ritouです。このしずかなインターネットにおける初投稿です。 おそらく、このしずかなインターネットのID連携では次のような設計になっていま「した」。問い合わせをさせていただき、対応いただきました。 これまでもQiitaなどで同様の実装例が紹介されていた際にはコメントさせていただいていたものですので、アンチパターンの紹介記事として読んでいただければと思います。 「Googleアカウントでログイン」ではじめると、ユーザーが作成され、Googleから受け取ったメールアドレス([email protected])が設定される 次回から「Googleアカウントでログイン」をすると、Googleから受け取ったメールアドレスでユーザーを参照 試しに、次のような流れで動作を確認してみます。 「Googleアカウントでログイン」でアカウント作成([email protected]) 「メールアドレス変更」
はてな村村長id:kanose「ゲームの歴史が販売中止になっても、表現の自由が侵害されたとは言われなかったよなー」
追記(00:35):id:Falky氏のブコメのおかげで、複数のブコメにある謎の誤読の理由がやっとわかったのでタイトル修正。 (ついでに、誤字修正したつもりが誤って再投稿となりしばらく二重投稿状態だったことに気づいた、すまぬ) https://twitter.com/kanose/status/1732048986259988949 抽象的にまとめれば、どちらも「本を焼く」行為である。ダブルスタンダードでは? この論法の根本的な欠陥は、敵対する論者の思想信条に対する軽薄な理解で、ただ揚げ足を取ろうとしているところだ。 言論の自由を重んずる立場として、「SNS批判殺到で出版停止」といった動きはすべて倫理的問題を含んでいると私は認識しているし、『ゲームの歴史』の絶版時にもその認識の元で行動した。 『ゲームの歴史』の批判者としてもっともPVを集めた岩崎啓眞氏もこう述べる。 KADOKAWAの騒ぎ
アドビは11月16日、漫画のセリフに特化したオリジナルフォント「貂明朝アンチック」をリリースした。Adobe IDさえあれば無料ユーザーでも「Adobe Fonts」から利用できるという。 漫画の吹き出しに古くから使われている、仮名が明朝体、漢字がゴシック体の「アンチック体」を採用。貂明朝アンチックでは、漢字に源ノ角ゴシック、仮名はコントラスト(水平・垂直方向の先の太さの差)を抑え、ゴシック体の漢字とマッチするようにデザインされたという。ウェイトは6種類用意されている。
大いなる流れには逆らえない あるAI研究者が言っていた、私の仕事もいつか AI に奪われるという言葉が非常に印象的だった。 私は一時期自分のキャリアに危機感を覚えAIに関する情報を集めていた。そのとき見つけたYoutube動画でこのようなことが語られていたのである。 ではなぜ彼らは研究を続けるのかと思うかもしれないが、個人や一団体がそれを放棄したところで世の中のイノベーションの流れを止めることは不可能だろう。 平和を望む国々も兵器開発をやめられないのと似たようなものだ。 私がこの記事のタイトルを思いついたとき、つい溜息が出た。あまり楽しくない思い出があるからだ。 ただ、思いついてしまった以上これを世に出さないわけにもいかず、血の涙を流しながらこの記事を書いている。 私というちっぽけな存在では、この大宇宙の大いなる流れには逆らえないのだ。 申し遅れました。私、YadaYadaKonnanYa
カネも思い出もすべてを奪われる…米国で被害が急増中の「Apple ID泥棒」の卑劣すぎる手口【2023編集部セレクション】 鉄壁のセキュリティの「最大の弱点」を悪用している
被害者たちは、外出先でiPhoneを盗まれ、わずか数分後にはアカウントから閉め出される。次いで自宅のMacはログインができなくなり、24時間以内に数百万円という預金が口座から消える――。そんな事例をウォール・ストリート・ジャーナル紙が報じている。 被害のきっかけは、iPhoneの4桁または6桁の簡易的なパスコードを盗み見られたことだ。これによって、より強力なパスワードを設定したはずのApple IDのセキュリティが同時に無力化されてしまった。 同紙が今年2月に「脆弱性」として報じ、さまざまなテックメディアで取り上げられ大きな反響を呼んでいる。Appleは現時点で対策措置を発表していない。 被害はiPhoneからほかのApple製品に広がる… これはiPhoneの6桁のパスコードさえわかれば、Apple IDのアカウントを丸ごと乗っ取れる状態であることを意味する。 Apple IDとは、多く
