この2年でFirebase Authentication はどう変わった?セキュリティ観点の仕様差分まとめ - Flatt Security Blog
はじめに こんにちは、@okazu_dm です。 今回自分がぴざきゃっとさんが2022年4月に書いた以下の記事を更新したため、本記事ではその差分について簡単にまとめました。 Firebase Authentication利用上の注意点に関して生じた差分とは、すなわち「この2年強の間にどのような仕様変更があったか」と同義だと言えます。IDaaSに限らず認証のセキュリティに興味のある方には参考になるコンテンツだと思います。 更新した記事につきましては、以下をご覧ください。 差分について Firebase Authenticationの落とし穴と、その対策を7種類紹介する、というのがオリジナルの記事の概要でしたが、2年ほどの時間の中で対策については大きく進歩したものが4点ありました(残念ながら落とし穴が無くなった、とまでは言えませんが)。 今回記事の中で更新したのは以下4点です。 落とし穴 1.
AWSが「IAM Roles Anywhere」発表。一時的にAWSへのアクセス権をAWSの外側にあるワークロードに付与
AWSが「IAM Roles Anywhere」発表。一時的にAWSへのアクセス権をAWSの外側にあるワークロードに付与 Amazon Web Services(AWS)は、AWSの外側にあるワークロードに対して一時的にAWSリソースへのアクセス権を付与できる「IAM Roles Anywhere」を発表しました。 : Need to give workloads outside of AWS temporary access to AWS resources? Announcing IAM Roles Anywhere, allowing you to provide temporary AWS credentials to workloads outside AWS using the same IAM roles & policies you configured for your
Cloudflare Zero Trustを導入してみた - POC環境構築編 - メモのページ - チラシの裏メモ 3枚目
ゼロトラスト ネットワーク(ZTN)の学習用環境として、Cloudflare Zero Trustを自宅に導入してみた。 今回はCloudflare Zero Trust導入手順のメモ。 2023/7/8追記 ポリシーの設定やOktaとの連携等の記事は、当記事内下部の「Cloudflare Zero Trust関連の記事」のリンク先を参照。 Cloudflare Zero Trustとは CDN事業者として知られているClaudflare社が提供するゼロトラスト セキュリティソリューションである。 SWG(Secure Web Gateway)と呼ばれるクラウド型のプロキシサービス、IPアドレスの匿名化、アンチウイルス・アンチマルウェア、URLフィルタリング、アプリケーションフィルター等のサービスを提供する。 Cloudflare Zero Trustと競合する主なゼロトラストネットワーク
ネットサービスのアカウントを作ろうとして、「セキュリティのために電話番号も入力してください」とのメッセージに遭遇したことがある人は多いはず。パスワードと電話番号に届いた認証コードの両方でログインする「2要素認証(2FA)」は強力なセキュリティとして重宝されていますが、ハッカーにとってはほとんど無意味だとセキュリティ企業が警鐘を鳴らしています。 Bypassing 2FA - Secret double octopus https://doubleoctopus.com/blog/threats-and-alerts/bypassing-2fa/ 企業向けのパスワードレス認証技術を手がけるDouble Octopusによると、そもそもパスワードを用いること自体が基本的に安全なものとは言えないとのこと。そのため、2FAを導入したログイン方法もその場しのぎの対処法に過ぎず、せいぜいパスワードだけ
6/30のOffice365勉強会のEntra Verified ID特集の資料です。 分散型ID、Entra Verified IDの解説をしています。Read less
IDとPWのみでのGoogleアカウントへのログインが5月30日に終了。サードパーティ製アプリなどに影響 | スラド セキュリティ
もとの告知がいつ行われたのかはハッキリしないのだが、Googleは5月30日にユーザー名とパスワードのみでGoogle アカウントにログインする「安全性の低い」アプリとデバイスに関するサポートを終了するそうだ(安全性の低いアプリと Google アカウント)。これだけだと分かりにくいが過去記事に書かれたコメントによれば、同日以降はアプリ側でOAuth 2.0への対応が必須になるという意味だそうだ。OAuth 2.0非対応のメーラーなどを利用している場合は対策が必要になる。昨年話題となった秀丸メールでの対策事例が参考になると思われる(窓の杜)。 なお、Googleの告知ではAppleデバイスに関する注意も記載されている。Google側の説明によると、Appleデバイス上でユーザー名とパスワードのみを使用しているユーザーが最近ログインしていない場合、2月28日以降はGoogleアカウントの種類
