.app 1 .dev 1 #11WeeksOfAndroid 13 #11WeeksOfAndroid Android TV 1 #Android11 3 #DevFest16 1 #DevFest17 1 #DevFest18 1 #DevFest19 1 #DevFest20 1 #DevFest21 1 #DevFest22 1 #DevFest23 1 #hack4jp 3 11 weeks of Android 2 A MESSAGE FROM OUR CEO 1 A/B Testing 1 A4A 4 Accelerator 6 Accessibility 1 accuracy 1 Actions on Google 16 Activation Atlas 1 address validation API 1 Addy Osmani 1 ADK 2 AdMob 32 Ads
この記事は新野淳一氏のブログ「Publickey」に掲載された「LINEがオープンソースで「LINE FIDO2 Server」公開。パスワード不要でログインできる「FIDO2/WebAuthn」を実現」(2021年8月16日掲載)を、ITmedia NEWS編集部で一部編集し、転載したものです。 LINEは、スマートフォンやPCの指紋認証や顔認証などを用いることでパスワード不要でログイン処理を可能にする標準技術「FIDO2」や「WebAuhn」に対応したサーバ「LINE FIDO2 Server」をオープンソースで公開しました。 これにより、さまざまなWebアプリケーションやモバイルアプリケーションなどでFIDO2/WebAuthnを利用したログインが容易に実装できるようになることが期待されます。 FIDOアライアンス(ファイドアライアンス)が策定している技術「FIDO2」(ファイドツー
LINE株式会社が開催する技術者向けミートアップ「LINE Developer Meetup」。第62回となる今回のテーマは「Android」です。セッション「パスワードのない未来のためのFirebaseで実装するFIDO2」では、LINE株式会社のコキチーズ氏が登壇し、Androidアプリの登録やレジストレーションの実装などFIDO2をFirebeseで実装していくステップについて解説しました。講演資料はこちら セキュリティエンジニアからコードが書ける仕事へ コキチーズ氏:よろしくお願いします。「パスワードのない未来のためのFirebaseで実装するFIDO2」ということで話していきます。 まず簡単に自己紹介をさせてもらいます。インターネットではコキチーズという名前で活動しています。TwitterとGitHubのIDは@k2wankoでやっています。興味のある人はぜひフォローしてもらえる
認証/認可基盤PERMANの紹介 | CyberAgent Developers Blog
みなさま、こんにちは、こんばんはokzkと申します。 数年前にはAmebaの画像基盤でストレージを超ガンバッてた輩です。 今回は、内製の認証認可基盤のPERMANを紹介します。 PERMANって? Permission Managerからとって、PERMANです。 (藤子不二雄先生の漫画とは一切関係ないです) 簡単にいうと認証/認可基盤ですが、難しい言葉でいうと、Identity Governance & Administration(IGA)に分類されるシステムです。 ユーザサービス向けではなく社内向けのサービスとなっています。 具体的にはRBAC(Role Base Access Control)を志向していて、なんか色々対応しています。 整理せずに、ざっと例を上げると以下のようなカンジです。 SAML2(AWS, Google, AzureAD, Slack, GitHub, その他
.app 1 .dev 1 #11WeeksOfAndroid 13 #11WeeksOfAndroid Android TV 1 #Android11 3 #DevFest16 1 #DevFest17 1 #DevFest18 1 #DevFest19 1 #DevFest20 1 #DevFest21 1 #DevFest22 1 #DevFest23 1 #hack4jp 3 11 weeks of Android 2 A MESSAGE FROM OUR CEO 1 A/B Testing 1 A4A 4 Accelerator 6 Accessibility 1 accuracy 1 Actions on Google 16 Activation Atlas 1 address validation API 1 Addy Osmani 1 ADK 2 AdMob 32 Ads
.app 1 .dev 1 #11WeeksOfAndroid 13 #11WeeksOfAndroid Android TV 1 #Android11 3 #DevFest16 1 #DevFest17 1 #DevFest18 1 #DevFest19 1 #DevFest20 1 #DevFest21 1 #DevFest22 1 #DevFest23 1 #hack4jp 3 11 weeks of Android 2 A MESSAGE FROM OUR CEO 1 A/B Testing 1 A4A 4 Accelerator 6 Accessibility 1 accuracy 1 Actions on Google 16 Activation Atlas 1 address validation API 1 Addy Osmani 1 ADK 2 AdMob 32 Ads
.app 1 .dev 1 #11WeeksOfAndroid 13 #11WeeksOfAndroid Android TV 1 #Android11 3 #DevFest16 1 #DevFest17 1 #DevFest18 1 #DevFest19 1 #DevFest20 1 #DevFest21 1 #DevFest22 1 #DevFest23 1 #hack4jp 3 11 weeks of Android 2 A MESSAGE FROM OUR CEO 1 A/B Testing 1 A4A 4 Accelerator 6 Accessibility 1 accuracy 1 Actions on Google 16 Activation Atlas 1 address validation API 1 Addy Osmani 1 ADK 2 AdMob 32 Ads
