Firebase Authentification は OAuth 2.0 フローにのっとったログイン方法以外にも Email/Password を使ったログイン方法も提供しています。 このログイン形式をちゃんと使おうとすると、これまでは Provider が担ってくれていたパスワードの編集、パスワードの再発行、メールリンクでのログイン、アドレスの本人確認など様々なことを考慮しなければいけません。 この記事ではそういった考慮をした Email / Password ログインに挑戦します。 基本的にはmanage-users, password-auth, email-link-authといった公式ドキュメントを読むと IPASS ログインに必要なことは書いてあるのですが、action URL を自前で用意するフローを採用するとそれらのドキュメントで賄えなくなり試行錯誤をたくさんしなければい
Apple、Google、マイクロソフトが対応表明した、パスワードレスがさらに便利になる2つの新機能とは。 PCがスマホとBluetooth通信でパスワード不要に、2台目のスマホにもクレデンシャルを簡単リストア
Apple、Google、マイクロソフトが対応表明した、パスワードレスがさらに便利になる2つの新機能とは。 PCがスマホとBluetooth通信でパスワード不要に、2台目のスマホにもクレデンシャルを簡単リストア インターネットにおけるパスワードレスの実現を推進する「FIDO Alliance」は、 Apple、Google、マイクロソフトの3社が、同団体が推進するパスワードレス認証のサポートを拡大すると発表しました。 Today, we are excited to share that @Apple @Google @Microsoft are aligned with this vision and will be implementing multi-device FIDO credentials over the course of the coming year! https
こんにちは、Azure Identity サポート チームの 竜 です。 本記事は、2022 年 12 月 15 日に米国の Azure Active Directory Identity Blog で公開された End user passwordless utopia を意訳したものになります。 Azure と Azure Active Directory (Azure AD) で利用できる技術はたくさんありますが、全体像を把握し、それらがどのようにエンドユーザーのユーザー体験に作用するという全体像については見逃しがちです。 Azure AD で利用できる技術には以下があります: Azure AD 多要素認証 (MFA: multi-factor authentication) パスワードレス認証 条件付きアクセスおよび認証強度 デバイス登録 プライマリ更新トークン (PRT: Prim
常々GitHubにtag requestが欲しいと言ってきましたが、それを実現するツールを作りました。OSSなど、バージョニングとリリースが伴うソフトウェア開発のリリースエンジニアリングをとにかく楽にしたいという動機です。既に自分が管理している幾つかのOSSでは導入して便利に利用しています。 https://github.com/Songmu/tagpr アイデア 基本の発想は以下のようにシンプルです。 リリース用のpull requestがGitHub Actionsで自動で作られる バージョン番号が書かれたファイルやCHANGELOG.mdを自動更新 そのpull requestをマージするとマージコミットに自動でバージョンtagが打たれる semver前提 リリース用のpull requestを自動で作りマージボタンを以てリリースと為す、というのは、みんな(僕が)大好き git-pr
Auth0にPassKeyが搭載されたぞ!!!
はじめに 先日ふと Auth0 のダッシュボードを眺めていると、興味深い項目が表示されていました。 Passkey がある!!! なので、今回は Auth0 に搭載されたパスワードレス認証方式である Passkey の説明をしていきます。 なお、Auth0 の設定方法についてはAuth0 からリリースされた記事を参考にして、記載しています。 パスワード認証の課題 Passkey の説明をするまえに、パスワード認証の課題について見ていきます。 認証方法として当然とされているパスワード認証ですが、以下の 3 つの課題を持っています。 ① パスワードの使い回し ② 推測されやすいパスワードの使用 ③ フィッシングアプリへのパスワード入力 それぞれ見ていきましょう。 ① パスワードの使い回し ログインが必要なアプリにはそれぞれ異なるパスワードを使用するというのは皆さんご存知だとは思います。 とはい
コンピューターと人間を区別し、ボットが悪事を働くことを防ぐためにウェブサイトのログイン画面などに実装されているのが、車や信号など特定の物体が写った写真を選んだり、歪んだ文字を読み取って入力したりする「CAPTCHA」です。iPhone向けのOSであり2022年秋に登場予定の「iOS 16」ではこのCAPTCHAを自動でバイパスする機能が追加されることが明らかになっています。 iOS 16 Will Let iPhone Users Bypass CAPTCHAs in Supported Apps and Websites - MacRumors https://www.macrumors.com/2022/06/20/ios-16-bypass-captchas/ iOS 16 will let you bypass CAPTCHAs on some apps and websites
