証明書認証局(CA)のLet's Encryptが、公開鍵の証明書の失効状態を取得する通信プロトコルであるオンライン証明書状態プロトコル(OCSP)のサポートを終了することを明らかにしました。 Intent to End OCSP Service - Let's Encrypt https://letsencrypt.org/2024/07/23/replacing-ocsp-with-crls.html Let's Encryptのエグゼクティブディレクター兼共同創設者であるジョッシュ・アース氏は2024年7月23日に、「私たちは本日、OCSPのサポートを終了し、証明書失効リスト(CRL)をできるだけ早く導入する意向を発表します」と述べました。 Let's Encryptは記事作成時点で約10年間にわたってOCSPのレスポンダーを提供してきましたが、2022年からはCRLのサポートも行っ
GitHub ActionsがOpenID Connectをサポート。GitHubからクラウドへのデプロイがより安全に
GitHub ActionsがOpenID Connectをサポート。GitHubからクラウドへのデプロイがより安全に GitHubは10月27日と28日の2日間(太平洋時間)、オンラインイベント「GitHub Universe 2021」を開催、GitHub Actionsの新機能としてOpenID Connectをサポートしたと発表しました。 GitHub Actionsは、GitHubのイベントなどをトリガーとしてGitHubのサーバ上に用意された任意のDockerコンテナの実行を連係させていくことにより、ユーザーが自由にワークフローを定義できるというものです。 ワークフロー内のアクションとしてコードのビルドやテストの実行、クラウドへのデプロイなど、GitHubの機能にとらわれない、さまざまな動作を組み合わせることができます。 参考:[速報]GitHub Actions発表、Dock
https://twitter.com/kuwahara_jsri のやってる朝活Twitterスペースで以下の記事を知りました。 もちろんこういったリスクを列挙、検討するのは重要なことなのですが、 Firebase Authentication関係ない話では あれ、仕様に関して勘違いしてる? というのがいくつかあったので、再整理していきます。リスクは列挙することには業務上あまり意味はなく、評価され、リスクを受け入れるか外すかを判断するところが重要なので。 IDaaSは脆弱性を生み出すか IDaaS を導入することにより、逆に脆弱性が生まれることもあります。(中略) Firebase Authentication は他の IDaaS と比べて設定項目が少ないという特徴があります。 もちろんここに書かれてることは間違いではありません。ただ、少し実装にフォーカスが寄りすぎていると思っています。
JJUC CCC 2020 Fall の登壇資料です。 https://confengine.com/jjug-ccc-2020-fall/schedule/rich#session-28680-info keyword - BaaS ( Banking as a Service ) - …
The Teleport Access PlatformThe easiest, most secure way to access and protect your infrastructure Teleport Access On-demand, least privileged access, on a foundation of cryptographic identity and zero trust
{ "mcpServers": { "github": { "command": "docker", "args": [ "run", "-i", "--rm", "-e", "GITHUB_PERSONAL_ACCESS_TOKEN", "ghcr.io/github/github-mcp-server" ], "env": { "GITHUB_PERSONAL_ACCESS_TOKEN": "<YOUR_TOKEN>" } } } } MCP Specification の 2025-03-26 版 では、待望の Authorization について仕様が追加されました。本記事では、その内容と実装のアプローチをお伝えします。なお、可能な限り正確に書くよう努めていますが著者はセキュリティの専門家ではないため、もし記載内容に不備や曖昧な点があればコメントを頂ければ幸いです。 以下に要点をま
