードとなったりしてますね。こうした決済サービスのセキュリティを守るには「多要素認証」(Multi-Factor Authentication)が大切です。……ところで多要素認証ってなんでしたっけ? Twitter投票でクイズを出してみたところ……?
React Native+Expoではじめるスマホアプリ開発 ~JavaScriptによるアプリ構築の実際~ 作者: 松澤太郎出版社/メーカー: マイナビ出版発売日: 2018/08/29メディア: 単行本(ソフトカバー)この商品を含むブログを見る ここ2週間ちょっとReact NativeでiOSアプリ書いてました。 サーバサイドをメインでやってきた自分にとって面白い技術で、今後も趣味で使ってみたいなと思えているのでTipsや所感を残しておきます。 目次 選定理由 Tips エラーハンドリング・状態管理 入力欄をキーボードの出現に合わせて動かすアニメーション 今回使ったライブラリ react-native-focus-scroll react-navigation react-native-vector-icons react-native-camera react-native-vid
Innovative Tech: このコーナーでは、テクノロジーの最新研究を紹介するWebメディア「Seamless」を主宰する山下裕毅氏が執筆。新規性の高い科学論文を山下氏がピックアップし、解説する。 スペインのUniversity Carlos III of Madrid、イランのShahid Rajaee Teacher Training University、イランのInstitute for Research in Fundamental Sciences (IPM)による研究チームが開発した「ECGsound for human identification」は、心電図から取得した心拍音を分析し、その人が誰かを特定するバイオメトリクス技術だ。心電図(ECG)信号をオーディオ波形ファイルに変換し、5つの音楽的特性を分析することで識別する。 今回はこれまでと違い、ノイズ(直流成分や
マイクロソフト、GoogleアカウントでWindowsやOffice 365へのシングルサインオンを可能に。Azure Active Directoryの新機能をプレビュー公開
マイクロソフト、GoogleアカウントでWindowsやOffice 365へのシングルサインオンを可能に。Azure Active Directoryの新機能をプレビュー公開 マイクロソフトは、Googleアカウント(現時点ではGmailのメールアカウント)でWindowsやOffice 365へのシングルサインオンを可能にするAzure AD B2B Collaborationの新機能をプレビュー公開しました。 マイクロソフトのアイデンティティ部門 バイスプレジデントのAlex Simons氏が次のように「どれくらいイカしてるかって? シームレスなコラボレーションの実現さ!」と、Googleアカウントのログイン画面とともにツイートしています。 Today's New's (you might wanted to be seated for this one!): #AzureAD B2
次世代認証プラットフォーム “Auth0” を使ってみた / Next Geneartion Identity "Auth0" - Speaker Deck
* 外部認証基盤の話 * Auth0 / Amazon Cognito / Firebase Authentication / Netlify Identity の比較 * Auth0 を選んだ理由
症状検索エンジン「ユビー」 では、ローンチ当初から Firebase Auth (GCP Identity Platform) を使っていましたが、OIDCに準拠した内製の認証認可基盤に移行しました。 認証認可基盤そのものは m_mizutani と nerocrux と toshi0607(退職済) が作ってくれたため、僕は移行のみを担当しました。 結果として、強制ログアウトなし・無停止でビジネス影響を出さずに、年間1000万円以上のコスト削減に成功しました[1]。その移行プロセスについて紹介します。認証認可基盤そのものの紹介はあまりしません。 移行した理由 大量の匿名アカウント ユビーでは、アクセスした全ユーザーに対して自動的に匿名アカウントを発行しています。これにより、ユーザーがアカウント登録しているかどうかに関わらず、同じID体系で透過的に履歴情報等を扱うことができます。アカウント