このコーナーでは、2014年から先端テクノロジーの研究を論文単位で記事にしているWebメディア「Seamless」(シームレス)を主宰する山下裕毅氏が執筆。新規性の高い科学論文を山下氏がピックアップし、解説する。 Twitter: @shiropen2 中国の華中科技大学などに所属する研究者らが発表した論文「PrintListener: Uncovering the Vulnerability of Fingerprint Authentication via the Finger Friction Sound」は、スマートフォンによる指紋認証時の摩擦音を録音し解析することで、その指紋を復元する自動指紋識別システム(AFIS)へのサイドチャネル攻撃を提案した研究報告である。 この攻撃手法は、ユーザーの画面上でのスワイプ動作を利用して指紋の特徴を抽出し、これらの特徴に基づいて、ユーザーの指紋
Auth0の無料プランが拡大。月間2万5000アクティブユーザーまで、独自ドメイン、パスキーによるパスワードレス対応も
Auth0の無料プランが拡大。月間2万5000アクティブユーザーまで、独自ドメイン、パスキーによるパスワードレス対応も 認証プラットフォームを提供するOkta社は、Auth0の無料プランを拡大したと発表しました。 Auth0は、認証や認可にかかわる機能がクラウドサービスとして提供されており、SDKを用いてWebアプリケーションやモバイルアプリケーション、デスクトップアプリケーションなどに組み込むことで、通常のログイン名とパスワードを用いた認証はもちろん、Active DirectoryやGoogle Workspaceなどとの接続、Facebookなどを用いたソーシャルログイン、パスキーによるログインなどを簡単に実現します。 また、不正ログインに対する防御機能なども備えています。 無料プランで月間2万5000アクティブユーザーまで対応 これまでの無料プランは、最大で月間7500アクティブユ
動機 TensorFlowの登場をきっかけに 機械学習によるアイドル顔識別 という取り組みをしていて、3年以上かけてコツコツとアイドルの自撮りを収集してラベルをつけてデータセットを作ってきたけど、 アイドルヲタクはもう辞めてしまって 現場にも全然行かなくなり、卒業・脱退の情報を追いながらラベルを更新していく作業を続ける情熱はすっかり薄れてしまった。 もうアイドル顔識別プロジェクトは終了にしよう、と思った。 しかし折角今まで集めたデータを捨ててしまうのは勿体無い。せめて最後に何か活用できないものか。 と考えて、「画像生成」に再び取り組んでみることにした。 過去に試したことはあったけど、それほど上手くはいっていない。 TensorFlowによるDCGANでアイドルの顔画像生成 TensorFlowによるDCGANでアイドルの顔画像生成 その後の実験など この記事を書いたのが2016年。 この後
GitHubのIssueやPull requestsにアップロードした画像の削除 - coincheck tech blog
はじめに サイバーセキュリティ推進部の吉田です。普段は、CSIRTメンバーとしてAWS環境や各種端末のモニタリング、セキュリティインシデント対応、社内からのサイバーセキュリティに関する相談対応などの業務を行っています。 2023/05/10 追記 GitHubのアップデートによって、プライベートリポジトリのIssueやPull Requestsに新たにアップロードされたファイルは、権限を持たない外部からは参照できなくなったようです。詳細につきましては、以下のGitHubのブログをご確認ください。 https://github.blog/changelog/2023-05-09-more-secure-private-attachments/ 概要 GitHubのIssueやPull requestsに添付した画像はWebにアップロードされ、パブリックなURLが割り当てられます。このURLは
CA Tech Dojo/Challenge/JOB Advent Calendar 2019 の5日目のエントリーです。 この記事はツッコミどころ満載です。どうぞご自由にツッコんでくださいませ。 大学院休学中の怠け野郎です。 mooriii.com 11/7~11/29にAbemaTVのフロントエンドでCA Tech JOBに参加しました。 1ヶ月のインターン終わりました~!ほんと早すぎた…そしてたくさんアベマくんグッズをもらった😂未熟すぎて若干折れかけたけど最後まで楽しめました!#catechjob pic.twitter.com/10BLtAainu— もーりー⛅ (@_mooriii) 2019年11月29日 インターンでは新規ページの仕様策定〜実装までやらせてもらいました。 ディレクターの方やデザイナーの方と連携しながら仕事をさせてもらいとてもいい経験になりました。 今日は油断
デジタル認証アプリをリリースします|デジタル庁