SPAのアプリケーションで、外部のIdPを使ってOpenID Connect によるログイン機能を開発しようと考えています。IDトークンの保存先として、ブラウザのCookieかサーバーのDBに保存するかの2つの案があると思っています。調べた限り、サーバーサイドで持つべきという意見が多いように見えますが、以下のような背景がある中で開発しても、ブラウザのCookieでは持つべきなのではないのでしょうか? - IDトークン自体にも、個人の属性(氏名等)情報は無いことを確認している - サーバーサイドでIDトークンの署名検証をして、IDトークンの改ざんが無いか確認する - Http Only属性:JSによるCookieへのアクセスを防ぐため - Secure属性:流出防止のため - SameSite=strict:CSRF対策のため 結論から言えば、「どちらでもよい」となります。しかし、恐らく話は
こんにちは。アドカレ12/24の記事を簡単にではありますが書かせていただきました。(25日のポストで遅刻ですが) Digital Identity技術勉強会 #iddanceのカレンダー | Advent Calendar 2023 - Qiita はじめに 本日のテーマ:思わず天を仰いでしまうID関連システムトラブル 本日のテーマは、みんな大好き「トラブル」の話です。CIAM(Consumer Identity and Access Management)領域のさまざまなシステムにさまざまな立場で関わり、さまざまなトラブルに遭遇してきた経験を踏まえて、クリスマスの合間の気楽な読み物として記載しましたので、一息ついていただければ幸いです。 今回はトラブルの中でも思わず「天を仰いでしまう」激ヤバトラブルにフォーカスして、私的ランキング形式でお届けしたいと思います。 天を仰ぐトラブルとは? 私
ritou です。 みんなが待っていたデジタル認証アプリの情報が公開されました。 開発者向けのガイドライン、APIリファレンスなどのドキュメントも公開されています。 今回は開発者視点でどんな作りになっていて、利用するために理解が必要となる標準化仕様はどのあたりなのかを取り上げます。ちょっとOIDCのRPやOAuthのClient実装経験のある開発者向け、ぐらいの内容です。 概要 公開された情報からすると デジタル認証アプリサービス(アプリ+バックエンド)はマイナンバーカードを用いた当人認証を実施 現在は都度マイナンバーカードを利用する必要がありますが、いずれはスマホに保存されたカード情報を使ってもっと楽になりそう ID連携のIdentityプロバイダとして認証イベント情報、基本4情報といった属性情報を民間/行政サービスに提供 民間/行政サービスは認証イベント情報に含まれるユーザー識別子を利
これは はてなエンジニア Advent Calendar 2023 の 18 日目の記事です。昨日は id:gurrium による private-isuで70万点取るためにやったこと - ぜのぜ でした。私は 50 万点ぐらいで満足してしまっていたので、しっかり詰めていて凄いなと思う。 developer.hatenastaff.com Web アプリケーション開発において、「キャッシュは麻薬」という言葉がインターネット上をよく飛び交っています。YAPC::Kansai OSAKA 2017 の id:moznion のトークでよく知られるようになったワードじゃないかな。 初出はちゃんとは分からないんですが、少なくとも 2011 年には言われていますね。 「キャッシュは麻薬」とはよく言ったものだ。— TOYAMA Nao (@nanto_vi) November 5, 2011 キャッシ
「次の職場が Ruby なんだけど」と読み書きそろばんを聞かれたのと、大阪Ruby会議03、大江戸Ruby会議10、Kaigi on Rails 2023 と Ruby/Rails 関係のイベントに続けて参加して、作者の皆さまと会ったので。 「読める」になるために 言語仕様は何らかの本 1 冊の冒頭の方を読めば雰囲気は掴めるだろう。 Ginza Rails27 igaiga - Speaker Deck 著書や技術顧問、健康診断レポート でお馴染みの @igaiga555 さんの作った表で、難易度別にまとまっている。 たのしいRuby か、プロを目指す人のためのRuby入門 が定番かなぁ。 できることを知る るりま (Ruby リファレンスマニュアル) の Enumerable、String Rails Guides の Active Support Core Extensions 日本語
JR東日本は2024年度末以降、グループの会員IDを統合する。交通系ICサービス「モバイルSuica(スイカ)」や共通ポイント「JREポイント」など20種類以上を集約し、鉄道や生活サービスに分散する累計5000万人規模のデータ基盤をつくる。鉄道収入の底上げが難しいなか、縦割りを崩したサービス開発を促して経済圏を拡大する。喜勢陽一社長が日本経済新聞の取材で明らかにした。JR東グループの会員IDは
