並び順

ブックマーク数

期間指定

  • から
  • まで

1 - 40 件 / 665件

新着順 人気順

authenticationの検索結果1 - 40 件 / 665件

  • ちょっとでもセキュリティに自信がないなら、 Firebase Authentication を検討しよう

    note のやらかしのあのへんについて。 認証自作、 Rails 、 Devise - Diary パーフェクト Rails 著者が解説する devise の現代的なユーザー認証のモデル構成について - joker1007’s diary 認証サーバーの実装は本質的に難しいです。セキュリティが絡むものは「簡単な実装」などなく、プロアマ個人法人問わず、個人情報を守るという点で、同じ水準を要求されます。悪意あるハッカーは常にカモを探していて、もし認証が破られた場合、自分だけではなく大多数に迷惑が掛かります。初心者だから免責されるといったこともありません。全員が同じ土俵に立たされています。 とはいえ、認証基盤を作らないといろんなサービスが成立しません。そういうときにどうするか。 Firebase Authentication で、タイトルの件なんですが、 Firebase Authenticat

      ちょっとでもセキュリティに自信がないなら、 Firebase Authentication を検討しよう
    • Firebase Authentication 7つの落とし穴 - 脆弱性を生むIDaaSの不適切な利用 - Flatt Security Blog

      はじめに こんにちは、株式会社 Flatt Security セキュリティエンジニアのぴざきゃっと (@pizzacat83) です。 認証機構を自作せずに導入できる Firebase Authentication は様々なアプリケーションにて利用されていますが、その特性を十分に理解せずに導入すると、実は不具合や脆弱性が生じることがあります。そこで本稿では Firebase Authentication を利用するうえで、注意しなければ不具合や脆弱性に繋がりうる 7 個の「落とし穴」について解説します。 はじめに IDaaS の利点と欠点 落とし穴 1. 自己サインアップ リスク 対策 落とし穴 2. ユーザーが自身を削除できる 対策 落とし穴 3. 他人のメールアドレスを用いたユーザー登録 リスク リスク 3-1. メールアドレス誤入力によるユーザー乗っ取り リスク 3-2. 他人にメー

        Firebase Authentication 7つの落とし穴 - 脆弱性を生むIDaaSの不適切な利用 - Flatt Security Blog
      • マイクロサービスの認証・認可とJWT / Authentication and Authorization in Microservices and JWT

        OCHaCafe Season4 #4の資料です. デモのソースコード等は

          マイクロサービスの認証・認可とJWT / Authentication and Authorization in Microservices and JWT
        • Auth.js | Authentication for the Web

          // auth.ts import NextAuth from "next-auth" import GitHub from "next-auth/providers/github" export const { auth, handlers } = NextAuth({ providers: [GitHub] }) // middleware.ts export { auth as middleware } from "@/auth" // app/api/auth/[...nextauth]/route.ts import { handlers } from "@/auth" export const { GET, POST } = handlers // src/auth.ts import { SvelteKitAuth } from "@auth/sveltekit" impor

            Auth.js | Authentication for the Web
          • この2年でFirebase Authentication はどう変わった?セキュリティ観点の仕様差分まとめ - Flatt Security Blog

            はじめに こんにちは、@okazu_dm です。 今回自分がぴざきゃっとさんが2022年4月に書いた以下の記事を更新したため、本記事ではその差分について簡単にまとめました。 Firebase Authentication利用上の注意点に関して生じた差分とは、すなわち「この2年強の間にどのような仕様変更があったか」と同義だと言えます。IDaaSに限らず認証のセキュリティに興味のある方には参考になるコンテンツだと思います。 更新した記事につきましては、以下をご覧ください。 差分について Firebase Authenticationの落とし穴と、その対策を7種類紹介する、というのがオリジナルの記事の概要でしたが、2年ほどの時間の中で対策については大きく進歩したものが4点ありました(残念ながら落とし穴が無くなった、とまでは言えませんが)。 今回記事の中で更新したのは以下4点です。 落とし穴 1.