米Google(グーグル)が2024年2月1日に適用を開始した「メール送信者のガイドライン(Email sender guidelines)」が奏功している。メールセキュリティーベンダーであるTwoFiveの調査によれば、日経平均株価を構成する上場企業225社の送信ドメイン認証「DMARC」導入率は85.8%に急増したという。メールのセキュリティーレベルは確実に向上し、迷惑メールや悪意のあるメールによる被害を防ぎやすくなっている。 DMARC導入状況を定点観測 メール送信者のガイドラインでは、Gmailアカウント宛てに1日当たり5000件以上のメールを送る企業などに対して、送信ドメイン認証「SPF」「DKIM」及びDMARCの全てに対応することを求めている。このうち、最も導入率が低いとされるDMARCへの対応が進むかどうかが注目されている。
iPhoneのパスワードレス機能はWindowsとも連携するとAppleが発表。Windows上のChromeにiPhoneをかざしてログインも可能に、FIDO標準への対応で
iPhoneのパスワードレス機能はWindowsとも連携するとAppleが発表。Windows上のChromeにiPhoneをかざしてログインも可能に、FIDO標準への対応で 日本時間6月7日未明にAppleが開催したイベント「WWDC 2022」でAppleは、iOSデバイスで提供されるパスワードレス機能「Passkeys」が、Apple以外のデバイスとも連携するようになると説明しました。 と同時に、スクリーン上ではWindows 11のデスクトップ画面上にChrome(もしくはEdge)ブラウザのパスワードレスによるログイン画面が表示されていました。 つまり、Touch IDやFace IDを使ってApple以外のデバイスでもパスワードレスでログインできるようになる見通しです。 Passkeysをクロスプラットフォーム対応にすると明言 AppleはWWDC 2022で、iPhoneに代
2024年度神奈川県公立高校入試の出願システムにおいて、1月9日よりメール受信障害が発生しています。神奈川県は「主に@gmail.comにおいて出願システムからのメールが受信できないという事象が発生」と説明していますが、送信元のアドレスにおいて適切な設定が行われていないとさまざまなサイトで指摘されています。 県入試 2024 出願システムからのメール、なぜ届かない? | カナガク https://kanagaku.com/archives/69286 ちょっと調べたが超酷い。汎用JPはどうよとか、ドメイン認証ちゃんとできてないとか以前の問題で、基本的なメール設定が間違っている。MXにIPアドレスいきなり書くなよ。しかもIPアドレスとしても正しくないという。 / “高校入試の出願システム、Gmailにメール届かず……神…” https://t.co/4sxyz2wAiw— 上原 哲太郎/Te
ネット上で商売するのが当たり前な時代。自社でWebサイトやWebアプリを抱える企業も相当な数になっている。そこでインシデントが発生すれば信用、ブランド、収益……失うものは計り知れない。 本連載では情報セキュリティの専門家・徳丸浩さんが制作した脆弱性診断実習用のWebアプリ「BadTodo」を題材に、ストーリー形式でWebアプリ制作に潜む“ワナ”について学んでいく。 登場人物は全て架空の存在だが、ワナは全て現実にあり得るもの。せりふは徳丸さんの監修の下制作した。 特集:Webコンテンツの守り方 情報漏えい対策術 経営や企業イメージに大きな打撃を与える情報漏えい。近年ではWebサイトの改ざんやデータベースを狙った攻撃により情報を盗み出す事案が話題になっている。本特集では情報漏えいを引き起こすサイバー攻撃と、WAFによる対策について解説する。 カクーノ株式会社:Webアプリ開発を手掛ける企業。本
httpsとは?httpとの違い、移行のメリットや注意点を解説! | AKKODiS(アコーディス)コンサルティング株式会社
httpsとは?httpとの違い、移行のメリットや注意点を解説! 公開日:2019.08.15 最終更新日:2020.12.18 スキルアップ 近年、セキュリティやSEO対策の観点から、自身や企業が保有するWebサイトをhttps化するようになりました。IT・エンジニア職として働く場合、実際にhttps化の作業を担当することもあるでしょう。ここでは、https化はどのようにセキュリティを高めるのか、また、https化のために具体的に何を行えばよいのかご説明します。