GitHub - ory/kratos: Next-gen identity server replacing your Auth0, Okta, Firebase with hardened security and PassKeys, SMS, OIDC, Social Sign In, MFA, FIDO, TOTP and OTP, WebAuthn, passwordless and much more. Golang, headless, API-first. Available as a w
You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert
.app 1 .dev 1 #11WeeksOfAndroid 13 #11WeeksOfAndroid Android TV 1 #Android11 3 #DevFest16 1 #DevFest17 1 #DevFest18 1 #DevFest19 1 #DevFest20 1 #DevFest21 1 #DevFest22 1 #DevFest23 1 #hack4jp 3 11 weeks of Android 2 A MESSAGE FROM OUR CEO 1 A/B Testing 1 A4A 4 Accelerator 6 Accessibility 1 accuracy 1 Actions on Google 16 Activation Atlas 1 address validation API 1 Addy Osmani 1 ADK 2 AdMob 32 Ads
サイドチャネル攻撃への対策
.app 1 .dev 1 #11WeeksOfAndroid 13 #11WeeksOfAndroid Android TV 1 #Android11 3 #DevFest16 1 #DevFest17 1 #DevFest18 1 #DevFest19 1 #DevFest20 1 #DevFest21 1 #DevFest22 1 #DevFest23 1 #hack4jp 3 11 weeks of Android 2 A MESSAGE FROM OUR CEO 1 A/B Testing 1 A4A 4 Accelerator 6 Accessibility 1 accuracy 1 Actions on Google 16 Activation Atlas 1 address validation API 1 Addy Osmani 1 ADK 2 AdMob 32 Ads
The SaaS CTO Security Checklist Redux - Gold Fig — Peace of mind for infrastructure teams
Doing the basics goes a long way in keeping your company and product secure. This third1 edition of the SaaS CTO Security Checklist provides actionable security best practices CTOs (or anyone for that matter) can use to harden their security. This list is far from exhaustive, incomplete by nature since the security you need depends on your company, product, and assets. (e.hasAttribute('/')) ? e.re
CS253 - Web Security
CS 253 Web Security Fall 2021 This course is a comprehensive overview of web security. The goal is to build an understanding of the most common web attacks and their countermeasures. Given the pervasive insecurity of the modern web landscape, there is a pressing need for programmers and system designers to improve their understanding of web security issues. We'll be covering the fundamentals as we
Chrome 93で実装されたCross Device WebOTPフローを試してみた - r-weblife
おはようございます ritou です。 8月ですよ。お仕事の進捗大丈夫ですか? 最近、Google方面からDecoupled AuthNの香りがしたので追ってみました。 何の話? この話です。 developer.chrome.com WebOTPとは? Webアプリケーションがモバイル端末でSMS経由のOTP認証をしようと思った時、画面に「認証コードを送信しました」なんて出た後にSMSを確認できるアプリを起動して確認してまたブラウザに...とかをやったことがある人は多いでしょう。 WebOTPとは、モバイル端末上のブラウザであればアプリの切り替えをせずにワンタップでSMSで受け取ったOTPの値を読み込んで検証リクエストに繋げられる、しかもSMSを発信したWebアプリを特定できるフォーマットになっていることでフィッシングサイトからはこのフローを使えなくするような仕組みのことです。 web.