Appleの複合現実(MR)ヘッドセットVision Proが2日米国で発売に至りましたが、同機では新たな認証システム「Optic ID」が導入されています。Optic IDはAppleの3番目の生体認証となります。 ■3行で分かる、この記事のポイント 1. AppleのMRヘッドセットVision Proで新たな認証システム「Optic ID」が導入された。 2. 安全な近赤外光で眼球を照らし、眼球カメラで虹彩の画像を撮影する。 3. 認証の際、登録された生体データとユーザーの虹彩が一致するかが判断される。 データはSecure Enclave内で処理 2013年に導入されたTouch IDは指紋により生体認証を行うものですが、2017年にiPhone Xで顔認証Face IDが新たに導入されました。 Face IDは最新のiPhoneでもデフォルトの認証システムとなっていますが、Vis
Adobe ID
Adobe サービスを使用するには、Adobe アプリケーション、オペレーティングシステム、ブラウザーを最新バージョンに更新してください。
Amazon運送会社、配達員「働かせ放題」常態化か 複数のID駆使して労働時間管理を骨抜きに<ニュースあなた発>:東京新聞 TOKYO Web
Amazon運送会社、配達員「働かせ放題」常態化か 複数のID駆使して労働時間管理を骨抜きに<ニュースあなた発> ネット通販大手アマゾンの商品を配送する運送会社が個人事業主の配達員に対し、労働時間を短く見せかけるため、別人のIDを使わせて働かせていたことが分かった。IDは労働時間の管理に使われ、アマゾンが定める上限を超えそうになると、運送会社が別人のIDを使わせて上限をすり抜けており、配達員の長時間労働につながっていた恐れがある。約2年前にも同様の問題が発覚しており、配達員の「なりすまし」が常態化していた可能性もある。(大島宏一郎)
ritou です。 少し前にパスキーとID連携の関係を考えるときにこういう観点があるよという話をしずかな方に書きました。 今回は、ログインに利用しようとした時のフローの中でここ似ているよね、こんな意図があるんだよっていう部分を取り上げます。 認証フローの似ている点 登場人物をUserAgent、RP、Authenticatorとして、あらゆるところを簡略化したシーケンスを用意しました。 ID連携、いわゆるソーシャルログインでは次のようになります。 登場人物をUserAgent、RP、IdPとするとこんな感じでしょう。 もちろん細かいところは違うわけですが、全体の流れは似ています。 WebAuthnのchallenge, OIDCのnonce, state 先ほどのシーケンス、たまたま似ていると言うよりも、これは認証フローにおける基本の流れであると意識しておきましょう。 パスキーやID連携の
モノリスでは大変なので、マイクロサービスやモジュラーモノリスにして認知負荷を減らしたり、生産性の劣化に抗いたいという考え方がある。 モジュラーモノリスとは モジュラーモノリスについては、だいたい infoq.com のモノリスシリーズ(?)を読めば良いんじゃないか。 有名なのは Shopify のヤツ。 モノリスとマイクロサービスの中間にある、1 アプリケーションなんだけどモノリスでは無い、アプリ内でモジュール分けされているアーキテクチャのこと。app/ の直下に MVC を置くんじゃなくて、COMPONENTS (例えば billing)/app/ の下に MVC を置く、ようなイメージ。 モジュラーに移行するタイミング 僕の感覚だと、数百モデルは全然モノリスで扱えると思っている。少なくとも 300 models 程度でモジュラーにしていく必要はまったく感じない。 世の中で見つけたモデル
さくらインターネットで活躍中の id:y_uukiを訪問 | はてな卒業生訪問企画 [#9] - Hatena Developer Blog
こんにちは、エンジニアリングマネージャーの id:onk です。 Hatena Developer Blogの連載企画「卒業生訪問インタビュー」では、創業からはてなの開発に関わってきた取締役の id:onishi、CTOの id:motemen、エンジニアリングマネージャーの id:onkが、いま会いたい元はてなスタッフを訪問してお話を伺っていきます。 id:onkが担当する第9回のゲストは、さくらインターネット株式会社の組織内研究所であるさくらインターネット研究所の上級研究員で、SRE (Site Reliability Engineering)の研究者としても活躍する id:y_uuki さんこと、坪内佑樹さんです。 2013年にはてなに新卒でWebオペレーションエンジニアとして入社後、サーバー監視サービス「Mackerel」をはじめとするサービス開発やはてなのインフラ開発・運用にSR