2023/12/12 記事公開 2023/12/14 調査サービスの差し替え & コメント返信 はじめまして。kinmemodokiです。 この記事はDigital Identity技術勉強会 #iddance Advent Calendar 2023の12日目の記事です。 2023年では様々なウェブサービスがパスキーに対応し様々なログインUXが生まれました。 本記事はそのさまざまなウェブサービスのパスキーによるログインUXの挙動をまとめ、挙動の考察を行いました。 本記事で扱うのは「ウェブサービスのパスキーでのログインUX」についてであり、「パスキー周りの実装や技術」については基本的に扱いません。 なお、本記事では「WEB+DB PRESS Vol.136「特集2 実戦投入パスキー ─いまこそ実現、パスワードレス認証!」」の「第2章 パスキー時代の認証UX」を参考にしており、最低限の部分は
AWSアカウント シングルサインオン構成のご紹介(電通デジタル自社開発部門 2020年上期版)|Dentsu Digital Tech Blog
電通デジタルでSite Reliability Engineer(SRE)をしている齋藤です。 先日(8/5)に7/22開催のAWS Black Belt Online Seminar「AWSアカウント シングルサインオンの設計と運用」の資料が公開されました。 資料中では以下の内容を説明しています。 ・AWSではアカウントに個別のIAMユーザを作成してログインする代わりに、IDプロバイダ(IdP)を使用し、シングルサインオンができること ・シングルサインオンは組織に独自のID基盤がある場合や、複数のAWSアカウントを使用している場合に有効であること ・シングルサインオンの実現の方法にはいくつかパターンがあり、運用をふまえながら何を選択するのがよいかであること 弊社の自社開発部署もAWSをマルチアカウント構成-シングルサインオンで運用しています。今回はその事例を上記資料の選定パターンチャート
Google、パスワードレスを実現する「Passkey」の開発者向けサポート開始。Androidデバイス間の同期、Androidを使ってWin/MacでのWebサイトへのログインなど実現
Google、パスワードレスを実現する「Passkey」の開発者向けサポート開始。Androidデバイス間の同期、Androidを使ってWin/MacでのWebサイトへのログインなど実現 Googleは、パスワードレスを実現する「Passkey」のAndroidとChromeでの開発者向けのサポートを開始したと発表しました。 Google is bringing passkey support to Android and Chrome! Users can now create and use passkeys on Android devices. Passkeys are a significantly safer replacement for passwords and other phishable authentication factors Try passkey supp
フルスクラッチして理解するOpenID Connect (1) 認可エンドポイント編 - エムスリーテックブログ
こんにちは。デジカルチームの末永(asmsuechan)です。 この記事では、OpenID Connect の ID Provider を標準ライブラリ縛りでフルスクラッチすることで OpenID Connect の仕様を理解することを目指します。実装言語は TypeScript です。 記事のボリュームを減らすため、OpenID Connect の全ての仕様を網羅した実装はせず、よく使われる一部の仕様のみをピックアップして実装します。この記事は全4回中の第1回となります。 なお、ここで実装する ID Provider は弊社内で使われているものではなく、筆者が趣味として作ったものです。ですので本番環境で使用されることを想定したものではありません。なんなら私は ID Provider を運用する仕事もしておりません。 1 OAuth 2.0 と OpenID Connect 1.1 用語の
羽田空港国際線で運用されている顔認証技術搭載の搭乗手続きシステム「Face Express」で、管理会社の元従業員による内部情報の持ち出し事案が発生した。持ち出された情報は4月8日までに全て回収して完全削除済み。第三者に漏えいした形跡はないとしている。 持ち出されたのはシステム内部に保存された顔写真やパスポート情報、搭乗券情報など1046人分。それぞれの情報はひも付けできない状態になっていたという。国際線旅客ターミナルを管理する東京国際空港ターミナル(東京都大田区、TIAT)と日本空港ビルデング(大田区、JAT)が8日に経緯を公表し謝罪した。 情報を持ち出したのはFace Expressの運用を担当するエアリンク(東京都港区)の元従業員。同社によると、元従業員は職務怠慢や社内規定違反により1月末で退職勧告を受け退職したが、その後に元従業員の個人PCにFace Expressのデータが保存さ