米Microsoft(マイクロソフト)は2023年10月11日、Windowsで「NTLM(NT LAN Manager)認証」を廃止する方針を明らかにした。理由は、NTLM認証がセキュリティー面の問題を抱えているためだ。パスワード長が短い場合、短時間で破られてしまうという。Windowsでは現在、NTLM認証よりもセキュアな「Kerberos認証」が主に使われており、マイクロソフトはユーザーに対してNTLM認証からKerberos認証への移行を推奨している。 もっともKerberos認証にはドメインへの参加が必要なため、Active Directory(AD)環境でしか使えない。企業がワークグループを利用している場合、いまだにNTLM認証が使われている。 現実には、中小企業を中心にワークグループを利用しているケースはまだ多い。Windowsシステムの構築を数多く手掛ける大塚商会の渡邉輝樹
[速報] IAMのMFA(多要素認証)でPasskeyが利用できるようになりました #AWSreInforce | DevelopersIO
あしざわです。 現在開催されているAWS re:Inforce 2024 のKeynote にて、AWS IAMのrootユーザーおよびIAMユーザーのMFA(多要素認証)としてPasskeyのサポートが発表されました。 AWS What's newブログ、AWS Blogの両方で発表されています。 概要 本アップデートによって、AWSのrootユーザー、IAMユーザーのMFAデバイスとしてPasskeyが利用できるようになります! AWS側で発行したPasskeyをGoogleアカウントや1passwordなどのクラウドサービスに登録することで、MFA認証としてPasskeyを利用してAWSアカウントにログインできるようになります。 AWS Blogに以下のように記載があるため、初回のリリース時はPasskey+パスワード認証のみでパスワードの利用は必須であるようです。今後のリリースでP
![[速報] IAMのMFA(多要素認証)でPasskeyが利用できるようになりました #AWSreInforce | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/3943ff4d5aff421cb4c2e42ad253a590a12c7bdf/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2024%2F06%2FIMG_3975-2.jpg)
フルパッケージ(FPP)ライセンス:OSを“単体で”購入したもの ライセンスは購入者に付与 いわゆる「パッケージ版」や「デジタルライセンス版」(※1)が当てはまる 「リテール(Retail)ライセンス」とも呼ばれる OEMライセンス:PCメーカーや販売代理店を通して供給される ライセンスはハードウェアに付与 細かく分けると「DSP版」(※2)と「OA3版」(後述)の2種類がある ボリュームライセンス(VL):法人に付与(販売)される その名の通り、法人がOSのライセンスを複数個用意する際に使われる ライセンスは法人に付与される(個人ユーザーは利用できない) EnterpriseエディションはVL限定となる (※1)Microsoft Storeを含む一部のECサイトで販売されている、パッケージを伴わないFPPライセンス(インストールメディアはWebからイメージをダウンロードして入手:参考記
おはようございます ritou です。 久々に「解説付きスライド全公開」的なやつをやります。 先月、チーム内でID連携のための標準化仕様に関する勉強会(私が一方的に話す会)を行いました。 が、実際はだいぶグダグダになってしまい、これはその後色々付け足してるうちに別物になってしまった資料です。 内容としては、ID連携のための標準化仕様にどのようなものがあるかを知ってもらうための「入門編」のような立ち位置で作りました。 OpenID Connect(やSAMLのような) ID連携のための標準化仕様を紹介しようと思うと、ついつい個別にシーケンスやリクエスト/レスポンスの説明を始めがちですが、初学者が気になるのはそんな細けぇことではないでしょう。 まずは「この仕様で何ができるようになるのだろう」「この仕様では何を実現したいんだろう」と言うところから理解していくのが良いのではないでしょうか。 そこで
フィッシングサイトへの自動入力のリスク SMS OTPとWebサイトが紐付かない状態では、正規のSMS OTPがフィッシングサイトへ自動入力されるリスクが生じる。現実的なリスクとして、GutmannらはMITMと組み合わせた「ログインにおける2要素認証の回避」と「ソーシャルログインの偽装による電話番号確認の回避」、「オンライン決済における取引認証の回避」の3つのシナリオを示している⁷。2要素認証の回避につながるリスクは、iOSの自動入力がPayPayの偽サイトで発動した前回の検証で確認している。今回の検証ではAndroidの自動入力がPayPalの偽サイトで発動するか確認する。 2要素認証の回避 PayPalの偽サイトは前回と同様にMITMフィッシングフレームワーク「Evilginx2」で複製し、一般利用者が誤ってアクセスしないようインバウンド接続を制御した。Android 11のChro
どこかでこっそりやった勉強会の資料を公開します。
Googleアカウントから完全に締め出されたときの対処法は?