FIDO認証できるユーザーをスキャンさせない設計を考える
ritouです。 背景 これまで数年に渡り、「新規登録/ログイン時に登録状態がわかるレスポンスを返してくれるな。」というお話をしてきました。 SMSやEmailを入力して認証コードなどを送るタイプのログイン方法でも同様の実装は可能であり、表向きは「認証コードを送信したよ。受け取った値を入れてくれよな。」としつつ実際は既に登録済みだからログインからこい、未登録だから新規登録から来い見たいな内容を送りつつ、画面では正規のユーザーと同様のトークンなりを送り検証が絶対通らん! みたいなのを実装したりしています。 ではこれをWebAuthnなりネイティブ機能で提供されるFIDO認証でこれを実現したいとなった時にどうしたら良いか、細かく考えたらやっぱりめんどいなって話をします。 想定する環境 パスワード認証と組み合わせる2FA用途ではなく、FIDO認証のみでログインさせる 最初にユーザー識別を行うかど
What's New In DevTools (Chrome 95) | Blog | Chrome for Developers
New CSS length authoring tools DevTools added an easier yet flexible way to update lengths in CSS! In the Styles pane, look for any CSS property with length (e.g. height, padding). Hover over the unit type, and notice the unit type is underlined. Click on it to select a unit type from the dropdown. Hover over the unit value, and your mouse pointer is changed to horizontal cursor. Drag horizontally
Passkeyに対応するAndroid用の新パスワードマネージャ「Credential Manager」α版をGoogleがリリース。デバイス間でクレデンシャル同期可能に
Passkeyに対応するAndroid用の新パスワードマネージャ「Credential Manager」α版をGoogleがリリース。デバイス間でクレデンシャル同期可能に GoogleはPasskeyに対応するAndroid用の新しいパスワードマネージャ機能「Credential Manager」のアルファ版を開発者向けにリリースしたと発表しました。 We are excited to announce the alpha release of Credential Manager, a new #Jetpack API that allows devs to simplify their users' authentication journey, while also increasing security with support of passkeys. Read more in
.app 1 .dev 1 #11WeeksOfAndroid 13 #11WeeksOfAndroid Android TV 1 #Android11 3 #DevFest16 1 #DevFest17 1 #DevFest18 1 #DevFest19 1 #DevFest20 1 #DevFest21 1 #DevFest22 1 #DevFest23 1 #hack4jp 3 11 weeks of Android 2 A MESSAGE FROM OUR CEO 1 A/B Testing 1 A4A 4 Accelerator 6 Accessibility 1 accuracy 1 Actions on Google 16 Activation Atlas 1 address validation API 1 Addy Osmani 1 ADK 2 AdMob 32 Ads
より安全で利便性の高いパスワードレスログインが選択可能に 株式会社マネーフォワードは、当社が提供するサービスをご利用いただくための共通ID『マネーフォワード ID』が、パスワードを使わずにログインできる認証技術「パスキー」に対応したことをお知らせします。 これにより、ログイン方法として「パスキー」を選択した場合、パソコンやスマートフォン・タブレット端末に搭載されている生体認証機能(顔認証・指紋認証)などを使ってログインすることが可能となり、パスワード入力が省略できるため利便性が向上します。また、パスワード認証の一般的な課題とされている、IDやパスワードの不正入手による第三者の不正ログインのリスクを抑えることができます。 なお、引き続き従来のパスワード認証をログイン方法として選択することも可能です。 ■UIについて 『マネーフォワード ID』では「パスキー」対応と同時に、ユーザビリティの向上
.app 1 .dev 1 #11WeeksOfAndroid 13 #11WeeksOfAndroid Android TV 1 #Android11 3 #DevFest16 1 #DevFest17 1 #DevFest18 1 #DevFest19 1 #DevFest20 1 #DevFest21 1 #DevFest22 1 #DevFest23 1 #hack4jp 3 11 weeks of Android 2 A MESSAGE FROM OUR CEO 1 A/B Testing 1 A4A 4 Accelerator 6 Accessibility 1 accuracy 1 Actions on Google 16 Activation Atlas 1 address validation API 1 Addy Osmani 1 ADK 2 AdMob 32 Ads
パスワードマネージャの1PasswordがPasskey対応をベータ公開。Passkeyの保存と同期、ログインが可能に
パスワードマネージャの1PasswordがPasskey対応をベータ公開。Passkeyの保存と同期、ログインが可能に 代表的なパスワードマネージャの1つである1Passwordが、パスワードレスでログインできる業界標準のPasskeyに対応した新バージョンのベータ版を公開しました。 Windows、macOS、Linuxに対応したChrome、Firefox、Microsoft Edge、Braveの各Webブラウザ、およびmacOSのSafariの拡張機能として利用可能です。 Tired of passwords? Meet passkeys. Available in beta, you can now save and sign in with passkeys using 1Password in the browser. Dive into what’s new, how to
Humanity wastes about 500 years per day on CAPTCHAs. It’s time to end this madness