前回の、社内プライベートポッドキャスト実現方法で、ポッドキャストサイトを静的配信しつつBasic認証をかけるというアイデアを書いた。しかし、Basic認証などなかなか使わなくなり、ネイティブでサポートしている静的ホスティングサービスも少ない。今回はCloudflare PagesのFunctions機能でリクエストをラップするミドルウェアを書けば実現できることが分かり、その方式を採用することにした。多少実装必要になるのと、認証周りを自前で書くのはあまりやりたくはないが、廉価に比較的省力で実現できるので受け入れる。 ネット上にいくつかサンプルは見つかるが、今回実装するにあたっては以下の点を留意した。 コード内に認証情報を載せない 複数ユーザーのIDとパスワードを管理できるようにする パスワードは定数時間比較してタイミング攻撃を防ぐ これらを以下のように解決することとした。 認証情報は環境変数
2 要素認証に 1Password を使うのはよく考えてから | はったりエンジニアの備忘録 AWSの多要素認証に1passwordが使えたけど使っちゃダメだと思った話 - Qiita TOTP のトークンを 1Password に保存するのはセキュリティ強度を弱めるので良くない、という話は知ってたので避けてたのだけど、ちょっとよくわからなくなってきた。 Windows(具体的には社有のSurface Pro)上の1passwordとiPhone上の1passwordの両方でMFAの二段階目をクリアできたということは、もうこの2段階目は特定のデバイスを持っていることに依存しないということだ。僕のIDで他のデバイスに1passwordをインストールすることができれば、さらにそのデバイスでも2段階目をクリアできる。「AWSのパスワード」と「特定のスマホ(デバイス)」ではなく、「AWSのパスワー
Meety脆弱性 2022-11
meety_vuln.md Meety脆弱性 2022-11 文責 mala 経緯: Meety退会しようと思ったがアカウントがなかったので、退会するためにアカウントを作ることにした。 免責: 気になった範囲ですぐに見つかったもののうち、悪用可能なものを記載しています。 好ましくないが仕様だろうというものは書いていません。 他の脆弱性が無いことを保証するものではないです。 これはsecret gistです 11/24 時点で未修正の脆弱性情報が含まれています。修正されたらpublicに変更する予定です。 近しい人向けの注意喚起と、開発元への報告を兼ねて書いています。 悪用を教唆したり、悪用しそうな人に情報を共有することは避けてください。 自分の所有していないアカウントの情報を書き換えると法に触れるので、そのような行為は絶対にやめてください。 11/25 Publicにしました 以下 1-4
Security alert: Attack campaign involving stolen OAuth user tokens issued to two third-party integrators
AI & MLLearn about artificial intelligence and machine learning across the GitHub ecosystem and the wider industry. Generative AILearn how to build with generative AI. GitHub CopilotChange how you work with GitHub Copilot. LLMsEverything developers need to know about LLMs. Machine learningMachine learning tips, tricks, and best practices. How AI code generation worksExplore the capabilities and be
最新のGoogle Chrome 108で「Passkey」が利用可能に。Googleアカウントでクレデンシャル同期など
最新のGoogle Chrome 108で「Passkey」が利用可能に。Googleアカウントでクレデンシャル同期など 12月2日から配布が開始されている最新のGoogle Chrome 108では、パスワードレスを実現する機能の「Passkey」がWindows 11、macOS、Android版で利用可能になっていることをGoogleが明らかにしました。 下記はブログ「Introducing passkeys in Chrome」で紹介されているAndroid版ChromeでのPasskey利用時の画像のキャプチャです。 Chromeは以前から業界標準のパスワードレス技術であるWebAuthn/FIDOに対応しており、パスワードを使わずデバイス側での指紋認証やPINコードなどによる認証によりWebサイトへログインできる機能を備えていました。 参考:Chrome 70から、WebAut
Passkey autofillを利用したパスワードレスログイン導入で得たものと、得られなかったもの - Money Forward Developers Blog