「デジタル認証アプリ」は、マイナンバーカードを使った本人確認を、安全に・簡単にするためのアプリです。行政機関や民間事業者は、デジタル庁が無償で提供するAPI(デジタル認証アプリサービスAPI)を活用することで、マイナンバーカードを使った本人確認を簡単に組み込むことができます。 デジタル認証アプリのご利用を検討する行政機関等、民間事業者の方は、下記サービスサイトからお申込みください(受付開始は、6月24日(月)午後以降となります)。 デジタル認証アプリサービスサイト デジタル庁開発者サイト 参考資料デジタル認証アプリについて(PDF/1,451KB)
2022年度中にマイナンバーカードをほぼ全ての国民が取得する――。政府はこの目標に向け、マイナンバーカードの新規取得などで1人最大2万円分のポイントを付与する「マイナポイント事業」や、健康保険証や運転免許証とマイナンバーカードを一体化させる施策などを矢継ぎ早に展開している。 「マイナンバーカードの利用で便利になる」。河野太郎デジタル相はたびたびこうアピールしている。例えば2022年8月にはマイナンバーカードを管轄する寺田稔総務相と共に経団連を訪れ、会員企業に対して利活用を訴えた。だがマイナンバーカードを持っていても、現状では多くの人が日常で使う機会はほとんどない。 2022年8月25日、経団連にマイナンバーカードの普及と利活用の協力を要請する河野太郎デジタル相(左から3人目)と寺田稔総務相(左から2人目)。河野デジタル相は「(マイナンバーカードの本人確認機能の活用で)企業活動も便利になって
Share Facebook Twitter LinkedIn Mail Our next generation of Flutter, built for web, mobile, and desktop Today, we’re announcing Flutter 2: a major upgrade to Flutter that enables developers to create beautiful, fast, and portable apps for any platform. With Flutter 2, you can use the same codebase to ship native apps to five operating systems: iOS, Android, Windows, macOS, and Linux; as well as we
なぜその API は使われないのか? API の活用を拒む3つの壁とその対策 - CData Software Blog
こんにちは! CData Software Japan リードエンジニアの杉本です。 大変ありがたいことに、最近あるSaaSを提供する会社さんから「リリース前のAPIを触ってみてフィードバックをくれませんか?」と依頼を受けました。 私は以前こんな記事 を公開するほど、APIどっぷりな人間なのですが、数多くの SaaS APIを触ってきてよく考えることがあります。 それは SaaS APIというサービス・プロダクトそのものを成長させる上で、もっとも重要なことは「顧客・デベロッパーが、そのAPIをどれだけスムーズにキャッチアップできるか?」という点に尽きるのではないか? というものです。 以下のグラフはAPI管理ツールを提供するSmartBearのAPI調査において、APIドキュメントで最も重要な要素とは何か? というアンケート結果のランキングですが、ExamplesやAuthenticati
前置き この記事で紹介するアーキテクチャはあくまで机上論であり、筆者が実際にこれらのアーキテクチャでサービスを運用したことがあるわけではありません。 そのため、考慮漏れ等あるかもしれません。その際はご指摘いただけますと幸いです。 モチベーション 個人開発でアプリケーションを作って運用したい! お金は極力かけたくない! けどいい感じのツールを組み合わせてクールなアーキテクチャにしたい! 対象とするアプリケーションの概要 ブラウザで動くウェブアプリケーション 認証機能を持つ DBはNoSQLではなくRDB アプリケーション本体とは別に管理画面アプリケーションが必要 以上を前提として考えました。 ぼくのかんがえたさいきょうあーきてくちゃ こちらです。 コンポーネントごとに解説させてください。 フロントサーバー Next.js on Vercelです。 こちらはもはや説明不要の王道構成かと思います
Disclosure of a vulnerability that allows the theft of visitors' email addresses using Medium's custom domain feature / Mediumの独自ドメインプランを使って訪問者のメールアドレスが窃取できる脆弱性の開示
0_medium_vuln_en.md Disclosure of a vulnerability that allows the theft of visitors' email addresses using Medium's custom domain feature Author: mala Introduction This article describes a vulnerability in a web service called Medium that allows you to steal visitors' e-mail addresses by using custom domain plan of Medium. This is done as my personal activity and is not related to my organization.