![さくらインターネットで活躍中の id:y_uukiを訪問 | はてな卒業生訪問企画 [#9] - Hatena Developer Blog](https://cdn-ak-scissors.b.st-hatena.com/image/square/5b5961cfe7e9736ef0e88bc0290b1599481d2626/height=288;version=1;width=512/https%3A%2F%2Fcdn-ak.f.st-hatena.com%2Fimages%2Ffotolife%2Fh%2Fhatenatech%2F20240319%2F20240319125826.jpg)
id:xlc さんがちょっと心配
・嫌いなものの記事に自分から突っ込んで行って嫌いと言う ・(類似製品の)好きなものの記事に行って嫌いなものの苦言を言う 自分から嫌いと言いに行くのはもうアレな人の手前なんよ… それが嫌いなら開かず無視したらええねん…ひたすら腐してるのはなんなん… あなたが望む実現しない要件を何度も挙げて最低条件って言うのは客観的に見て結構恥ずかしくないですか?他のみんなは大多数が興味があって覗いて、少数は内容を批判的に論じるんだけどxlc さんのは内容関係ないよね…? 超バズったからやってきた。とかならわかるんだけど公開ブクマ1桁以内でこういうの言っちゃったりしてるのは当たり屋じゃないっすかね… ちょっと心を落ち着けてはいかが? なぜコーディングにVSCodeを使うのか。 私がVSCodeを選んだ理由 xlc 2024-03-13 全く心が動かない。私的には80カラム固定のペインが2つ開きっぱなしの状態が
楽天モバイルは2024年4月23日から、eSIMを不正に利用される事案があったとして、利用者に注意喚起を行っている。eSIM(Embedded SIM)はネットワーク経由で契約者情報(プロファイル)を書き換えたり、プランを変更したりできるのが利点。eSIMの再発行もオンラインで行える場合が多い。 第三者が、不正なWebサイト(フィッシングサイト)などを通じて、利用者の楽天IDとパスワードを入手し、差し替えが必要なSIMカードをeSIMとして再発行し、モバイル通信サービスを不正に利用する事案が発覚したという。 同様の被害は近年、増加しており、FBIも2022年に警鐘を鳴らしていた。メディアやセキュリティー専門家は「SIMスワップ詐欺」と呼称することが多い。その手口は、楽天モバイルが案内している事案に似ており、何者かがフィッシングサイトなどで得た個人情報をもとに、スマートフォンの契約者になりす
iPhoneにApple IDのパスワードリセットを求める通知を連続送信してApple IDを奪い取る攻撃手法の存在が確認されました。攻撃者は「Apple公式サポートを装った電話」も併用しているとのことです。 Recent ‘MFA Bombing’ Attacks Targeting Apple Users – Krebs on Security https://krebsonsecurity.com/2024/03/recent-mfa-bombing-attacks-targeting-apple-users/ Last night, I was targeted for a sophisticated phishing attack on my Apple ID. This was a high effort concentrated attempt at me. Other fo
米Appleは6月11日(現地時間)、今秋実施する一連のOSアップデートに合わせ、サービス利用に使うアカウント「Apple ID」の名称を「Apple Account」に変更すると発表した。 Appleは今秋、iOS 18、iPadOS 18、 macOS Sequoia、watchOS 11、visionOS 2、tvOS 18をリリースする予定だ。Appleは、この名称変更は「Appleのサービスと端末間で一貫したサインイン体験を提供するため」で、「ユーザーの既存の資格情報に依存する」としている。 Apple IDは、Apple Music、Apple TV+、iCloudなどのAppleの一連のサービスや、App Store、iMessage、FaceTimeなどのAppleの端末で利用するアプリを利用する際に必要なアカウント。 Apple IDでも「一貫したサインイン体験」は実現さ
はてな村の顔役id:zaikabou 「『あの子もトランスジェンダーになった』は、版元変えて他から出せばいいんじゃないですかね」