NTTドコモが同社のクラウドサービス「ドコモクラウド」向け認証基盤の大手術に着手している。従来の回線契約をベースにした認証基盤ではマルチデバイスへ十分対応できないと判断。回線にひも付かないIDをキーとした認証へ変更を進めている。今年の秋冬にかけてドコモクラウドサービスの“キャリアフリー化”が一気に進む見込みだ。 「地味ながら、ドコモにとっては心臓外科手術に等しい大きな取り組み」。こう語るのは、NTTドコモの斎藤剛スマートコミュニケーションサービス部オープンサービス企画担当部長だ。これまでの回線契約(電話番号)をベースとした「docomo ID」の認証基盤を、回線にひも付かないIDベース(例えばメールアドレス)の基盤へと再構築するプロジェクトを統括している。 同社がプロジェクトに着手したのは2012年秋ころ。「回線ベースで認証するサービスがもはや限界に来た」(斎藤部長)からだ(図1)。理由は
FIDOアライアンスが仕様を策定した「パスキー」は、パスワードではなく生体情報を用いて認証する「FIDO 2.0」を「Webauthn」標準に基いて利用して得た資格認証情報をデバイス単位で管理運用する技術です。このパスキーが抱える問題点について、Webauthn標準に関わったエンジニアのFirstyearことウィリアム・ブラウン氏が自身のブログで解説しています。 Firstyear's blog-a-log https://fy.blackhats.net.au/blog/2024-04-26-passkeys-a-shattered-dream/ Webauthnがパスワードに代わる認証技術として大きな可能性を秘めていると考えていたブラウン氏は、2019年にオーストラリアからアメリカに渡り、友人と共にWebauthnのRust実装であるwebauthn-rsの開発を始めました。その過程で
GitLabで1クリックアカウント乗っ取りが可能だった脆弱性から学ぶ、OpenID Connect実装の注意点 - Flatt Security Blog
はじめに こんにちは。株式会社Flatt Securityセキュリティエンジニアの森(@ei01241)です。 最近は認証や認可に際してOpenID Connectを使うWebサービスが増えていると思います。「Googleアカウント/Twitter/Facebookでログイン」などのUIはあらゆるサービスで見かけると思います。しかし、OpenID Connectの仕様をよく理解せずに不適切な実装を行うと脆弱性を埋め込むことがあります。 そこで、突然ですがクイズです。以下のTweetをご覧ください。 ⚡️突然ですがクイズです!⚡️ 以下の画面はOAuth 2.0 Best Practice上は推奨されないような実装になっており、潜在的リスクがあります。https://t.co/bXGWktj5fx どのようなリスクが潜んでいるか、ぜひ考えてみてください。このリスクを用いた攻撃についての解説記
Yahoo!ニュース @YahooNewsTopics 【総務相 住民票LINE請求は問題】 yahoo.jp/7Uh7LT 高市総務相は、東京都渋谷区が始めた無料通信アプリ「LINE」で住民票の写しの交付請求ができるサービスについて、区に改善を促す考えを示した。高市総務相は「セキュリティーなどの観点から問題がある」。 2020-04-03 13:31:15 Masanori Kusunoki / 楠 正憲 @masanork 不思議な主張。そんなこと法律に書かれてたっけ→“オンライン請求に必要な電子署名を用いていないため、「画像の改ざんやなりすましの防止といったセキュリティーの観点や、法律上の観点から問題がある」と指摘” / “LINEで住民票「問題ある」 高市総務相、渋谷区に改…” htn.to/3UQJWxK6wn 2020-04-05 07:31:50 弁護士 吉峯耕平 @kyos
メールアドレスだけで荷物が受け取れる宅配サービス「DD便」
相手のメールアドレスさえ知っていれば伝票記入の手間無しに荷物の受け渡しができる、全国一律料金の宅配サービスだそうです。これにより受取人は相手に個人情報を伝えることなく荷物を受け取ることが可能となり、送る側も伝票を記入する手間がなくなるとのこと。 ネットオークションなどを利用する時に良いかもしれません。 詳細は以下の通り。ドリームディスタンス ニュースリリース メールで定額DD便 このリリースによると、「DD便」に事前に登録しておくと、荷物を送る側が相手にメールで荷物を送る旨を連絡する際に、同報アドレス(Cc:)に「DD便」の受付アドレスを記入するだけで「DD便」が受取人にこの荷物を受け取るかどうかと受け取る場所、日時を確認してくれるそうです。 これによって受取人は相手に住所などの個人情報を伝える必要が無くなり、送る側も発送伝票を書く手間が省けるとのこと。 ちなみに送料は全国一律となっており
Auth.js v5ではじめる本格認証入門