              この2年でFirebase Authentication はどう変わった?セキュリティ観点の仕様差分まとめ - Flatt Security Blog
            • next.js + vercel + firebase authentication で JWT の検証を行う + Graphql

              今個人で作ってるアプリの 認証 + Graphql の部分を抜き出して GitHub に公開した。 mizchi/next-boilerplate-20200727 next.js + vercel + firebase は (パーツを良く選べば) 最高 next.js はルーティングを持つページを作るには最高で、サーバー、静的サイト、JAM スタック、AMP と必要に応じて選択できる。React ベースならこれ一択。 認証サーバーの実装は毎度疲れるし、Firebase Athunetication はこの点においては OAuth Secret を置くだけ + Custom Provider も作れるので、最高。 それと比べて firestore は、ちょっと前に firestore べったりでアプリを試作したことがあったのだが、型がないためにかなり扱いづらく、また読み書きの速度が遅くパフ

                next.js + vercel + firebase authentication で JWT の検証を行う + Graphql
              • 「Firebase Authentication 7つの落とし穴」のリスクを再整理する

                https://twitter.com/kuwahara_jsri のやってる朝活Twitterスペースで以下の記事を知りました。 もちろんこういったリスクを列挙、検討するのは重要なことなのですが、 Firebase Authentication関係ない話では あれ、仕様に関して勘違いしてる? というのがいくつかあったので、再整理していきます。リスクは列挙することには業務上あまり意味はなく、評価され、リスクを受け入れるか外すかを判断するところが重要なので。 IDaaSは脆弱性を生み出すか IDaaS を導入することにより、逆に脆弱性が生まれることもあります。(中略) Firebase Authentication は他の IDaaS と比べて設定項目が少ないという特徴があります。 もちろんここに書かれてることは間違いではありません。ただ、少し実装にフォーカスが寄りすぎていると思っています。

                  「Firebase Authentication 7つの落とし穴」のリスクを再整理する
                • ZOZOにおけるID基盤のk8sへのリプレイスとセキュリティの取り組み / Authentication service replacement and security efforts of zozotown(CNDT2020)

                  ZOZOにおけるID基盤のk8sへのリプレイスとセキュリティの取り組み / Authentication service replacement and security efforts of zozotown(CNDT2020)

                    ZOZOにおけるID基盤のk8sへのリプレイスとセキュリティの取り組み / Authentication service replacement and security efforts of zozotown(CNDT2020)
                  • Git Credential Manager: authentication for everyone

                    AI & MLLearn about artificial intelligence and machine learning across the GitHub ecosystem and the wider industry. Generative AILearn how to build with generative AI. GitHub CopilotChange how you work with GitHub Copilot. LLMsEverything developers need to know about LLMs. Machine learningMachine learning tips, tricks, and best practices. How AI code generation worksExplore the capabilities and be

                      Git Credential Manager: authentication for everyone
                    • Magic: Future-proof passwordless authentication

                      Magic provides the leading wallet-as-a-service plus essential NFT capabilities.

                        Magic: Future-proof passwordless authentication
                      • Yahoo! JAPAN's password-free authentication reduced inquiries by 25%, sped up sign-in time by 2.6x  |  web.dev

                        Yahoo! JAPAN's password-free authentication reduced inquiries by 25%, sped up sign-in time by 2.6x Stay organized with collections Save and categorize content based on your preferences. Yahoo! JAPAN is one of the largest media companies in Japan, providing services such as search, news, e-commerce, and e-mail. Over 50 million users log in to Yahoo! JAPAN services every month. Over the years, there

                          Yahoo! JAPAN's password-free authentication reduced inquiries by 25%, sped up sign-in time by 2.6x  |  web.dev
                        • Firebase Authenticationなら多分これが一番早いと思います:シーホーちゃんとゆかいな仲間たち

                          「Firebase Authenticationなら認証も簡単」 そう考えてきた時期が俺にもありました。 僕は認証の処理を書くのが嫌いで、できれば避けて生きていきたいと考えております。 理由は主に以下になります。 - アプリケーションの本質的な価値を提供するところではない - にも関わらず手が抜けない - 登場人物が多く難しくなりがち しかし、現実は甘くなく意外とみなさんこだわりがあったりするもので、それにすべて応えると大変なことになります。 例えば… - SNS認証だけではなくメールアドレスとパスワードでの認証もサポートして欲しい - SNS認証だったとしても連絡がつくメールアドレスは確保したい などなど… SNS認証でアカウントを作った人がパスワードを忘れた方はこちらを押したらどうなる? 不安で夜も眠れません。 そんなあたなに本書は以下の内容について記載します。 - Firebase