Humanity wastes about 500 years per day on CAPTCHAs. It’s time to end this madness2021-05-13 Select all the buses. Click on bikes. Does this photo have traffic lights? As ridiculous as these questions are, you’re almost guaranteed to have seen one recently. They are a way for online services to separate humans from bots, and they’re called CAPTCHAs. CAPTCHAs strengthen the security of online servi
パスキーはユーザー認証を どう変えるのか?その特徴と導入における課題 @ devsumi 2023 9-C-1
Mercari, Inc. offers C2C marketplace services as well as online and mobile payment solutions. Users can sell items on the marketplace, and make purchases in physical stores. Mercari is actively working on preventing phishing attacks. This is the driving force behind the adoption of passkey authentication. To enhance phishing resistance, several factors need to be considered, leading to the introdu
サービスを利用する際にユーザー自らが人間であることを証明するために、CAPTCHA(Completely Automated Public Turing test to tell Computers and Humans Apart)というテストのクリアを求められることがあります。Cloudflareが「CAPTCHAによる文字・画像の認識を完全に取り除く」と表明し、物理セキュリティキーを用いた新システム「Cryptographic Attestation of Personhood」を提案しました。 Humanity wastes about 500 years per day on CAPTCHAs. It’s time to end this madness https://blog.cloudflare.com/introducing-cryptographic-attestati
WebKit Features in Safari 17.0
Sep 18, 2023 by Jen Simmons and the Safari / WebKit Team Today’s the day for Safari 17.0. It’s now available for iOS 17 and iPadOS 17. [Update September 26th] And now, Safari 17.0 is available for macOS Ventura, and macOS Monterey, and macOS Sonoma. Safari 17.0 is also available in the vision OS Simulator, where you can test your website by downloading the latest beta of Xcode 15, which supports t
idcon29のY!Jの事例からログインフローにおけるWebAuthn対応の課題を考えた - r-weblife
ritouです。 idcon の Yahoo! JAPAN の人の資料と動画を見たメモです。 www.docswell.com youtu.be 2画面のログインUX p5 2画面か一回でやるかの話は、個人的にこだわっているスキャンの話もありますね。 Y!JはFederation(RP側)をやっていませんが、マネフォのようにパスワード認証/FederationがあるところにWebAuthnを追加する場合にどうすべきか、みたいなのは別途どこかで整理したい気がしています。 推測 Platform Authenticator だけはなく YubikeyとかのRoaming Authenticatorに対応してる場合、リセットした場合も同じことが起こりそう。 そもそもFIDOはブラウザ - 認証器と多段の処理になっているのでブラウザレイヤーでの完全なコントロールってのも難しそう。 例えば、Andr
.app 1 .dev 1 #11WeeksOfAndroid 13 #11WeeksOfAndroid Android TV 1 #Android11 3 #DevFest16 1 #DevFest17 1 #DevFest18 1 #DevFest19 1 #DevFest20 1 #DevFest21 1 #DevFest22 1 #DevFest23 1 #hack4jp 3 11 weeks of Android 2 A MESSAGE FROM OUR CEO 1 A/B Testing 1 A4A 4 Accelerator 6 Accessibility 1 accuracy 1 Actions on Google 16 Activation Atlas 1 address validation API 1 Addy Osmani 1 ADK 2 AdMob 32 Ads
デジタルネットワークにおいて不可欠の要素である「認証」の新たな形となるべく2012年に誕生した「Fast IDentity Online(FIDO:ファイド)」は、10年を経た2022年においてもまだ認証方式のスタンダードである「パスワード」に取って代わる存在となっていませんが、この10年間で「パスワードの必要性がない未来」へ向けて足りなかったピースが見つかったことを発表しました。 How FIDO Addresses a Full Range of Use Cases (PDFファイル)https://media.fidoalliance.org/wp-content/uploads/2022/03/How-FIDO-Addresses-a-Full-Range-of-Use-Cases.pdf Death of the Password? FIDO Alliance Reveals I
What's New In DevTools (Chrome 90) | Blog | Chrome for Developers
New CSS flexbox debugging tools DevTools now has dedicated CSS flexbox debugging tools! When an HTML element on your page has display: flex or display: inline-flex applied to it, you can see a flex badge next to it in the Elements panel. Click the badge to toggle the display of a flex overlay on the page. In the Styles pane, you can click on the new icon next to the display: flex or display: inlin
Are Passkeys really the beginning of the end of passwords? I certainly hope not!