Google Developers Japan: 新しい Cookie 設定 SameSite=None; Secure の準備を始めましょう
.app 1 .dev 1 #11WeeksOfAndroid 13 #11WeeksOfAndroid Android TV 1 #Android11 3 #DevFest16 1 #DevFest17 1 #DevFest18 1 #DevFest19 1 #DevFest20 1 #DevFest21 1 #DevFest22 1 #DevFest23 1 #hack4jp 3 11 weeks of Android 2 A MESSAGE FROM OUR CEO 1 A/B Testing 1 A4A 4 Accelerator 6 Accessibility 1 accuracy 1 Actions on Google 16 Activation Atlas 1 address validation API 1 Addy Osmani 1 ADK 2 AdMob 32 Ads
HTTP/3: the past, the present, and the future2019-09-26 During last year’s Birthday Week we announced preliminary support for QUIC and HTTP/3 (or “HTTP over QUIC” as it was known back then), the new standard for the web, enabling faster, more reliable, and more secure connections to web endpoints like websites and APIs. We also let our customers join a waiting list to try QUIC and HTTP/3 as soon a
イラストで正しく理解するTLS 1.3の暗号技術
イラストで正しく理解するTLS 1.3の暗号技術 初めに ここではTLS 1.3(以下TLSと略記)で使われている暗号技術を解説します。 主眼はTLSのプロトコルではなく、「暗号技術」の用語の挙動(何を入力して何を出力するのか)と目的の理解です。 実際にどのような方式なのかといった、より詳しい説明は拙著『図解即戦力 暗号と認証のしくみと理論がこれ1冊でしっかりわかる教科書』(暗認本)や『暗認本』の内容を紹介したスライドや動画などの資料集をごらんください。 なお表題の「イラストで」は数式を使わないという程度の意味です。 TLSで守りたいもの TLSはコンピュータ同士が安全に通信するための規格です。 主に人がブラウザを介して「https://」で始まるWebサイトにアクセスするときに利用されます。 安全に通信するためには、通信内容が盗聴されても情報が漏れない機密性が必要です。 それから通信が改
はじめに こんにちは。ソーシャル経済メディア「NewsPicks」の QA/SET チームの海老澤です。 先日 弊社で E2E テスト実行するために Playwright を導入したため紹介させてください。 E2Eテストとは E2Eテスト(エンドツーエンドテスト)とは、ソフトウェア開発におけるテスト手法の一つで、アプリケーションが実際の運用環境と同様の条件下で正しく動作することを確認するためのテストです。 システムの開始点から終了点までを通じて、ユーザーの視点でアプリケーションのフローを追い、機能全体が連携して期待通りに動くかを検証します。具体的には、ユーザーが行うであろう一連の操作をシミュレートして、データがシステムを通じて適切に流れるかや、最終的なアウトプットが正しいかどうかを確認します。E2Eテストにより、部分的な単体テストや統合テストでは見逃されがちな問題を発見することができます。
Google Cloud の IDaaS「Identity Platform」で作る、さまざまな認証パターン
Identity Platform を使うと、さまざまな認証パターンが構築できる! この記事は2023年10月6日に行われたナレッジワークさん主催のイベント「Encraft #7 AppDev with Google Cloud」で発表したセッションの解説記事です。現地でご参加いただいた皆さん、オンラインでご視聴いただいた皆さん、ありがとうございました! 私のセッションでは Identity Platform を使ったさまざまな認証パターンについてご紹介しました。セッション後、いくつかのご質問や「こんなパターンもあるよ!」というコメントもいただきました(ありがとうございます!)。この記事では、セッション内でご紹介した内容に加え、別解、または発展系とも言えるいくつかのパターンについてもご紹介します。 Identity Platform とは まずはこの記事でメインで扱う Identity P
はじめに フロントエンドもバックエンドもTypescriptで書きたい!ということで、T3 Stack(T3スタック)について調べてみました。 T3 Stackを利用したプロジェクトを作成するためのCLIツールcreate-t3-appが用意されており、簡単に雛形プロジェクトが作れるため、実際に使ってみました。 この記事は以下の内容をメインに紹介します。 create-t3-appの環境構築手順 雛形プロジェクトの解説(特にtRPCを用いたAPIの呼び出し方法について) T3 Stackとは T3 Stackとはsimplicity(簡潔さ)、modularity(モジュール性)、full-stack type safety(フルスタックの型安全)を追求した思想に焦点を当てています。 そしてそれらを実現するために以下6つの技術スタックが採用されています。 ✅ Next.js ✅ tRPC