                            Firebase Authenticationなら多分これが一番早いと思います:シーホーちゃんとゆかいな仲間たち
                          • パスキーのユーザー ジャーニー  |  Authentication  |  Google for Developers

                            KAYAK がパスキーでログイン時間を 50% 短縮し、セキュリティを強化した方法 Yahoo!JAPAN、パスキーの導入率を 11% に増やし、SMS OTP の費用を削減 Dashlane でパスキーによるログインのコンバージョン率が 70% 上昇 メルカリのパスキー認証でログインが 3.9 倍高速化 Google アカウントのパスキーのユーザー エクスペリエンスを設計する パスキーとパスワードの比較で、これまでにない認証速度を実現 「Google でログイン」の SDK Android 用認証情報マネージャー ウェブで Google でログイン(ワンタップを含む) iOS と macOS 用の Google ログイン 業界基準 パスキー OpenID Connect 以前のログイン Android でのワンタップ登録/ログイン Android 向け Google ログイン ウェブ向け

                              パスキーのユーザー ジャーニー  |  Authentication  |  Google for Developers
                            • Firebase AuthenticationとCloud Runを使ってマイクロサービスっぽく認証機能を作り直してみた (1/2)|yusukeoshiro

                              Firebase AuthenticationとCloud Runを使ってマイクロサービスっぽく認証機能を作り直してみた (1/2) 大城です。 今日は僕が大好きなFirebaseについて書いて見ようと思います。皆さんFirebaseも使っていますか? 一人のエンジニアとしては本当にお世話になっているサービスです。(しかもほぼタダで。。。) さて、アプリケーションを構築していれば当然認証と認可の機能は必要になってきます。しかし最近のモダンなアプリケーション開発における認証についてはとても複雑になって来たと思います。 古き良き時代もありました。一つのWebサービスがあって、ユーザのIDとPWはハッシュ化してデータベースにいれておけばよかったわけです。しかし今はユーザはログインする際にいろんなオプションを求める様になりました。 • SNSアカウント(Google, Facebookなど)でログ

                                Firebase AuthenticationとCloud Runを使ってマイクロサービスっぽく認証機能を作り直してみた (1/2)|yusukeoshiro
                              • Behind GitHub's new authentication token formats

                                EngineeringSecurityBehind GitHub’s new authentication token formatsWe're excited to share a deep dive into how our new authentication token formats are built and how these improvements are keeping your tokens more secure. As we continue to… We’re excited to share a deep dive into how our new authentication token formats are built and how these improvements are keeping your tokens more secure. As w

                                  Behind GitHub's new authentication token formats
                                • Token authentication requirements for Git operations

                                  AI & MLLearn about artificial intelligence and machine learning across the GitHub ecosystem and the wider industry. Generative AILearn how to build with generative AI. GitHub CopilotChange how you work with GitHub Copilot. LLMsEverything developers need to know about LLMs. Machine learningMachine learning tips, tricks, and best practices. How AI code generation worksExplore the capabilities and be

                                    Token authentication requirements for Git operations
                                  • HTML attributes to improve your users' two factor authentication experience

                                    Products Communications Messaging Send and receive multichannel text and media messages in 180+ countries

                                      HTML attributes to improve your users' two factor authentication experience
                                    • Amazon Cognito user pools now offer email as a multi-factor authentication (MFA) option - AWS

                                      Amazon Cognito user pools now offer email as a multi-factor authentication (MFA) option Amazon Cognito has expanded multi-factor authentication (MFA) functionality to include email as an additional factor. You now have a choice of delivering one-time passwords (OTP) using email, in addition to the preexisting support for text messages (SMS) and time-based one-time passwords (TOTP). You can enable

                                        Amazon Cognito user pools now offer email as a multi-factor authentication (MFA) option - AWS
                                      • 認証付きGraphQL APIサーバーを爆速で立てる。 Hasura + Firebase Authentication - Qiita

                                        認証付きGraphQL APIサーバーを爆速で立てる。 Hasura + Firebase AuthenticationFirebaseGraphQLcloudfunctionsFirebaseAuthenticationHasura HasuraはPostgreSQLからGraphQL APIサーバーを爆速で構築できるものの、認証については外部の認証基盤を使う必要があります。 今回は、認証基盤としてFirebase AuthenticationのJWT認証を使った例を紹介します。 Hasuraの認証について Hasuraの認証はWebhook方式と、JWT方式があり、今回はJWT方式を使います。 JWTは属性情報をJSONデータ構造で表現したトークンを使い認証を行う方法で、Firebase Authenticationにて採用されています。 Hasuraの認証でFirebase Auth