Next.js 14 / Auth.js v5 / Prisma / Planet Scale / shadcn/ui / Tailwind CSS を用いた認証・認可をハンズオン形式で学びます。
はじめに みなさんはじめまして。BASEでエンジニアをしております田村 ( taiyou )です。 先日、BASEではショップオーナー向けのコミュニティサイト「BASE Street」にログインするための機能としてSSOログイン機能をリリースしました。 SSOログインを実現するための認証方式はいくつかあるのですが、弊社ではSAML認証方式を用いて実現しました。 そのため、この記事ではSAML認証機構のIdPとしてOSSを使わずにSAML認証機能を実装する方法を紹介します。 前回のテックブログで、このSSOログイン機能のフロント側を開発したPJメンバーの若菜が「サーバーサイドエンジニアがフロントエンドに挑戦して最高の経験になった話」を執筆したのでこちらも見てみてください! SAML認証機能を提供しているOSSには、Keycloakなどがありますが、BASEでは以下の理由により自前実装すること
はじめに 弊社では、最近BEC(ビジネスメール詐欺)のインシデント対応を行いました。この事案に対応する中で、マイクロソフト社(*1)やZscaler社(*2)が22年7月に相次いで報告したBECに繋がる大規模なフィッシングキャンペーンに該当していた可能性に気づきました。マイクロソフトによると標的は10,000 以上の組織であるということから、皆様の組織でもキャンペーンの標的となっている可能性や、タイトルの通りMFA(多要素認証)を実施していたとしても、不正にログインされる可能性もあり、注意喚起の意味を込めてキャンペーンに関する情報、および実際に弊社での調査について公開可能な部分を記載しています。 *1: https://www.microsoft.com/security/blog/2022/07/12/from-cookie-theft-to-bec-attackers-use-aitm
Back to 28: Grub2 Authentication Bypass 0-Day Grub2のバージョン1.98(2009年12月)から、2.02(2015年12月)までにおいて、脆弱性が発見された。 脆弱性はGrub2の認証機能を使っていた場合に、ユーザー名を入力すべきところで、バックスペースを28回入力すると、レスキューコンソールに入れてしまうものだ。これにより、コンピューターに物理アクセスを得ている人間が、Grub2の強力なレスキューコンソール機能を使うことができる。 脆弱性の原因も詳しく書かれていて興味深い。grub2のコードでは、'\b'が入力されるたびに、unsigned型の変数をデクリメントする。この時、アンダーフローをチェックしていない。その変数は配列の添字に渡されて、ゼロが書き込まれる。 結果として、関数のreturn addressを0x0にすることができ、関
はじめに 2023年4月に基盤エンジニアとして Ubie に入社しました nerocrux です。主に Ubie の ID 基盤の開発と保守運用を担当しています。 この記事は、2023 Ubie Engineers アドベントカレンダー 5 日目の記事となります。 Ubie では、モジュラモノリスを採用しつつ、マイクロサービスアーキテクチャも採用しており、領域によってサービスを分けて、それぞれの担当チームが開発と保守運用をしています。 クライアントから一つのリクエストを受け取ったあとに、Ubie のバックエンドではリクエストを受け取ったサービスだけがそのリクエストを処理することもあれば、別のサービスにディスパッチし、複数のサービスがひとつのリクエストを処理して結果を返すこともあります。 マイクロサービス間の通信が Ubie の内部で発生したとしても、必ずしも無制限で自由に行われていいわけで
GitHubでhttpsのパスワード認証が廃止された。Please use a personal access token instead. - Qiita
GitHubでhttpsのパスワード認証が廃止された。Please use a personal access token instead.GitGitHub $ git push origin branch名 remote: Support for password authentication was removed on August 13, 2021. Please use a personal access token instead. remote: Please see https://github.blog/2020-12-15-token-authentication-requirements-for-git-operations/ for more information. fatal: unable to access 'https://github.com/名前/リ
