マツコの知らない LINE ログインの世界
Ubie プロダクトプラットフォーム所属の nerocrux です。今回は Ubie において、 LINE ログインを成功させるために工夫したことをいくつか紹介したいと思います。 面白いこともすごいこともやってないし、対象読者もよくわかりませんが、興味があったら読んでみてください。 はじめに 症状検索エンジン「ユビー」について Ubie では、症状検索エンジン「ユビー」(以下、ユビーと呼ぶ)という一般ユーザー向けのサービスを展開しています。ユーザーが簡単な質問を回答することで、関連する病名や、適切な受診先情報を得ることができるサービスとなっています。 ユビーは Web ブラウザ経由で利用されることが多いですが、iOS / Android のネイティブアプリも提供しています。 ユーザーがユビーを利用する際に、ユビーのアカウントを作成することで、一貫性のある問診・受診・受診後のフォローアップ体
この2年でFirebase Authentication はどう変わった?セキュリティ観点の仕様差分まとめ - Flatt Security Blog
はじめに こんにちは、@okazu_dm です。 今回自分がぴざきゃっとさんが2022年4月に書いた以下の記事を更新したため、本記事ではその差分について簡単にまとめました。 Firebase Authentication利用上の注意点に関して生じた差分とは、すなわち「この2年強の間にどのような仕様変更があったか」と同義だと言えます。IDaaSに限らず認証のセキュリティに興味のある方には参考になるコンテンツだと思います。 更新した記事につきましては、以下をご覧ください。 差分について Firebase Authenticationの落とし穴と、その対策を7種類紹介する、というのがオリジナルの記事の概要でしたが、2年ほどの時間の中で対策については大きく進歩したものが4点ありました(残念ながら落とし穴が無くなった、とまでは言えませんが)。 今回記事の中で更新したのは以下4点です。 落とし穴 1.
GitHubで扱うPersonal access tokenの利用方法をセキュアにする - 10X Product Blog
こんにちは、セキュリティチームの@sota1235です。 セキュリティチームでは昨年の夏頃からGitHub上のセキュリティリスクを洗い出し、順に対応や改善を行っています。 そのうちの1つとして、昨年の秋ごろからGitHubのPersonal Access Tokenの取り扱いの改善を行ってきました。 具体的には以下の取り組みを行いました。 CI等で利用されているPersonal Access Tokenの利用廃止 OrganizationにおけるPersonal Access Token(classic)の利用禁止設定 今回はこの2つの取り組みについて、どのような課題設定を行い、どんな手順で完了したのかをお話しします。 以下のような課題感、疑問をお持ちの方に対する1つの回答になりうると思うので該当する方はぜひご一読ください🙏 GitHubにおけるPersonal Access Token
@Hiroki__IT が目の前にやってきて私にIstioのこと教えてくれた。- Istio in Action の読書感想文 - じゃあ、おうちで学べる
はじめに マイクロサービスアーキテクチャの台頭により、サービスメッシュ技術は現代のクラウドネイティブ環境において外せない選択肢の一つとなっています。 その理由は明確です。マイクロサービスに求められる非機能要件の多くは類似しており、これをアプリケーション側で個別に実装すると、開発者やインフラエンジニアの負担が増大するからです。 ここで登場するのがサービスメッシュです。サービスメッシュの採用により、これらの非機能要件をインフラ層で一元管理することが可能となり、アプリケーション開発者とインフラエンジニアの責務を明確に分離できます。つまり、各エンジニアが自身の専門領域にフォーカスできるのです。これは単なる効率化ではなく、イノベーションを加速させるためサービス開発する上での労苦をなくします。 そして、サービスメッシュの世界で圧倒的な存在感を放っているのがIstioです。その包括的な機能と広範な採用で
Semperisは2024年8月7日(現地時間)、「Microsoft Entra ID」(以下、Entra ID)に重大なセキュリティリスクがあると報告した。特定のMicrosoftアプリケーションにおいて、通常は許可されていない特権アクションを実行できることが明らかにされている。Entra IDのグローバル管理者ロールを含む特権ロールへのユーザーの追加や削除が可能である点が最も懸念されており、特権昇格の危険性があることが指摘されている。 特定のMicrosoftアプリケーションで不適切なアクセス許可が許される この問題は、MicrosoftのOAuth 2.0スコープ(アクセス許可)の不備に起因している。OAuth 2.0はアプリケーションがユーザーの認証情報を直接共有することなく限定的なアクセス権を取得できるようにするための認証プロトコルだが、このプロトコルで一部のMicrosoft