https://twitter.com/zaikabou/status/1732765202318254279 いつもは、常識的なコメントから「はてな村の良心」と称されるid:zaikabouさんですけど こういう「KADOKAWA以外にも出版社はあるから焚書じゃない」論に与する怖いこと言い出すから、 やっぱり、全住民を観察し、村八分に相当する村民を「はてな村人別帳」に編纂してゆくはてな村の顔役さんなだけあるんだなぁと思っちゃいます。 ひとはおもてうらあっておこわいですね。 ノープラットフォーミング戦略の矛盾KADOKAWA以外から出せばよいのなら、KADOKAWAから出してもよいのでは? 差別に言論の場を与えてはいけないという「ノープラットフォーミング」戦略は、一方で自分たちの弱者性を戦略を正当化する根拠として語ります。 しかし、ここには明らかに矛盾が有ります。言論封殺は強者の戦略です。
息子がググっている不埒な動画のタイトルが準備中の講演資料に貼り付けられて父動揺→同じApple IDだと「iPadのコピペが共有される」という罠
MizumotoAtsushi @MizumotoAtsushi Apple IDが同じだったらiPadのコピペが共有されるため、息子が別室でググっているエッチな動画のタイトルが準備中の講演資料に貼り付けられて父動揺。 MizumotoAtsushi @MizumotoAtsushi Atsushi Mizumoto, Ph.D. in Foreign Language Education | Professor, Kansai University, Osaka, Japan mizumot.com
Rubyのobject_id
Rubyのobject_idを入口にして、Rubyの実装詳細について学びます。
パブリック・プライベートを問わず、AWSのストレージサービスであるS3のバケット名からアカウントIDを突き止める方法をセキュリティ企業「Tracebit」のCTOであるサム・コックス氏が公開しました。 How to find the AWS Account ID of any S3 Bucket https://tracebit.com/blog/2024/02/finding-aws-account-id-of-any-s3-bucket/ コックス氏の方法はS3のVPCエンドポイントを使用することでVPCエンドポイントポリシーを適用するのがポイントとのこと。ポリシーで「アカウントIDが1で始める場合のみ許可」などアカウントIDに基づいて許可を行う事で、ポリシーレベルでの拒否が発生するかどうかをチェックします。 具体的な方法は下記の通り。 まず最初にターゲットとなるバケットのリージョンを
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
メールアドレスをキーにしてID連携を行う設計の危うさ|ritou
マンガのセリフに特化 アドビ、オリジナルフォント「貂明朝アンチック」リリース 無料IDでも使える
連番IDを使うと会社が潰れる。(訳: 連番とUUIDのベンチマークを取ってみた❤️)
SPAのアプリケーションで、外部のIdPを使ってOpenID Connect によるログイン機能を開発しようと考えています。IDトークンの保存先として、ブラウザのCookieかサーバーのDBに保存するかの2つの案があると思っています。調べた限り、サーバーサイドで持つべきという意見が多いように見えますが、以下のような背景がある中で開発しても、ブラウザのCookieでは持つべきなのではないのでしょうか? - IDトークン自体にも、個人の属性(氏名等)情報は無いことを確認している - サーバーサイドでIDトーク
思わず天を仰いでしまうID関連システムトラブル - =kthrtty/(+blog)
デジタル認証アプリとのID連携で使われている標準化仕様と勘所
「キャッシュは麻薬」という標語からの脱却 - id:onk のはてなブログ
Ruby/Rails の勉強に何読んだらいいかと聞かれたとき - id:onk のはてなブログ
JR東日本、SuicaやJREポイントの会員ID統合へ 5000万人経済圏に 【イブニングスクープ】 - 日本経済新聞
Touch ID、Face IDに次ぐ第三の革命「Optic ID」 - iPhone Mania
Yahoo!知恵袋、ID非公開投稿を廃止「品質の低い投稿が多い」
パスキーとID連携の認証フローの共通点から見る認証技術の基本
Modular Monolith はどの辺りから考え始めるものなのか - id:onk のはてなブログ
楽天モバイルのスマホが乗っ取られる事案 同社が回線停止や楽天ID/パスワード変更などを呼びかけ
iPhoneに本人確認通知を連続送信してApple IDを奪い取る攻撃手法が報告される
「Apple ID」は今秋から「Apple Account」に名称変更
プライベートも含めあらゆるS3バケットのAWSアカウントIDを突き止める方法が開発される