Googleのアカウントは、GmailやYouTubeだけでなく、様々なサービスと連携して利用することが可能です。これは、アカウントが使えなくなったときに影響の及ぶ範囲もそれだけ大きいともいえます。マーケティングなどを行う企業・Red Violet Worksの創業者でCEOのデジレア・カルヴィロ氏が、Googleアカウントから完全に締め出しを食らい、なんとか復帰するまでの経緯を、後の人のために明らかにしてくれています。 When You Get Locked Out of Your Google Account, What Do You Do? https://www.linkedin.com/pulse/when-you-get-locked-out-your-google-account-what-do-desirea-calvillo カルヴィロ氏は2004年、まだ招待制だったころ
面倒くさいから nginx の LDAP 認証モジュール公開したよ | IIJ Engineers Blog
2021年11月にセキュリティ情報統括室に所属。頑固なので、ニックネームだけでもやわらかくひらがなにしてみました。普段はハニーポットで収集したDDoSの発生源であるマルウェアを対象に分析しています。 おはようございます。こんにちは。こんばんは。ふぇにっくちゅん です。 今回紹介するのは nginx で利用できる LDAP 認証モジュール(ngx_auth_mod)です。 nginx は Web サーバやリバースプロキシなどを構築でき、オープンソースとして公開されています。 nginx の詳細はこちらに記載されています。 本記事で紹介する ngx_auth_mod は CATSHAND と呼ぶ情報共有システムのモジュールとして開発したものです。 情報共有についての記事「情報を流れに乗せよう:セキュリティ調査の共有方法」も併せて一読ください。 CATSHAND のシステムは Web サーバとし
この記事は GitHub Actions Advent Calendar 2021 の 3 日目の記事です。 2021/10/27 に GitHub Actions の OpenID Connect (OIDC) サポートが正式にアナウンスされました。 この機能を一通り触ってみて気づいたことをまとめます。 概要 これまで、GitHub Actions のワークフロー実行中に AWS や GCP といったクラウドプロバイダにアクセスする必要がある場合、クラウドプロバイダ側でクレデンシャルを発行して GitHub 側にシークレットとして保存するのが一般的でした。 しかし、GitHub に長時間有効なクラウドプロバイダのシークレットを保存すると、例えば退職者が発生したときにシークレットを更新する作業が必要になるなど、面倒な作業が発生してしまいます。また、シークレットの漏洩リスクについても考慮が必
OpenAuth
Universal: You can deploy it as a standalone service or embed it into an existing application. It works with any framework or platform. Self-hosted: It runs entirely on your infrastructure and can be deployed on Node.js, Bun, AWS Lambda, or Cloudflare Workers. Standards-based: It implements the OAuth 2.0 spec and is based on web standards. So any OAuth client can use it. Customizable: It comes wit
デジタル庁が官民で横断的に利用できる認証アプリを、2024年度初めをメドに提供することが、日経クロステックの取材で分かった。マイナンバーカードを使った本人確認手続きやログイン認証を、新たに開発するスマートフォン用アプリに集約する。 これまでマイナンバーカードを使った本人確認手続きやログイン認証は、行政のサイトや民間サービスごとに異なっていた。デジタル庁は国の行政サイトを新認証アプリに順次対応させるほか、地方自治体に利用を促し、さらに民間サービスにもアプリの認証機能を開放する。国と地方、民間が横断的に利用できる、いわば個人認証の「スーパーアプリ」の地位を狙うプロジェクトといえる。 本人確認手続きや個人認証がこのアプリ1つで可能になることで、マイナンバーカードの利用者体験が大きく向上するというメリットをデジタル庁は訴える。 マイナンバーカードは2023年3月12日時点の申請ベースで対象人口の7