                                          認証付きGraphQL APIサーバーを爆速で立てる。 Hasura + Firebase Authentication - Qiita
                                        • 1Passwordを利用したSSH時のToo many authentication failuresを回避する | DevelopersIO

                                          SSHキーを1Passwordに保存しておき、 ~/.ssh/configに IdentityAgent "~/Library/Group Containers/2BUA8C4S2C.com.1Password/t/agent.sock" という設定を書いておくと秘密鍵を1Passwordから出すことなくサーバに接続することができます。 こちらの内容については下記ブログなどをご参照ください。 https://dev.classmethod.jp/articles/1Password-git-ssh/ 私はこの方法を愛用していたのですが、 ある日次のエラーが出るようになりました。 Received disconnect from UNKNOWN port 65535:2: Too many authentication failures Disconnected from UNKNOWN p

                                            1Passwordを利用したSSH時のToo many authentication failuresを回避する | DevelopersIO
                                          • Security best practices when using ALB authentication | Amazon Web Services

                                            Networking & Content Delivery Security best practices when using ALB authentication At AWS, security is the top priority, and we are committed to providing you with the necessary guidance to fortify the security posture of your environment. In 2018, we introduced built-in authentication support for Application Load Balancers (ALBs), enabling secure user authentication as they access applications.

                                              Security best practices when using ALB authentication | Amazon Web Services
                                            • Okta AD/LDAP Delegated Authentication - Username Above 52 Characters Security Advisory

                                              Okta AD/LDAP Delegated Authentication - Username Above 52 Characters Security Advisory DescriptionOn October 30, 2024, a vulnerability was internally identified in generating the cache key for AD/LDAP DelAuth. The Bcrypt algorithm was used to generate the cache key where we hash a combined string of userId + username + password. During specific conditions, this could allow users to authenticate by

                                              • Clerk | Authentication and User Management

                                                Clerk ComponentsPixel-perfect UIs, embedded in minutes Simply add <SignIn/>, <SignUp/>, <UserButton/>, <UserProfile/> for complete user management functionality. Match to your brand with any CSS library, then deploy to your own domain — no more jarring redirects! Everything you need for authenticationEver feel like authentication requirements change with the season? Clerk keeps up with the latest

                                                  Clerk | Authentication and User Management
                                                • Firebase Authentication のパフォーマンスを計測してみた - odan blog

                                                  概要 Firebase Authentication はユーザー認証に関するサービスです。様々な認証方式をサポートしており、活用することで認証に関する実装を大きくサボることが可能になるものです。 一方で、パフォーマンスには難点があることが知られており、firebase auth 遅い - Twitter 検索 / Twitter を見ると、いくつかの人が遅さについて言及しています。 そこで、パフォーマンスについて測定したので、その結果をまとめます。 環境 実験を行った環境は以下の通りです。ネットワークによる影響を調べるために、2 つのリージョンで実験を行いました。 NodeJS v14.12.0 firebase 7.21.1 firebase-admin 9.2.0 EC2 インスタンス t2.micro リージョン ap-northeast-1/us-east-1 コード odan-s

                                                  • Git Credential Manager Core: Building a universal authentication experience

                                                    AI & MLLearn about artificial intelligence and machine learning across the GitHub ecosystem and the wider industry. Generative AILearn how to build with generative AI. GitHub CopilotChange how you work with GitHub Copilot. LLMsEverything developers need to know about LLMs. Machine learningMachine learning tips, tricks, and best practices. How AI code generation worksExplore the capabilities and be

                                                      Git Credential Manager Core: Building a universal authentication experience
                                                    • GitHub - amitshekhariitbhu/go-backend-clean-architecture: A Go (Golang) Backend Clean Architecture project with Gin, MongoDB, JWT Authentication Middleware, Test, and Docker.

                                                      You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert

                                                        GitHub - amitshekhariitbhu/go-backend-clean-architecture: A Go (Golang) Backend Clean Architecture project with Gin, MongoDB, JWT Authentication Middleware, Test, and Docker.
                                                      • Cloudflare Workers でも Firebase Authentication を使えるぞ!!