English version of this article is available here はじめに こんにちは、CTO室 IDサービス開発部のyamato(@8ma10s)です。 マネーフォワード IDという、当社サービス向けのIdPを開発しています。 今回このマネーフォワード IDにおいて、パスワードを使わずに、生体認証などを利用してログインできる「パスワードレスログイン」という機能をリリースしました。 また、今回のリリースでは、既にいくつかの他社サービスで導入されているような通常のパスワードレスログインUIではなく、「Passkey autofill」という、ブラウザの自動補完を利用する新しいタイプのパスワードレスログインUI を(恐らく日本のサービスで初めて。エンドユーザーの目に触れるサービスという意味では、おそらく世界でも初めて)導入しています。 私達がどういった過程で、
WebAuthN 実際導入してどうだったか
Nulab の Backlog, Cacoo と Typetalk に WebAuthn を導入して経験した 10 のこと
2023年4月28日 三菱UFJニコス株式会社 JCA(日本クレジット協会)にて公表されている「クレジットカード・セキュリティガイドライン(以下ガイドライン」)」に記載があるとおり、PINバイパス(暗証番号入力をスキップし、サインにて本人認証を行う取引)は2025年3月をもって原則廃止となります。弊社は安全なクレジットカード取引をご提供するため、ガイドラインに記載のとおり、既存のICクレジット決済端末を、2025年3月までにPINバイパスを許容しない設定へと順次変更を行っていく予定ですので、何卒ご理解賜りますようお願い申しあげます。 なお、レストランにおけるテーブル決済等、お客様にご移動いただく事が難しいお取引先様におかれましては、持ち運びが可能なモバイル端末への置換えをご案内いたしますので、弊社営業担当者、または下記の加盟店デスクへご連絡下さいますようお願いいたします。 電話でのお問い合
Adobe CS6 についてAdobeの認証に不具合がある場合、正規ユーザーは認証を回避して差し支えないとの回答を得ました
/t5/%E6%B0%B8%E7%B6%9A%E7%89%88%E3%83%A9%E3%82%A4%E3%82%BB%E3%83%B3%E3%82%B9%E8%A3%BD%E5%93%81-discussions/adobe-cs6-%E3%81%AB%E3%81%A4%E3%81%84%E3%81%A6adobe%E3%81%AE%E8%AA%8D%E8%A8%BC%E3%81%AB%E4%B8%8D%E5%85%B7%E5%90%88%E3%81%8C%E3%81%82%E3%82%8B%E5%A0%B4%E5%90%88-%E6%AD%A3%E8%A6%8F%E3%83%A6%E3%83%BC%E3%82%B6%E3%83%BC%E3%81%AF%E8%AA%8D%E8%A8%BC%E3%82%92%E5%9B%9E%E9%81%BF%E3%81%97%E3%81%A6%E5%B7%
oauth2とは何か?認証と認可の違い。
あぁ、しくじった。毎日書こうとしたら休みの日である事を完全に忘れてゲームばかりした結果 0時を回って書いてしまっている。 しかも今回の内容が多分長くなりそうだから既に明日やる口実を作って明日作成しようとしている。 あぁ、憂鬱だ。 そんな始まり方のoauth 最近でこそoauth認証って普及されてますけど、 最初見た時、???ってなりませんでしたか? 僕は謎過ぎて良くわからなかったから、こんなのやらないと思ってました。 が、、、今になってみるとあまりにも便利が故に もはや、Googleサインインとかappleサインインが無いと嫌ですもんね。 おいおいおい、入れておけや。と。。。 それだけ楽にしてくれた認証機能ですが、 実は、認証機能以外にも認可という部分もあるので 今日はその辺を自分の備忘録的に書いていこうと思っています。 参考にしたもの まず先に参考にした動画を貼ります。 ざっくりと簡単に
*本記事は STORES Advent Calendar 2023 6日目の記事です こんにちは。セキュリティ本部のsohです。 現在、弊社ではスマホアプリ診断内製化の準備を進めています。 同じようにスマホアプリの脆弱性診断を内製化したい、というニーズがある会社は多く存在しますが、実際のところ、スマホアプリを対象とした脆弱性診断士の確保は困難であり、外部ベンダーの方にすべてお願いせざるを得ないケースも多いかと思います。 また、その情報の少なさから、スマホアプリ診断を実施したいと考えている開発者や脆弱性診断士にとっても、「何をやればいいのか」「何から始めればいいのか」がわからないものである場合は多いかと思います。 そこで、この記事では「スマホアプリ診断って実際何をしているのか」と疑問を持つ方をターゲットとして、一般的なスマホアプリ診断の検証要件や検証方法について解説します。 要件とガイドライ
IAM Identity Center のロールで発行される一時認証情報をaws-sso-go 経由で 1Password に入れて利用する - 継続は力なり