スマホの電話番号を乗っ取られる「SIMスワップ」被害が増加 求められる対策とは?:房野麻子の「モバイル新時代」(1/3 ページ) ここ最近、「SIMスワップ」「SIMハイジャック」といった言葉が世間を騒がせている。一般に知られるようになったきっかけは、4月に起こった東京都の都議会議員と、大阪府八尾市の市議会議員の被害だ。 SIMカードの乗っ取りで200万円を超える被害 市議会議員のケースでは、議員のソフトバンク携帯電話が、何者かによって高額な最新機種に機種変更され、PayPayを使い込まれたり、200万円以上もする腕時計を購入されたりしたことがX(旧Twitter)に投稿された。 議員はまず、自分の携帯電話が圏外で使えなくなった。当初、電波障害をうたがったという。しかし、そのような状況ではないことを確認し、原因を調べに八尾市のソフトバンクショップを訪れたところ、名古屋市のショップで最新のi
[Auth0] IPAの「クラウドサービス安全利用の手引き」で参考になりそうなAuth0の参考情報をまとめてみた | DevelopersIO
Auth0を始めとした様々な便利なSaaSがありますが、いざ業務で使おうとすると、社内・組織の承認が必要なるでしょう。 そんなときに便利なのが、IPAが公開しているクラウドサービス安全利用の手引きです。 中小企業の情報セキュリティ対策ガイドライン:IPA 独立行政法人 情報処理推進機構 付録6: クラウドサービス安全利用の手引き 本記事では、上記のクラウドサービス安全利用の手引きを参考にして、Auth0の関連リンクを紹介していきます。 まずは下記でAuth0の構成を見てから、Auth0の各ドキュメントを読むと用語が分かりやすいと思います。 おすすめの方 Auth0を使うにあたって、社内承認に必要な参考情報を知りたい方 はじめに 本記事の内容を参考にすれば、100%OKというわけではありません あくまでも参考情報であり、会社や組織などで最終判断をしてください Auth0の利用に関する文章を読
![[Auth0] IPAの「クラウドサービス安全利用の手引き」で参考になりそうなAuth0の参考情報をまとめてみた | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/247159e9ae832fc63863b32c15dc936cd0630df3/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2019%2F03%2Fauth0-eyecatch.001.png)
※本記事は、技術評論社「Software Design」(2024年1月号)に寄稿した連載記事「Google Cloudを軸に実践するSREプラクティス」からの転載1です。発行元からの許可を得て掲載しております。 はじめに 前回はDatadogによるクラウド横断のモニタリング基盤について解説しました。 今回はCloudflareとは何か、なぜ使っているのか、各サービスとポイント、キャディでの活用例を紹介します。 ▼図1 CADDiスタックにおける今回の位置付け Cloudflare とは 本記事では、Cloudflare社が提供しているプラットフォーム全体を「Cloudflare」とします。 Cloudflareは、ひと昔前までは数あるシンプルなCDN(Contents Delivery Network)サービスの1つでした。CDNとは、コンテンツの配信を最適化するためのネットワークです。
ある日,HTML5のLocal Storageを使ってはいけない がバズっていた. この記事でテーマになっていることの1つに「Local StorageにJWTを保存してはいけない」というものがある. しかし,いろいろ考えた結果「そうでもないんじゃないか」という仮定に至ったのでここに残しておく. 先の記事では,「Local StorageにJWTを保存してはいけない」の根拠として「XSSが発生した時,攻撃者がLocal Storageに保存したJWTを盗むことが出来てしまう」といったセキュリティ上の懸念事項が挙げられていた. これに対し,クッキーを用いたセッションベースの認証では,セッションIDをクッキーに保存する.クッキーにHttpOnlyフラグをつけておけば,JavaScriptからはアクセスできず,XSSが発生しても攻撃者はセッションIDを読み取ることが出来ない. 一見すると,これは
IDaaSベンダのOkta、月間1万5000アクティブユーザーまで無償の「Okta Starter Developer Edition」提供開始。多要素認証にも対応、開発者向け施策を拡大
IDaaSベンダのOkta、月間1万5000アクティブユーザーまで無償の「Okta Starter Developer Edition」提供開始。多要素認証にも対応、開発者向け施策を拡大 代表的なIDaaSベンダの1つであるOktaは、開発者向け施策拡大の一環として無償利用の範囲を拡大した「Okta Starter Developer Edition」の提供開始を発表しました。 Today at #Oktane21, we announced our new reimagined developer experience. Developers need tools that put security at the forefront while seamlessly integrating with any hybrid, cloud, or multi-cloud environmen