Are Passkeys really the beginning of the end of passwords? I certainly hope not! Published on 2023-11-09. As of late, Passkeys are promoted as the killer of passwords and a lot of companies are now manically transitioning from passwords to Passkeys. I don't think that is a good idea. For decades now, security experts have emphasized the importance of creating strong and unique passwords yet to no
クラウドストレージサービスのDropboxが、フィッシングによりGitHubに保存されているコードの一部を盗み出されたことを公表しました。Dropboxによると、今回のデータ侵害によるユーザーの個人情報の流出は一切なく、流出したコードはDropboxのコアアプリおよびインフラストラクチャに影響を及ぼすものではないと説明しています。 How we handled a recent phishing incident that targeted Dropbox - Dropbox https://dropbox.tech/security/a-recent-phishing-campaign-targeting-dropbox Dropbox discloses breach after hacker stole 130 GitHub repositories https://www.blee
WebKit Features in Safari 17.4
ContentsArchitectural improvementsWeb AppsForm elementsCSSWeb APIJavaScriptMediaSVGWebGLWeb AssemblyWeb InspectorChanges to SafariSafari ExtensionsWeb AuthenticationBug Fixes and moreUpdating to Safari 17.4Feedback Just like Safari 15.4 and Safari 16.4, this March’s release of Safari 17.4 is a significant one for web developers. We’re proud to announce another 46 features and 146 bug fixes. You ca
ML Study Jams Vol.4 : Machine Learning トレーニング プログラムを開催します
.app 1 .dev 1 #11WeeksOfAndroid 13 #11WeeksOfAndroid Android TV 1 #Android11 3 #DevFest16 1 #DevFest17 1 #DevFest18 1 #DevFest19 1 #DevFest20 1 #DevFest21 1 #DevFest22 1 #DevFest23 1 #hack4jp 3 11 weeks of Android 2 A MESSAGE FROM OUR CEO 1 A/B Testing 1 A4A 4 Accelerator 6 Accessibility 1 accuracy 1 Actions on Google 16 Activation Atlas 1 address validation API 1 Addy Osmani 1 ADK 2 AdMob 32 Ads
ヤフーにおける WebAuthn と Passkey の UX の紹介と考察 #idcon #fidcon | ドクセル
スライド概要 「ヤフーにおける WebAuthn と Passkey の UX の紹介と考察」 idcon vol.29 で発表した資料です。 ヤフーの WebAuthn に関連する UX と Passkeys の登場によって変化した部分について紹介します。 https://idcon.connpass.com/event/258685/
本記事は Digital Identity技術勉強会 #iddance Advent Calendar 2022 の11日目の記事です。 最近いろいろ盛り上がってきているパスキーについて、実際にサービスに導入するときに気になりそうなポイントをまとめてみようと思います。 あくまでパスキー調べてる個人の意見です!それはちがくね?みたいなのあったら、コメントください 背景 既存の状況・問題点 今までのFIDO認証は、基本的にCredentialはAuthenticatorの外にはでない、Single-Device Credentialと呼ばれるものでした。そのため、セキュアではあるものの、Authenticatorを紛失した場合のリカバリが難しく、サービスの利用にあたってFIDO認証の利用を必須化することは難しい状態でした。 特にコンシューマー領域では、「Authenticatorを複数台持って
おはようございます ritouです。 前の投稿でも取り上げたWebAuthnとかFIDO認証って呼ばれてる認証方式のお話です。 ritou.hatenablog.com 今回は、FIDOアライアンスからUXのガイドラインが出ているので紹介します。 fidoalliance.org FIDO UX Guidelines - FIDO Alliance UX GUIDELINE PDF - FIDO Alliance 一言で言うと MacとかiOSとかAndroidとかWindowsの生体認証が使えるデバイス上でWebアプリを使ってるユーザーに対して、新規登録/ログインフローのなかでをどうやってデバイスを登録させてFIDO認証を使わせるか っていうお話です。 今回のターゲットとしては一般的なユーザーが使いつつ、強固なセキュリティが求められる銀行のWebアプリケーションのようなところを想定してい