github.blog 9/1 に GitHub Container Registry がパブリックベータとして公開されました。GitHub が提供する Docker レジストリサービスです。 この記事では、GitHub Container Registry についていろいろ調べたり動かしたりした内容をまとめます。 目次 注意事項 背景 Docker Hub と GitHub Container Registry GitHub Packages と GitHub Container Registry 料金 organization での GitHub Container Registry の有効化 試してみる パーソナルアクセストークンの作成 イメージの push イメージの権限変更 認証なしで public イメージの pull イメージの削除 GitHub Actions から Git
You may have heard that the NSA can decrypt SSH at least some of the time. If you have not, then read the latest batch of Snowden documents now. All of it. This post will still be here when you finish. My goal with this post here is to make NSA analysts sad. TL;DR: Scan this post for fixed width fonts, these will be the config file snippets and commands you have to use. Warning: You will need a re
Firestoreセキュリティルールの基礎と実践 - セキュアな Firebase活用に向けたアプローチを理解する - Flatt Security Blog
こんにちは、株式会社Flatt Security セキュリティエンジニアの梅内(@Sz4rny)です。 本稿では、Cloud Firestore (以下、Firestore) を用いたセキュアなアプリケーション開発を行うためのアプローチについて説明するとともに、そのアプローチを実現するセキュリティルールの記述例を複数取り上げます。 本稿を読むことで、そもそも Firestore とは何か、どのように Firestore に格納するデータの構造を設計、実装すればセキュアな環境を実現しやすいのか、また、Firestore を利用するアプリケーションにおいてどのような脆弱性が埋め込まれやすいのかといったトピックについて理解できるでしょう。 なお、本稿は以前に投稿した記事と共通する部分があります。理解を補強するために、こちらの記事も適宜ご覧ください。 flattsecurity.hatenablo
Loading...
総務省とぴあは7月12日、マイナンバーカードを使ってチケットの高額転売を防ぐシステムの導入を検討していると明かした。ユーザー固有のマイナンバーカードで本人確認することで、1人が複数のチケットを不正購入、高額転売するのを防ぐ狙い。 総務省とぴあは2017年3月、プロバスケットボール「B.LEAGUE」観覧者の一部を対象に、マイナンバーカードを使った認証機能の実証実験をした。ユーザーは専用Webサイトでマイナンバーカードの公的個人認証サービスを利用してチケットを予約し、コンビニ店頭の実験用端末にマイナンバーカードをかざして決済、会場入り口で再度かざして本人確認をする――という仕組みだった。 公的個人認証サービスは、ネット上で行政手続きなどを行う際に、マイナンバーカードに記録されている電子証明書で本人認証する仕組み。対応の読み取り端末にマイナンバーカードをかざすことで利用できる。マイナンバーその
ヤフー株式会社は、2023年10月1日にLINEヤフー株式会社になりました。LINEヤフー株式会社の新しいブログはこちらです。LINEヤフー Tech Blog こんにちは。 IDソリューション本部の都筑です。 新卒2年目で普段はYahoo! ID連携のサーバーサイド、iOSのSDKの開発などを担当しています。 今回は最近ユーザーやデバイスの認証で用いられる”JSON Web Token(JWT)”についての解説と、Yahoo! JAPANと他社の活用事例を紹介したいと思います。 JWTとは? JWTとはJSON Web Tokenの略称であり、属性情報(Claim)をJSONデータ構造で表現したトークンの仕様です。 仕様はRFC7519(外部サイト)で定められています。 特徴として、署名、暗号化ができ、URL-safeであることなどが挙げられます。発音は"ジョット"です。 JWTと関連す