Cloudflare で mTLS を利用する
Cloudflare で mTLS を利用するのがあまりにも簡単だったので書いておきます。 mTLS について 一般的に TLS を利用する場合は「クライアントがサーバーから送られてきた証明書を検証する」という仕組みを利用し、 信頼できる機関が発行した証明書を利用しているかどうかや証明書のドメインが一致しているかどうかなどを確認します。 mTLS (mutual TLS) というのは TLS 利用時に「クライアントから送られた証明書をサーバが検証する」という仕組みです。 つまりサーバーがクライアントがわから送られてくる証明書を確認するというフェーズが挟み込まれます。 この証明書自体は何を使ってもよく、オレオレ証明書でもかまいません。 クライアント側に証明書を設定するという仕組みです。VPN とかを利用したりする方は経験があるかもしれません。 mTLS はめんどくさい クライアント側に証明書
JWS/JWE/JWT/IDトークンの包含関係 JWS (JSON Web Signature) と JWE (JSON Web Encryption) の直列化方法には、それぞれ JSON 形式とコンパクト形式がある。 JWT (JSON Web Token) は JWS か JWE だが、いずれにしてもコンパクト形式である。仕様でそう決まっている。 仕様により、ID トークンには署名が必要なので、ID トークンは JWS もしくは「JWS を含む JWE」という形式をとる。 ID トークンは「JWE を含む JWS」という形式はとらない。なぜなら、仕様により、ID トークンを暗号化する際は「署名してから暗号化」という順番と決まっているため。 アクセストークン/JWT/IDトークンの包含関係 アクセストークンの実装が JWT だとは限らない。 仕様により、ID トークンは必ず JWT で
おじいちゃんのスマホ操作を見ながら感じた認証のあり方について - freee Developers Hub
こんにちは。認証認可基盤エンジニアのてららです。 最近好きな言葉はコンフォートゾーンです。好きな食べ物はニンジンです。 猫派です。 経緯 週末、パートナーが祖父母の家に帰るということで付き添いをしてきました。 その1つの目的としてパートナーの祖父(以下、おじいちゃん)がスマートフォンを利用していたのに急にスマホアプリから認証を求められて困っている、とのことでそれの解決をしていました。 「なんとか出来ないかねぇ」ということでパートナーがおじいちゃんのスマホを触りながら操作方法を教えつつ、認証情報を探しておじいちゃんに手解きしている様子を眺めていました。 その時、“ログイン”や“ユーザーID”、知識認証情報を紙に記してその紙の管理をしていたところからこのアプリは何をしたかったのか、おじいちゃんが苦労せずにアプリを触るためにはどうあるべきなのかをずっと考えていました。認証認可基盤のエンジニアとし
スマートフォンが手元にないとGoogleアカウントの2段階認証が行えない? Googleアカウントの2段階認証プロセスでは、スマートフォンに送られてきたセキュリティ通知で[はい、私です]ボタンをタップする必要がある。しかし、スマートフォンが手元にないと、セキュリティ通知に対応できない。スマートフォンが手元になくても、2段階認証プロセスをパスできるようにする方法を紹介しよう。 Googleアカウントでは、セキュリティのため2段階認証を設定することが推奨されている。そのため、Googleアカウントに2段階認証を設定している人も多いのではないだろうか。 Googleアカウントの2段階認証プロセスでは、「新しいデバイスでのログインなど、重要な操作を検知した場合」などに、デフォルトではスマートフォンにGoogleからのメッセージ(セキュリティ通知)が表示され、そこで操作を行わないと、ログインできない
SaaS におけるテナントリソースへのリクエストルーティングを JWT を用いて実現する | Amazon Web Services
Amazon Web Services ブログ SaaS におけるテナントリソースへのリクエストルーティングを JWT を用いて実現する みなさんこんにちは。ソリューションアーキテクトの福本です。 本投稿のテーマは Software as a Service(SaaS)におけるルーティングです。 SaaS ではテナントごとにサーバーなどのリソースが分離されていることがあります。そのため、各テナントに属するユーザーからのリクエストを適切なリソースへとルーティングする必要があります。 具体的なルーティングの話に入る前に、SaaS のテナント分離モデルについて説明をします。SaaS では、テナントの分離モデルとしてサイロ、プール、ブリッジモデルが存在します。また、ユーザーがサブスクライブしている利用プラン (ティア) によって、リソースの分離形態が変わるような、階層ベースの分離もあります。 サイ