Software security starts with the developer: Securing developer accounts with 2FA
ProductSecuritySoftware security starts with the developer: Securing developer accounts with 2FAGitHub will require all users who contribute code on GitHub.com to enable one or more forms of two-factor authentication (2FA) by the end of 2023. The software supply chain starts with the developer. Developer accounts are frequent targets for social engineering and account takeover, and protecting deve
CompanyPolicyOur response to the war in UkraineAs the global response to the tragedies in Ukraine and other impacted regions continues to evolve, I wanted to share with our community an expansion of the message that I shared earlier this week with our Hubbers. As the global response to the tragedies in Ukraine and other impacted regions continues to evolve, I wanted to share with our community an
.app 1 .dev 1 #11WeeksOfAndroid 13 #11WeeksOfAndroid Android TV 1 #Android11 3 #DevFest16 1 #DevFest17 1 #DevFest18 1 #DevFest19 1 #DevFest20 1 #DevFest21 1 #DevFest22 1 #DevFest23 1 #hack4jp 3 11 weeks of Android 2 A MESSAGE FROM OUR CEO 1 A/B Testing 1 A4A 4 Accelerator 6 Accessibility 1 accuracy 1 Actions on Google 16 Activation Atlas 1 address validation API 1 Addy Osmani 1 ADK 2 AdMob 32 Ads
2023年1月23日にAppleがリリースしたiOSやiPadOS、macOS向けのアップデートでは、Apple IDへのサインイン時にFIDOに準拠した物理セキュリティキーを利用できるようになりました。セキュリティキーによるログインはセキュリティを強固にするだけでなく、SMS認証の手間からも解放されるので非常にお役立ち。そこで、実際にセキュリティキーを設定する手順や、解除する手順をまとめてみました。 About Security Keys for Apple ID - Apple サポート (日本) https://support.apple.com/ja-jp/HT213154 ・目次 ◆1:セキュリティキーの設定手順 ◆2:実際にセキュリティキーでサインインしてみた ◆3:セキュリティキーの連係解除手順 ◆1:セキュリティキーの設定手順 今回は、iOS 16.3にアップデートしたiP
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
新しい Cookie 分類への AMP サイトでの対応
LINE、オープンソースソフト「LINE FIDO2 Server」公開 パスワード不要でログイン可能
パスワード認証のリスクを軽減するための「FIDO2」をFirebeseで実装していく
WebAssembly が新しいウェブ機能を加速する仕組み
amp-script: AMP ❤️ JS
オープンソース プロジェクトをサプライ チェーン攻撃から守る
より安全で便利な自動入力が Chrome に登場
Chrome のパスワード保護を強化 - その仕組み
『マネーフォワード ID』「パスキー」対応のお知らせ
新しい Google Identity Services API のリリースについて
webauthn_study_ritou.pdf
Mercari’s passkey adoption | Mercari Engineering
Cloudflareが「CAPTCHAの狂気」からの完全脱却を表明、物理セキュリティキーを使うシステムを提案
DNS のセキュリティ改善計画に関する誤解を解く
「パスワード認証なし」の世界に向けて足りなかったピースをFIDOアライアンスが発見
Dropboxが130のGitHubリポジトリからコードを盗まれた被害を公表
パスキー導入時のRelying Party側の考慮事項的なもの - Qiita
FIDOアライアンスのUXガイドラインには何が書いてあるか - r-weblife
Our response to the war in Ukraine
Android での TLS 採用に関する最新情報
Apple IDで物理的なセキュリティキーを二要素認証として設定する方法&解除する方法まとめ