タダです. 以前の記事で 1Passowrd Shell Plugin を使って IAM アクセスキーとシークレットアクセスキーを保存して AWS CLI を使うのをやってみました.この記事では IAM Identicy Center(旧 AWS SSO) のロールで発行される一時認証情報を 1Password に入れたり更新ができたらローカルにクレデンシャルを残さずに使えてセキュアになるため,その検証を行ったのをまとめていきます. sadayoshi-tada.hatenablog.com IAM Identity Center のロールで発行される一時認証情報を保管する 保管したクレデンシャルを使って AWS CLI を実行する まとめ IAM Identity Center のロールで発行される一時認証情報を保管する IAM Identity Center と 1Password の
Digitaino ITより。TouchIDを使った認証には様々な応用がある(LocalAuthenticationフレームワーク)。 TouchIDを搭載したMacは、指紋を使ってsudoコマンドを承認するように簡単に設定できます。 お気に入りのテキスト・エディタで、以下のファイルを開いて下さい。 /etc/pam.d/sudo 次の行 auth sufficient pam_tid.so を、pam_smartcard.soの行の下に以下のように追加し、ファイルを保存します(picoの場合はCtrl+O)。 # sudo: auth account password session auth sufficient pam_smartcard.so auth sufficient pam_tid.so auth required pam_opendirectory.so account
AWS + Azure ADによるSingle Sign-Onと複数AWSアカウント切り替えのしくみ作り - Cybozu Inside Out | サイボウズエンジニアのブログ
こんにちは、生産性向上チームの五十嵐(@ganta0087)です。 今回はAWSアカウントの管理についてのお話です。 AWSアカウントをみなさんの組織ではどのように管理されているでしょうか? シングルアカウントで運用していると、人やチームが増えて規模が大きくなってきたときに権限管理が中央集権的になり、管理者への負担が増大してしまいます。また、新規ユーザーの登録だけでなく、退職時の削除漏れにも注意が必要です。利用者側としても管理するパスワードが増えるのは避けたいです。 そこで、生産性向上チームではマルチアカウント構成によるシングルサインオン(以下SSO)とチームに委譲できる権限管理のしくみを作ることでこれらの問題を解決し、社内でAWSを活用しやすくなるようにしました。 サイボウズには社員のアカウント情報を管理しているActive Directory(Azure AD)があります。今回はそのA
パスキーとは何か、そしてその課題
パスキーはフィッシングに強く、テクノロジーに詳しくないユーザーでも使いやすい新しい認証方式で、いずれパスワードを置き換えると言われています。この記事では、パスキーの基本と、これからのウェブにとってパスキーがどういう意味を持つのかについてまとめてみます。 パスキーとは何か # 2022 年 12 月 9 日に Google が Android 版 Chrome でパスキーがサポートされたとのアナウンスが出ました。Apple もすでに最新版の macOS Ventura、iOS / iPadOS 16 で Safari がパスキーに対応しています。 パスキーは Apple、Google、Microsoft が協調して使う FIDO クレデンシャルの名前です。エンドユーザーのみなさんがパスワードの代わりとして認識し、直感的にログインできるよう「パスキー」というブランドとアイコンが決まりました。ウ
Apple IDの2ファクタ認証をCI環境で突破する - 24/7 twenty-four seven
【注意】この記事で紹介しているSMS APIサービスのVonageは利用規約により認証にVonageの電話番号を利用することを禁止しているという記述があるので、末尾の別解として載せたAndroidデバイスを使ってSMSを転送する方法が良さそうです。 help.nexmo.com 2021年2月から、App Store Connectにログインする際にすべてのApple IDで2ファクタ認証が必須になります。 Starting February 2021, additional authentication will be required for all users to sign in to App Store Connect. This extra layer of security for your Apple ID helps ensure that you’re the only
Build in a weekendScale to billionsSupabase is an open source Firebase alternative. Start your project with a Postgres database, Authentication, instant APIs, Edge Functions, Realtime subscriptions, Storage, and Vector embeddings.