Azureのファンであり続ける大変さ
この記事は、著者の許可を得て配信しています。 https://www.alexhudson.com/2021/09/17/its-tough-being-an-azure-fan/ AzureはカテゴリーリーダーであるAWSに属しているのですが、これまでAzureはナンバーワンのクラウドプロバイダーではありませんでした。しかし、多くの人が考えるように、Azureが第2位だということはかなり妥当なことであり、必ずしもAWSと大きく差別化されているわけではないけれども、特筆すべき点は十分にあると言えるでしょう。 しかし、Azureテクノロジーのユーザーやファンでさえも、Azureをクラウドプロバイダーとしておすすめすることがますます困難になってきています。 さて、私はGartner社(2021年7月の時点で、Azureをカテゴリー「リーダー」と評価し、競合はAWSとGoogleだけとしている)
おうちで学ぶサービスメッシュを支える透過型プロキシとしてのEnvoy - NTT Communications Engineers' Blog
この記事は、NTT Communications Advent Calendar 2021 4日目の記事です。 こんにちは、イノベーションセンターでSREとして働いている昔農(@TAR_O_RIN)です。主にNTT Comのソフトウェアライフサイクルの改善への取り組みやアーキテクトに関わる仕事をしております。本日はサービスメッシュを題材に,その中で用いられるEnvoyの活用パターンを手を動かして理解するお話をさせていただきます。 また,昨年までのアドベントカレンダー記事もご興味があればご覧ください! 2020年 How do you like k3s ? - CoreDNSで作るお家DNS Cacheコンテナ 2019年 TektonでCI/CDパイプラインを手の内化しよう 2018年 DevOpsってこんな仕事!考え方とスキルセットのまとめ 2017年 DockerのnetworkをCa
AI & MLLearn about artificial intelligence and machine learning across the GitHub ecosystem and the wider industry. Generative AILearn how to build with generative AI. GitHub CopilotChange how you work with GitHub Copilot. LLMsEverything developers need to know about LLMs. Machine learningMachine learning tips, tricks, and best practices. How AI code generation worksExplore the capabilities and be
公開鍵認証を悪用、初逮捕 HP改ざん容疑で25歳会社員 | 毎日新聞
マジックリンク認証の落とし穴
TL;DR 主にモバイル端末からの利用において、ユーザーが手間取ることが多い エンジニアなど、リテラシーが高いユーザー層を対象にした場合にのみ利用したほうが良さそう マジックリンク認証、使ってますか? マジックリンク認証とは、メール内に記載されたリンクを踏むことで認証が完了する認証方式です。パスワード流出のリスクが無いことから、パスワード認証に比べてセキュアな点が特徴です。 Slackが採用しているため、ユーザーの立場で使ったことがある人は多いと思います。 筆者は一時期Firebaseを多用していたのですが、Firebase Authenticationを使用すると簡単にマジックリンク認証を実装することができ、またパスワード設定/変更/忘れ等を考慮する必要がないことから実装の手間を省けると考え、個人開発のプロダクトで採用しました。 実際開発は短期間で終わり、最小限のコード量で済んだことから
銀行 <-> 資金移動業者、銀行 <-> 証券会社で発生したセキュリティインシデントに関する社内向けの勉強会資料です。2020/09/18移行は基本的に追っていないため、最新でない可能性があります。 本件に関する指摘・コメントは @ken5scal までお願いします。
[図解] Laravel の認証周りのややこしいあれこれ。
Laravel のログイン認証周りのカスタマイズをする度、 「この場合どこをいじればいいんだっけ・・・」と混乱するので、 図にまとめてみました。 全体感を掴んでいただくことが目的ですので、 この記事では、具体的なカスタマイズのコードは紹介しません。 ご了承ください。 まずは登場人物一覧 ガード (guard) Laravel では「認証」と呼ぶことが多いです。 ログイン機構の種類を表します。 たとえば、ECサイトの「管理者」と「会員」など。 ログイン画面の数だけガードがある、というイメージです。 provider (認証方法) と driver (認証状態の管理方法) で構成されています。 config/auth.php に定義されており、追加・変更ができます。 ガードドライバ (driver) ログインの認証状態をどうやって管理するか。 多くの場合はセッション認証 (session) で