【NextAuth.js 入門】認証機能から認証情報によるページの表示制御を学ぶ(Next.js & Typescript)
【NextAuth.js 入門】認証機能から認証情報によるページの表示制御を学ぶ(Next.js & Typescript) アプリケーションを開発するにあたって、避けて通れないのが認証機能の実装です。 本書籍では、NextAuth.js を使って Next.js で作成したアプリケーションに認証機能を実装していきます。さらに、認証情報を使って、表示するページの制御も行います。 認証情報によるページの表示制御にはいくつか方法がありますが、本書籍では NextPage 型を拡張した CustomNextPage 型を作成することによって、ページの表示制御を実現します。 一緒に NextAuth.js による認証機能を学んでいきましょう。
2020年12月13日、IT管理ソフトやリモート監視ツールの開発を行うSolarWindsは同社が開発するOrion Platformにバックドアが含まれていたことを公表しました。同社の製品は米国の多数の政府機関、企業で導入されていたため影響範囲が広く、またFireEyeが12月8日に発表した不正アクセス事案との関連があったことから米国を中心に大きな注目を浴びる事案となっています。ここでは関連する情報をまとめます。 1.何が起きたの? FireEyeが受けた不正アクセスの手口が明らかになり、米政府機関など多数の組織にも影響が及ぶキャンペーンであったことが判明。 SolarWinds社Orion Platformの正規のアップデートを通じてバックドアが仕込まれた。資格情報窃取による侵害の手口が報告されている。 2020年3月からバックドアを使ったキャンペーンが開始され、アジアを含む世界中の組
この2年でFirebase Authentication はどう変わった?セキュリティ観点の仕様差分まとめ - Flatt Security Blog
はじめに こんにちは、@okazu_dm です。 今回自分がぴざきゃっとさんが2022年4月に書いた以下の記事を更新したため、本記事ではその差分について簡単にまとめました。 Firebase Authentication利用上の注意点に関して生じた差分とは、すなわち「この2年強の間にどのような仕様変更があったか」と同義だと言えます。IDaaSに限らず認証のセキュリティに興味のある方には参考になるコンテンツだと思います。 更新した記事につきましては、以下をご覧ください。 差分について Firebase Authenticationの落とし穴と、その対策を7種類紹介する、というのがオリジナルの記事の概要でしたが、2年ほどの時間の中で対策については大きく進歩したものが4点ありました(残念ながら落とし穴が無くなった、とまでは言えませんが)。 今回記事の中で更新したのは以下4点です。 落とし穴 1.
AWSが「IAM Roles Anywhere」発表。一時的にAWSへのアクセス権をAWSの外側にあるワークロードに付与
AWSが「IAM Roles Anywhere」発表。一時的にAWSへのアクセス権をAWSの外側にあるワークロードに付与 Amazon Web Services(AWS)は、AWSの外側にあるワークロードに対して一時的にAWSリソースへのアクセス権を付与できる「IAM Roles Anywhere」を発表しました。 : Need to give workloads outside of AWS temporary access to AWS resources? Announcing IAM Roles Anywhere, allowing you to provide temporary AWS credentials to workloads outside AWS using the same IAM roles & policies you configured for your
CircleCI incident report for January 4, 2023 security incident
CircleCI incident report for January 4, 2023 security incident On January 4, 2023, we alerted customers to a security incident. Today, we want to share with you what happened, what we’ve learned, and what our plans are to continuously improve our security posture for the future. We would like to thank our customers for your attention to rotating and revoking secrets, and apologize for any disrupti