DeltaLake Universal Formatを使ったクロスプラットフォーム分析 - NTT Communications Engineers' Blog
本記事では6月に開催されたDATA+AI Summit 2024でGeneral Availabilityが発表されたDatabricksのDeltaLake Universal Formatの機能を使ってクロスプラットフォームでの分析を実現する方法について紹介します。 DeltaLake Universal FormatはDeltaLakeに保存されたデータをApache Icebergなどの異なるフォーマットで読み出すことができるようにする機能です。本記事では実際にDatabricks上でDeltaLake Universal Formatの機能を有効にしたテーブルを作成し、Amazon AthenaからApache Iceberg形式でクエリを発行するサンプルを用いて、機能の使い方と本機能のメリットについて解説します。 目次 目次 はじめに データレイクとOpen Table For
筒井(@ryu22e)です。2024年7月の「Python Monthly Topics」は、Cloudflare WorkersのPythonサポートについて解説します。 前半ではCloudflare WorkersでPythonを使う方法について、後半ではCloudflare WorkersでPythonを動かす仕組みと技術的制限について解説します。 なお、Cloudflare WorkersのPythonサポートは本記事執筆時点(2024年7月24日)でオープンベータ版です。正式リリース時には仕様が変更される可能性があります。また、一部機能はローカル環境でしか利用できません。 Cloudflare Workersとは Cloudflare Workersは、Cloudflareが提供するサーバーレスアプリケーションを構築・デプロイするためのプラットフォームです。主に以下のような特徴が
デジタルクレデンシャルによる「本人確認」と「身元確認」
こんにちは、富士榮です。 「クレデンシャル」という言葉も色々と定義がブレブレだという大きな課題はあるものの、さまざまな証明書をデジタル化(クレデンシャル化)するムーブメントの中では更にわけがわからないことになってきていますので、そろそろ定義をちゃんとしていかないといけない時期にきているわけです。 OpenArtに「Digital Credential, National ID」と入れたら生成された画像 例えば、マイナンバーカードをスマホ搭載した場合のmDocは本人確認書類として利用できるデジタルクレデンシャル、という位置付けとされていますが、マイナンバーカードを使って本人確認された情報をVerifiable Credentialとして発行したものも同じように本人確認書類として利用できるかのように表現されてしまっているのは本当に大丈夫なのか?という話はその典型だと思います。また、学修歴や資格
生成 AI や Gemini の基本について学べる Generative AI Study Jam 開催のお知らせ
.app 1 .dev 1 #11WeeksOfAndroid 13 #11WeeksOfAndroid Android TV 1 #Android11 3 #DevFest16 1 #DevFest17 1 #DevFest18 1 #DevFest19 1 #DevFest20 1 #DevFest21 1 #DevFest22 1 #DevFest23 1 #hack4jp 3 11 weeks of Android 2 A MESSAGE FROM OUR CEO 1 A/B Testing 1 A4A 4 Accelerator 6 Accessibility 1 accuracy 1 Actions on Google 16 Activation Atlas 1 address validation API 1 Addy Osmani 1 ADK 2 AdMob 32 Ads
xID、デジタル庁の「デジタル認証アプリ」を活用したい民間事業者向けの”署名API利用ソリューション”を提供 マイナンバーカード・デジタルIDを活用した自治体や企業の課題解決・新規事業創出を総合的に支援するGovtechスタートアップ、xID(クロスアイディ)株式会社(本社:東京都千代田区、CEO 日下 光 以下xID) は、デジタル庁の提供する「デジタル認証アプリ」を活用したい民間事業者向けの”署名API利用ソリューション”を提供いたします。 これにより、金融機関や通信事業者が、犯収法(※1)および携帯法(※2)に準拠した、マイナンバーカードの署名用電子証明書の利用による身元確認を、従来の「xIDアプリ」と「xID API」、アプリ開発事業者向けの「xID SDK」に加え、「デジタル認証アプリ」を利用して実施可能になります。 ※1…犯罪収益移転防止法のこと 参考:警察庁「犯罪収益移転防止
I'm back, Ruby on Rails