![[図解] Laravel の認証周りのややこしいあれこれ。](https://cdn-ak-scissors.b.st-hatena.com/image/square/952f1220532c94d01f9a6b79fede14e6c928a00b/height=288;version=1;width=512/https%3A%2F%2Fres.cloudinary.com%2Fzenn%2Fimage%2Fupload%2Fs--VyzU06gV--%2Fc_fit%252Cg_north_west%252Cl_text%3Anotosansjp-medium.otf_55%3A%25255B%2525E5%25259B%2525B3%2525E8%2525A7%2525A3%25255D%252520%252520Laravel%252520%2525E3%252581%2525AE%2525E8%2525AA%25258D%2525E8%2525A8%2525BC%2525E5%252591%2525A8%2525E3%252582%25258A%2525E3%252581%2525AE%2525E3%252582%252584%2525E3%252582%252584%2525E3%252581%252593%2525E3%252581%252597%2525E3%252581%252584%2525E3%252581%252582%2525E3%252582%25258C%2525E3%252581%252593%2525E3%252582%25258C%2525E3%252580%252582%252Cw_1010%252Cx_90%252Cy_100%2Fg_south_west%252Cl_text%3Anotosansjp-medium.otf_37%3ARoku%252Cx_203%252Cy_121%2Fg_south_west%252Ch_90%252Cl_fetch%3AaHR0cHM6Ly9zdG9yYWdlLmdvb2dsZWFwaXMuY29tL3plbm4tdXNlci11cGxvYWQvYXZhdGFyLzAzMmUzNjRjMTUuanBlZw%3D%3D%252Cr_max%252Cw_90%252Cx_87%252Cy_95%2Fv1627283836%2Fdefault%2Fog-base-w1200-v2.png)
前提情報・背景・注意事項 自分の頭の整理のためにマイナンバーカードの中身を調べたメモです これを参考にして試してみる場合にはうっかり自分の個人情報を公開しないようにご注意ください。 国から認可された団体以外、他人の公的個人認証の証明書を収集・記録することは制限されています 電子署名と暗号化の仕組みはここでは書きません。 私はMacBook pro masOS BigSur(バージョン11.3)、チップApple M1で試しています PCにICカードリーダーを接続し、マイナンバーカードが読み取り可能な状態となっている必要があります マイナンバーカード 公的個人認証とは 公的個人認証サービスとは、行政や民間のオンライン申請や届出、ログイン認証の際に、他人による「なりすまし」やデータの改ざんを防ぐために用いられる本人確認の手段です。 マイナンバーカードなどの中のICチップの中に電子証明書が記録さ
LINEヤフーは8月5日、同社のメールサービス「Yahoo!メール」において、第三者から閲覧された可能性があると発表した。SMS認証を使った「Yahoo! JAPAN ID」のログインに不具合があったとしている。 Yahoo! JAPAN IDのSMS認証には、登録された携帯電話番号の持ち主が変更されていないかを確認する仕組みが組み込まれているが、それが一定期間中(6月13日午後1時11分から27日午前11時30分まで)一部正常に動作しなかったという。現在、不具合は解消している。 このため、ユーザーが登録した携帯電話番号を解約するなどして使用しなくなり、Yahoo! JAPAN IDに登録していた番号を変更せずにいた場合、新たに携帯番号を取得したユーザーがその番号でYahoo! JAPAN IDにログインできてしまう事象が一部のユーザーに発生したという。 閲覧された可能性がある情報は、Ya
無償アップグレードしたWindows 10のライセンスはマイクロソフトアカウントとセットで使うべし - 価格.comマガジン