T.Teradaの日記 - ログイン直後のレスポンスの返し方
多くの会員制Webサイトでは、ID/PWによるログイン処理がある。ユーザにログイン画面を提示し、ユーザがフォームにID/PWを入力してsubmitする。ID/PWがOKであれば、ユーザのブラウザにはログイン後の画面が表示される。 以下に、これを実現するための2通りのシーケンス図を描く。セキュリティの観点で望ましいのはA、Bのどちらだろう?というのが今回のテーマ。 Aではログイン要求に対してHTTPステータス200応答とともにログイン後画面をブラウザに返している。Bではログイン要求に302応答を返して(HTTP1.1では303応答)、ログイン後画面にリダイレクトしている。 結論を言うと、セキュリティの観点では、私はBの方が望ましいと考えている。 逆に言うと、Aにはどうにも気に入らないところがある。それは、ID/PWを含むリクエストに対して200応答を返していることだ。200応答のページは、ブ
先日、Viceに他人のSMS(ショートメッセージサービス)を簡単に盗む方法があるという衝撃的な内容の記事が掲載されました。 攻撃者はターゲットのスマホにアクセスする必要も、SIMカードを手に入れる必要もありません。 ただ、VoIPサービス卸売業者にわずかなお金を払って、自分たちが再販業者であると思い込ませ、書類を偽造し、ターゲットのSMSを別の番号に転送するように仕向けるだけでいいのです。 セキュリティの甘かったSMSサービスLucky225さんはMediumで次のように説明しています。 2021年3月11日(木)のある時点まで、NetNumberは、あらゆる携帯電話番号のNNIDの再割り当てや乗っ取りを、認証も検証を行なわずに許可していました。 おそらく、この筆者やほかのジャーナリストから説明を求められたNetNumberは、内部調査を行ない、それが事実であることがわかると、一時的に携帯
CMSやWebサイト構築を手がけるディバータ(新宿区)は8月21日、特定の「mixiコミュニティ」に参加しているメンバーだけがアクセス可能な会員制サイトを構築できる無料サービス「mixGroup」(ミックスグループ)β版をオープンした。ミクシィが前日に公開した「mixi Open ID」を利用し、1晩で完成させたという。 コミュニティのIDと管理者メールアドレス、パスワードなどを設定すると、そのコミュニティのメンバーだけがアクセス・編集可能な会員制サイトを構築できる。 掲示板やフォトアルバム、ブログ、用語辞典、RSSリーダー、カレンダー、アクセス履歴管理など多様な機能を備え、コミュニティメンバーの権限(「全機能を閲覧できるが編集はできない」「ブログは編集できるが用語辞典は編集できない」など)は管理者が機能ごとに細かく設定できる。 20日に公開されたmixi OpenIDの認証機能「コミュニ
「OAuth認証が通ると、アプリ作者からはDMも何もかも見放題」という書き方は誤解を招く - aruto's diary
”なる4”の騒ぎの件で、「OAuthの危険性がわかっているのか?twitter関連アプリの作者は何でもできるんだぞ。たとえば、DMは見放題送り放題だ」という意見を良く見かけるのですが、誤解を招く表現なので、twitterクライアント作者の立場から捕捉しておきます。 (TwitterにおけるOAuth認証についての話です。本文の記述から判別できるとは思いますが、念のため。他サービスの場合、事情が異なってくる場合があります) 少なくともデスクトップで動作するアプリは、これらのリスクは(比較的)低い もちろんスパイウェア等は、この限りではありません。 OAuth認証の流れを図にしてみました(あくまで「おおまかな」図です。色々と、端折っています)。 うだうだと書かれていますが、大事なのは「アクセストークン」です。これさえ覚えてもらえれば、他は全て忘れてしまってかまいません。 twitter関連アプ
■ 通信プラットフォーム研究会 傍聴録 (Google社の発言あり) 通信プラットフォーム研究会が一般公開されているのを最近になって知り、先週7日に開かれた第6回会合を傍聴してきたので、討議の様子を書き留めておく。 それまでの会合の議事録を事前に読んで行ったのだが、これほど大きな会合(たくさんの人に発言権があり、たくさんの人が傍聴するもの)とは予期していなかった。構成員だけに発言権があると思っていた(各回のヒアリング対象が「オブザーバー」として発言することもあると理解していた)が、そうではなく、「オブザーバー」(傍聴者のことではない)全員に発言権がある形式だった。「オブザーバー」の今回の出席者は、配布資料の座席表によると以下の通り。 ヤフー、モバイル・コンテンツ・フォーラム事務局、マイクロソフト、東日本旅客道、日本インターネットプロバイダー協会、テレコムサービス協会、情報通信ネットワーク産