セッションマネージャー越しにSSHアクセスする構成のメリットについて考えてみました。 なにそれ? 公式ドキュメントでいうと以下内容のことです。 Step 8: (Optional) Enable SSH connections through Session Manager もう少し詳しく まず、クライアントはセッションマネージャーを使ってアクセスしたいインスタンスにアクセスします。 もう少しこの部分を具体的に説明すると、クライアントがアクセスしているのはインスタンスではなく、SSM(Systems Manager)のエンドポイントです。 そして、アクセス先インスタンス内のSSM Agentがポーリングアクセスしていて、こちらを通じてアクセスしています。 そして、この接続の先で、SSH接続し直しているイメージになります。これが今回扱う「セッションマネージャー越しにSSHアクセス」です。 わ
はじめに こんにちは。株式会社Flatt Securityの @toyojuni です。自分はもともとWebやUIのデザインを本職としていましたが、大学の同期と共同創業したセキュリティ企業であるFlatt Securityにて経営やDevRelを担っています。 デザインとセキュリティは普段話題が交わることが少ない領域ですが、UI/UXのデザインであればソフトウェア開発と不可分であることは間違いなく、すなわちデザインもセキュリティに無自覚ではいられないでしょう。 そのような観点で、本記事では「パスキー(Passkey)」を取り上げてみようと思います。 本記事は「パスキー」「FIDO」「WebAuthn」といったキーワードに関して以下のような認識を持っている方向けの記事です。 名前も知らない / 聞いたことがない 聞いたことはあるが、ほとんど理解していない はじめに パスキーをなぜ今知るべきか
Yahoo/Gmail におけるメールの一括送信者に求められる要件の変更について | Amazon Web Services
Amazon Web Services ブログ Yahoo/Gmail におけるメールの一括送信者に求められる要件の変更について この記事は An Overview of Bulk Sender Changes at Yahoo/Gmail (記事公開日: 2024 年 1 月 12 日) を翻訳したものです。 Gmail と Yahoo Mail は、ユーザーの受信トレイを保護するための取り組みとして、2024 年 2 月から送信者に関する新たな要件を発表しました。これらの要件を満たすために Amazon Simple Email Service (Amazon SES) を利用するお客様が具体的に何をすべきかを詳しく見ていきましょう。 新しいメール送信者の要件は何ですか? 新しい要件には、メールボックスプロバイダーへの良好な配信を実現するために、すべてのメール送信者が従うべき長年培われ
Appleが、パスワードを不要にする技術の標準化に取り組んでいるFIDO Allianceに参加したことが明らかになりました。 現在、Webなどでユーザー認証の仕組みとして一般的に使われているユーザーIDとパスワードの組み合わせは、パスワードの流出によるリスト型攻撃や、総当たり的な攻撃など、さまざまな手法によって不正なログインを引き起こす要因となっています。 この状況を改善するために、パスワードに依存した認証ではなく、指紋認証や顔認証やPINコードなどを基に生成した秘密鍵と公開鍵を用いた公開鍵暗号の仕組みによって、ユーザー認証を行う業界標準の策定や利用促進を行っているのがFIDO Allianceです。 FIDO Allianceが策定した標準仕様である「FIDO2」の中心的な構成要素であるWeb認証技術「Web Authentication」(WebAuthn)は、2019年3月にW3C
NTTドコモ提供の電子決済サービス「ドコモ口座」からの不正出金問題について、既に様々な専門家が問題点や防衛策を提示されていますが、アルゴリズム社会におけるプライバシーとセキュリティに強い関心を持つ法曹の身として、後学のためにも各プレイヤーの契約関係と本人確認手続に関する論点を整理してみたいと思います。 1.ドコモ口座の概要について「ドコモ口座」とは、公式サイト上では、「ネットやアプリ上で送金やお買い物ができるバーチャルなお財布です」と紹介されていますが、要するにオンラインで入出金、送金、決済が可能となるインターネットバンキング類似のサービスです(キャッシュレス決済サービスであると紹介する報道もありますが、「決済」のみに焦点を当てたサービスであると誤解を招き、本質を見誤ると考えますので、あえてこのように表現します)。 利用できるサービス内容は、通信キャリアがドコモか否かで異なり、公式サイトか