Cloudflare Zero Trustを導入してみた - POC環境構築編 - メモのページ - チラシの裏メモ 3枚目
ゼロトラスト ネットワーク(ZTN)の学習用環境として、Cloudflare Zero Trustを自宅に導入してみた。 今回はCloudflare Zero Trust導入手順のメモ。 2023/7/8追記 ポリシーの設定やOktaとの連携等の記事は、当記事内下部の「Cloudflare Zero Trust関連の記事」のリンク先を参照。 Cloudflare Zero Trustとは CDN事業者として知られているClaudflare社が提供するゼロトラスト セキュリティソリューションである。 SWG(Secure Web Gateway)と呼ばれるクラウド型のプロキシサービス、IPアドレスの匿名化、アンチウイルス・アンチマルウェア、URLフィルタリング、アプリケーションフィルター等のサービスを提供する。 Cloudflare Zero Trustと競合する主なゼロトラストネットワーク
ネットサービスのアカウントを作ろうとして、「セキュリティのために電話番号も入力してください」とのメッセージに遭遇したことがある人は多いはず。パスワードと電話番号に届いた認証コードの両方でログインする「2要素認証(2FA)」は強力なセキュリティとして重宝されていますが、ハッカーにとってはほとんど無意味だとセキュリティ企業が警鐘を鳴らしています。 Bypassing 2FA - Secret double octopus https://doubleoctopus.com/blog/threats-and-alerts/bypassing-2fa/ 企業向けのパスワードレス認証技術を手がけるDouble Octopusによると、そもそもパスワードを用いること自体が基本的に安全なものとは言えないとのこと。そのため、2FAを導入したログイン方法もその場しのぎの対処法に過ぎず、せいぜいパスワードだけ
IDとPWのみでのGoogleアカウントへのログインが5月30日に終了。サードパーティ製アプリなどに影響 | スラド セキュリティ
もとの告知がいつ行われたのかはハッキリしないのだが、Googleは5月30日にユーザー名とパスワードのみでGoogle アカウントにログインする「安全性の低い」アプリとデバイスに関するサポートを終了するそうだ(安全性の低いアプリと Google アカウント)。これだけだと分かりにくいが過去記事に書かれたコメントによれば、同日以降はアプリ側でOAuth 2.0への対応が必須になるという意味だそうだ。OAuth 2.0非対応のメーラーなどを利用している場合は対策が必要になる。昨年話題となった秀丸メールでの対策事例が参考になると思われる(窓の杜)。 なお、Googleの告知ではAppleデバイスに関する注意も記載されている。Google側の説明によると、Appleデバイス上でユーザー名とパスワードのみを使用しているユーザーが最近ログインしていない場合、2月28日以降はGoogleアカウントの種類
米Google(グーグル)が2024年2月1日に適用を開始した「メール送信者のガイドライン(Email sender guidelines)」が奏功している。メールセキュリティーベンダーであるTwoFiveの調査によれば、日経平均株価を構成する上場企業225社の送信ドメイン認証「DMARC」導入率は85.8%に急増したという。メールのセキュリティーレベルは確実に向上し、迷惑メールや悪意のあるメールによる被害を防ぎやすくなっている。 DMARC導入状況を定点観測 メール送信者のガイドラインでは、Gmailアカウント宛てに1日当たり5000件以上のメールを送る企業などに対して、送信ドメイン認証「SPF」「DKIM」及びDMARCの全てに対応することを求めている。このうち、最も導入率が低いとされるDMARCへの対応が進むかどうかが注目されている。
2024年度神奈川県公立高校入試の出願システムにおいて、1月9日よりメール受信障害が発生しています。神奈川県は「主に@gmail.comにおいて出願システムからのメールが受信できないという事象が発生」と説明していますが、送信元のアドレスにおいて適切な設定が行われていないとさまざまなサイトで指摘されています。 県入試 2024 出願システムからのメール、なぜ届かない? | カナガク https://kanagaku.com/archives/69286 ちょっと調べたが超酷い。汎用JPはどうよとか、ドメイン認証ちゃんとできてないとか以前の問題で、基本的なメール設定が間違っている。MXにIPアドレスいきなり書くなよ。しかもIPアドレスとしても正しくないという。 / “高校入試の出願システム、Gmailにメール届かず……神…” https://t.co/4sxyz2wAiw— 上原 哲太郎/Te
Mozillaは1月5日(米国時間)、個人情報がオンラインデータ侵害を受けたかどうかを確認できるサービス「Firefox Monitor」に、Twitterからのデータ流出として2億件のアカウントデータを追加したと伝えた。電子メールアドレスが漏洩の対象とされている。 Firefox Monitor 今回のTwitterデータ漏洩に関して使用しているTwitterアカウントのメールアドレスが漏洩データに含まれているかどうかは、「Firefox Monitor - Twitter (200M) のデータ侵害にさらされていますか?」に、電子メールアドレスを入力して「調査する」をクリックすることで調べることができる。 漏洩したデータに自分の電子メールアドレスが含まれていた場合、今後このデータを悪用したフィッシング詐欺といったサイバー攻撃が実施される危険性があることに注意する必要がある。また、パスワ