認証API をどうするか、ということで数名のスタッフであれこれ話ながらやってます。 まず、はてなの認証APIを使って何ができるといいのかというところですが、はてなラボをオープンしたときにいただいた意見などを見ると、「はてなのAPIで認証付きのをセキュアに利用するための API」というより「サードパーティのアプリケーションではてなIDでユーザーを識別できるためのAPI」の方が求められているという風に思いました。 具体的には、新規にユーザーを識別する必要のあるアプリケーション、例えば掲示板などを作るとして、その掲示板のユーザーを一意に識別する方法としてはてなIDを使いたい、そのIDが本当にその人のものであるかどうかをはてなが保証する、その保証を問い合わせるための API ですね。その掲示板でログインして何かを書き込むと id:naoya、と表示されると。 この手の認証APIを提供しているサービ
なる四時の騒動をまとめとく。(追記:ブクマされてるので念のため書いておくが増田は素人です。技術的な面に関しては参考までにどうぞ。) 間違ってたらトラックバックなりなんなりで訂正してくれ。 きっかけは小池氏(@ssig33)によるテスト。 なるほど白夜じゃねーの #4ji http://twitter.com/ssig33/status/20179930626 ちょっとしたテストで四時全員で俺の発言と youpy の発言ふぁぼらせる http://twitter.com/ssig33/status/20179966911 favoritesがどれくらいの速度出るのか試してみたい http://twitter.com/ssig33/status/20179979441 その結果、以下のpostが大量favされる(favstar参照) http://favstar.fm/users/ssig33
shiodaifuku.io
Webエンジニアのブログです。
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
認証を含む API 開発で検討すべきこと - ボクココ
イーロン・マスク、Twitterの認証マーク課金方針を認める。作家キングの「むしろお前らが私に払え」に月8ドルへの値下げ提案 | テクノエッジ TechnoEdge
未ログインでも叩けるAPIエンドポイントにレートリミットを導入する
「多要素認証(MFA)」ってなんだっけ? クイズを出したら不正解者多数だった件
2週間半のReact Nativeアプリ開発を振り返る - c-bata web
心臓の音で個人認証、精度95%以上 音のリズムやピッチを分析
マイナンバーカードを用いた本人確認とiPhoneへの機能搭載【鈴木淳也のPay Attention】
Firebase Authから内製認証基盤に無停止移行して年間1000万円以上削減した
NTTドコモが認証基盤を大手術、「回線ベースの認証はもはや限界」
パスワード不要の認証技術「パスキー」はパスワードよりもエクスペリエンスが悪いという批判
eKYCは当人認証ではなく身元確認 渋谷区の電子申請で乱用 他へ拡大のおそれ
IdPとしてSAML認証機能を自前実装した - BASEプロダクトチームブログ
MFA(多要素認証)を突破するフィッシング攻撃の調査 | セキュリティ研究センターブログ
Grub2の認証でバックスペースを28回押すとレスキューコンソールに入れる脆弱性が発見された
マイクロサービス間通信における認証認可およびアクセス制御
GitHub Container Registry 入門 - 生産性向上ブログ
Secure Secure Shell
http://www.machu.jp/posts/20051101/p01/
http://www.machu.jp/posts/20071023/p01/
チケット高額転売、マイナンバーカードで阻止 総務省とぴあが検討【訂正あり】 - ITmedia NEWS
JSON Web Token(JWT)の紹介とYahoo! JAPANにおけるJWTの活用
SMS認証はダメ。セキュリティ対策の注意点を徹底解説 | ライフハッカー・ジャパン
mixiコミュ限定の会員制サイト作れる「mixGroup」 「1晩で作った」
高木浩光@自宅の日記 - 通信プラットフォーム研究会 傍聴録 (Google社の発言あり)
Flickr の認証API - naoyaのはてなダイアリー
「なる四時」と「なる四時」のユーザが何をやらかしたかのまとめ