03 Aug, 2024 Last year, I wrote a blog post called Goodbye, Ruby on Rails. One year later, after creating my own business, I decided to be back to Ruby on Rails. I’m withdrawing my previous statements on DHH and Rails. Though I still have some concerns about the directions of Ruby on Rails, especially the rejection of TypeScript, I still believe that Ruby on Rails is a great framework for web deve
Addressed AWS Default Risks: OIDC, Terraform and Admin Access
Before we begin, here is a message from AWS that I also support: AWS has taken the feedback and has implemented improvements in the default Terraform OIDC Trust Policy. AWS has also contacted customers who may have been in this configuration. AWS recommends customers always test their configurations before doing so in production, but when they do, limit the condition key "Subject" or "sub" to prev
OIDC を Hono × Bun で完全に理解する
本記事では、OAuth 2.0 を OAuth、OpenID Connect 1.0 を OIDC と表記するため、適宜読み替えていただけますと幸いです。 TL;DR 弊チームで認証・認可の勉強会を実施 OIDC の特徴、フロー、脆弱性などを完全に理解した() Hono × Bun を利用して、OIDC のリライング・パーティーを実装してみた 番外編として、実際の JWT の中身がどうなってるのかを覗いてみた はじめに こんにちは、レバテック開発部 契約/請求ドメインチームの内藤です! 最近弊チームでは、認証認可の世界ではお馴染みの Auth屋 さんの本やネットの記事を読みつつ、適宜議論を交えた「認証・認可の勉強会」を実施しました。 先日、この勉強会に際し、弊チームのかにさんが OAuth についての記事を公開しました。 こちらの記事、認証・認可の基礎から OAuth までとても分かりやす
At Valyent, we are building open-source software for developers. As part of this mission, we're currently developing Ferdinand, our email sending service for developers (currently in alpha). Email infrastructure relies on several key protocols, with the most important being: SMTP (Simple Mail Transfer Protocol): Used for sending and receiving emails between mail servers. IMAP (Internet Message Acc
.app 1 .dev 1 #11WeeksOfAndroid 13 #11WeeksOfAndroid Android TV 1 #Android11 3 #DevFest16 1 #DevFest17 1 #DevFest18 1 #DevFest19 1 #DevFest20 1 #DevFest21 1 #DevFest22 1 #DevFest23 1 #hack4jp 3 11 weeks of Android 2 A MESSAGE FROM OUR CEO 1 A/B Testing 1 A4A 4 Accelerator 6 Accessibility 1 accuracy 1 Actions on Google 16 Activation Atlas 1 address validation API 1 Addy Osmani 1 ADK 2 AdMob 32 Ads
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Microsoft Entra IDに重大なセキュリティリスク 特権昇格の危険性
Cloudflare WorkersでサーバーレスPythonアプリを構築してみよう | gihyo.jp
xID、デジタル庁の「デジタル認証アプリ」を活用したい民間事業者向けの”署名API利用ソリューション”を提供
Build Your Own SMTP Server in Go
Windows 版 Chrome で Cookie のセキュリティを向上させる