ritou です。 少し前にパスキーとID連携の関係を考えるときにこういう観点があるよという話をしずかな方に書きました。 今回は、ログインに利用しようとした時のフローの中でここ似ているよね、こんな意図があるんだよっていう部分を取り上げます。 認証フローの似ている点 登場人物をUserAgent、RP、Authenticatorとして、あらゆるところを簡略化したシーケンスを用意しました。 ID連携、いわゆるソーシャルログインでは次のようになります。 登場人物をUserAgent、RP、IdPとするとこんな感じでしょう。 もちろん細かいところは違うわけですが、全体の流れは似ています。 WebAuthnのchallenge, OIDCのnonce, state 先ほどのシーケンス、たまたま似ていると言うよりも、これは認証フローにおける基本の流れであると意識しておきましょう。 パスキーやID連携の
Twitterは認証済みバッジ(青色チェックマーク)の企業や組織向けバージョンとして、金色チェックマークを提供する「Blue for Business」をリリースしています。この「Blue for Business」では1000ドル(13万4000円)を支払いTwitter認証済み組織となることで、金色チェックマークを受け取ることが可能となります。しかし、Twitter認証済み組織として認められなかった場合であっても、申請に使用した1000ドルは返金されないことが明らかになりました。 Twitter will keep your $1,000 if you apply for Verified Organizations status and don't get it | Mashable https://mashable.com/article/twitter-tos-refunds-v
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
電話番号に届く認証番号を使った「2要素認証」はもはや安全ではない
今なら間に合う分散型IDとEntra Verified ID
大手の送信ドメイン認証「DMARC」導入率が8割超に、Gmailのガイドラインが奏功
メールを正しく送信するために必要な「SPF」「DKIM」「DMARC」とは一体どんなものなのか?
新人の作ったWebアプリが穴だらけ!? ログイン画面に潜むセキュリティの”あるある”ワナ
いろんなウェブサービスにパスキーでログインしてみる
羽田空港の“顔パス搭乗システム”で情報持ち出し事案発生 元従業員PCから約1000人分のデータ発見
Cloudflare PagesにそれなりにちゃんとBasic認証をかける | おそらくはそれさえも平凡な日々
二要素認証(TOTP)のトークンをどこに保存するか問題 - @kyanny's blog
ICクレジットカード取引におけるPINバイパス廃止に関するご案内|クレジットカードなら三菱UFJニコス
スマホアプリの脆弱性診断って何するの?(iOS編) - STORES Product Blog
macOSのTouchIDを使用して、sudoを認証する
Supabase | The Open Source Firebase Alternative
セッションマネージャー越しにSSHアクセスすると何が嬉しいのか | DevelopersIO
デザイナー/PdMが今知っておきたいパスキーの基礎知識 - #FlattSecurityMagazine
Apple、パスワードを不要にするFIDO Allianceへの加盟が明らかに
ドコモ口座問題と本人確認手続/KYCのあり方について|結城東輝(とんふぃ)
パスキーとID連携の認証フローの共通点から見る認証技術の基本
Twitterの「認証済み組織」に付く金色バッジは申請に必要な13万円超がバッジをもらえなくても返金されない