AWS上にサービスを構築するうえで、アーキテクチャー図を作る機会はままあるかと思います。 その際、draw.ioやCacooなどのウェブサービスで作っている人も多いのではないでしょうか。 今回は別のアプローチとして、PlantUMLによってコードベースでAWSのアーキテクチャー図を作る方法をご紹介します。 PlantUMLの実行環境を用意 まずは、PlantUMLの実行環境を用意します。 ローカル環境にインストールするのもいいですが、素早く試したい場合はPlantUML Web Serverを使うのが便利です。 AWSのアイコンセットを用意 PlantUMLでは、ファイルパスやURLを指定してリソースをインポートすることができます。 これにより自作の画像を組み込むことができるわけですが、ありがたいことにAWSが公式にPlantUMLのためのアイコンセットを配布しています。 awslabs/
2023/12/12 記事公開 2023/12/14 調査サービスの差し替え & コメント返信 はじめまして。kinmemodokiです。 この記事はDigital Identity技術勉強会 #iddance Advent Calendar 2023の12日目の記事です。 2023年では様々なウェブサービスがパスキーに対応し様々なログインUXが生まれました。 本記事はそのさまざまなウェブサービスのパスキーによるログインUXの挙動をまとめ、挙動の考察を行いました。 本記事で扱うのは「ウェブサービスのパスキーでのログインUX」についてであり、「パスキー周りの実装や技術」については基本的に扱いません。 なお、本記事では「WEB+DB PRESS Vol.136「特集2 実戦投入パスキー ─いまこそ実現、パスワードレス認証!」」の「第2章 パスキー時代の認証UX」を参考にしており、最低限の部分は
Google、パスワードレスを実現する「Passkey」の開発者向けサポート開始。Androidデバイス間の同期、Androidを使ってWin/MacでのWebサイトへのログインなど実現
Google、パスワードレスを実現する「Passkey」の開発者向けサポート開始。Androidデバイス間の同期、Androidを使ってWin/MacでのWebサイトへのログインなど実現 Googleは、パスワードレスを実現する「Passkey」のAndroidとChromeでの開発者向けのサポートを開始したと発表しました。 Google is bringing passkey support to Android and Chrome! Users can now create and use passkeys on Android devices. Passkeys are a significantly safer replacement for passwords and other phishable authentication factors Try passkey supp
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
firebaseでのパスワードログイン機能の実装をやりきるためのTips
Azure AD が提供するパスワードレスのユーザー体験
リリース用のpull requestを自動作成し、マージされたら自動でタグを打つtagpr | おそらくはそれさえも平凡な日々
iOS 16で「私はロボットではありません」のCAPTCHAをスルーできるようになる機能が登場
「Gmail以外を使って」。神奈川県の高校入試出願システムで障害、6日経っても未解消
スマホ指紋認証の“摩擦音”を録音→指紋を復元する攻撃 中国の研究者らが開発
顔画像生成のためのデータセットを作る - すぎゃーんメモ
ポート開放してたらDB破壊され身代金を請求されかけた話 - 素人エンジニアの開発日記
マイナンバーカードは便利か?民間での「本人確認」になかなか使われない理由
Announcing Flutter 2- Google Developers Blog
iOS・Androidも対応「パスキー」とはなにか? パスワード時代の終焉
ぼくのかんがえたさいきょうの個人開発あーきてくちゃ
HTTP/3: the past, the present, and the future
デジタル庁「認証アプリ」が目指す「オンライン本人確認の基盤」
Playwrightを使ったE2Eテストを導入した話 - Uzabase for Engineers
【T3 Stack】フロントエンド・バックエンドTypescript開発入門
SolarWindsのサプライチェーン攻撃についてまとめてみた - piyolog
電話番号に届く認証番号を使った「2要素認証」はもはや安全ではない
大手の送信ドメイン認証「DMARC」導入率が8割超に、Gmailのガイドラインが奏功
メールを正しく送信するために必要な「SPF」「DKIM」「DMARC」とは一体どんなものなのか?
Twitterからメールアドレスが漏洩、「Firefox Monitor」で確認を
PlantUMLによってコードベースでAWSのアーキテクチャー図を作る方法 - Qiita
いろんなウェブサービスにパスキーでログインしてみる