昨年2023年9月20日、米MicrosoftのDevice Partner CenterのWebサイトに「Windows Ends Installation Path for Free Windows 7/8 Upgrade」という記事が投稿された。Windows 7/8/8.1からWindows 10/11への無償アップグレードを行うためのインストールパスを終了したという内容だ。 米Microsoftの発表。Windows 10/11への無償アップグレードは2016年7月29日に終了したとある。Windows 11は2021年11月発売なので、少し変な文章になっている 少しわかりにくい表現だが、これはWindows 10/11のライセンス認証の際に、Windows 7/8/8.1のプロダクトキーを使用できなくなったことを意味している。無償アップグレードは2015年7月から2016年7月
Leaner Technologies でエンジニアをしている @corocn です。 社内では IDaaS 利用していきたいねという機運が高まっているのですが、toB で SAML 対応の IDaaS について比較検討してみて難しいな〜と思ったところをまとめてみました。 前提 BtoB SaaS では、初期のプロダクトの領域を起点に事業領域を隣接する領域に広げていくことが多いですよね。バックオフィス向けの SaaS を開発しているメガベンチャーを見ているとそう感じます。 新しく立ち上げたプロダクトを既存のユーザーさんにも提供したい。そうなると、必然的に複数のプロダクトに対して共通で ID 基盤を持ちたくなるはず。認証ドメインを分離しようとすると、自前で作るか、KeyCloack などの OSS をベースに運用するか、IDaaS の利用を検討することになるでしょう。 最初は認証基盤も含めて
内包型アクセストークン、典型例としては JWT アクセストークンは、関連するデータを自身の内部に持っています。下記の条件が成り立つと、論理的な帰結として、そのようなアクセストークンから直接個人情報が漏洩します。 個人情報が含まれている 暗号化されていない ステートレス 意図しない者に盗まれる ここで「ステートレス」とは、「個人情報を保存するためのデータベースレコードを認可サーバー側に持たない」ことを意味しています。 もしもアクセストークンの実装が「内包型/暗号化されていない/ステートレス」であり、また、システムがクライアントアプリケーションに個人情報を提供する必要があるなら、当該システムは、アクセストークンに情報を埋め込むことを避け、個人情報を問い合わせるための Web API を提供すべきです。 ユーザー情報エンドポイント (OIDC Core Section 5.3) はそのような A
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
世界最大の認証局のLet’s Encryptが「オンライン証明書状態プロトコル(OCSP)」のサポートを打ち切ると発表
「Firebase Authentication 7つの落とし穴」のリスクを再整理する
認証・認可基盤に Keycloak を使って開発生産性を上げた話
14 Best Practices to Secure SSH Bastion Host
安全なMCPへの第一歩 : Authorization の仕様を理解する - Qiita
ユーザー名とパスワードが正しいのにNASが利用不能に、NTLM認証廃止の波紋
あなたのPCのWindows 10/11の「ライセンス」はどうなっている? 調べる方法をチェック!
ID連携の標準化仕様紹介とセキュアな実装のためのアプローチ ~ 2021 - r-weblife
SMS OTPの自動入力によるリスクとその対策
C向けサービスで 使われている認証方式と安全な使い方
GitHub Actions の OpenID Connect サポートについて
デジタル庁が「認証スーパーアプリ」を24年度提供へ、官民サービス横断で狙う地位
スマホの電話番号を乗っ取られる「SIMスワップ」被害が増加 求められる対策とは?
第10回:Cloudflareの紹介と運用のポイント - CADDi Tech Blog
おーい磯野ー,Local StorageにJWT保存しようぜ!
「Amazon」でパスワードレス認証「パスキー」が利用可能に ~顔や指紋で簡単ログイン/手軽、安全、使いやすい次世代ログイン方式
図解 JWS/JWE/JWT/IDトークン/アクセストークンの包含関係 - Qiita
「スマホが手元にない!」でGoogleアカウントの2段階認証に詰まない方法
Introducing fine-grained personal access tokens for GitHub
俺たちはマルチステークホルダー間のセキュリティインシデントから何を学ぶのか
マイナンバーカードの中身をOpenSCで覗いてみる - Qiita
「Yahoo!メール」で漏えいか、本文など第三者が閲覧の可能性 SMSログインに不具合
BtoB SaaSにおけるIDaaSの選択が難しい
JWT アクセストークンからの個人情報漏洩 - Qiita
anagrams.jp
youtu.be
www.watch.impress.co.jp
www.pixiv.net
youtu.be
www.vogue.co.jp