                                                        Cloudflare Workers では KV だったり Durable Objects や R2 などといった外部ストレージへアクセスをして何かしら操作するようなプログラムを動かすことができます。しかし、誰でもその操作ができてしまうとセキュリティ面や使用料の面で問題が発生します。 interface Env { ANYBUCKET: R2Bucket } // 誰でもファイルアップロードできちゃう Worker :pien: export default { async fetch(request: Request, env: Env) { const formdata = await request.formData() const imagedata = formdata.get("imagedata") if (imagedata === null) { throw new Er

                                                          Cloudflare Workers でも Firebase Authentication を使えるぞ!!
                                                        • GitHub - 1Password/shell-plugins: Seamless authentication for every tool in your terminal.

                                                          You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert

                                                            GitHub - 1Password/shell-plugins: Seamless authentication for every tool in your terminal.
                                                          • Build and Learn Rails Authentication

                                                            @ Kaigi on Rails 2021, 2021/10/22

                                                              Build and Learn Rails Authentication
                                                            • GitHub - hashicorp/cap: A collection of authentication Go packages related to OIDC, JWKs, Distributed Claims, LDAP

                                                              You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert

                                                                GitHub - hashicorp/cap: A collection of authentication Go packages related to OIDC, JWKs, Distributed Claims, LDAP
                                                              • SuperTokens, Open Source User Authentication

                                                                With SuperTokens, Qloo were able to improve their authentication experience substantiallyQloo switch seamlessly to SuperTokens, leaving behind previous authentication issues. Read case study > Why GoPronto uses SuperTokens to safely authenticate it’s enterprise customers - which includes Google, RedHat and BigIDGoPronto helps businesses unlock the collaborative value of their partner ecosystem. Re

                                                                  SuperTokens, Open Source User Authentication
                                                                • Firebase Authenticationのバリデーション等を新機能「blocking functions」を用いて拡張する - Flatt Security Blog

                                                                  こんにちは。 セキュリティエンジニアの@okazu-dm です。 この記事は、Firebase Authenticationに2022年7月ごろに追加されたblocking functions という機能についての紹介です。 詳細は後述しますが、blocking functionsはFirebase Authenticationの登録、サインイン処理を拡張するための機能で、この記事では、blocking functionsの概要やリリースされた経緯を紹介し、実際のユースケースも一部サンプルコードと共に例示します。 また、Flatt SecurityではFirebaseで構築されたサーバーレスなアプリケーションへの効果的な脆弱性診断メニューを提供しています。 ご興味のある方はぜひ事例インタビューをご覧ください。 blocking functionsについての概要 blocking funct

                                                                    Firebase Authenticationのバリデーション等を新機能「blocking functions」を用いて拡張する - Flatt Security Blog
                                                                  • Passwordless Authentication Powered by Passkeys | Passage by 1Password

                                                                    We're always working to make Passage better. Subscribe to our email list to stay up to date with the latest and greatest. We are committed to keeping your e-mail address confidential. We do not sell, rent, or lease our contact data or lists to third parties.

                                                                      Passwordless Authentication Powered by Passkeys | Passage by 1Password
                                                                    • Hackers hit authentication firm Okta, customers 'may have been impacted'

                                                                      4 minute readMarch 23, 202212:01 AM UTCLast Updated agoHackers hit authentication firm Okta, customers 'may have been impacted' WASHINGTON, March 22 (Reuters) - Okta Inc (OKTA.O), whose authentication services are used by companies including Fedex Corp (FDX.N) and Moody's Corp (MCO.N) to provide access to their networks, said on Tuesday that it had been hit by hackers and that some customers may h

                                                                        Hackers hit authentication firm Okta, customers 'may have been impacted'
                                                                      • ‘Master Faces’ That Can Bypass Over 40% Of Facial ID Authentication Systems

                                                                        ‘Master Faces’ That Can Bypass Over 40% Of Facial ID Authentication Systems Researchers from Israel have developed a neural network capable of generating ‘master' faces – facial images that are each capable of impersonating multiple IDs. The work suggests that it's possible to generate such ‘master keys' for more than 40% of the population using only 9 faces synthesized by the StyleGAN Generative

                                                                          ‘Master Faces’ That Can Bypass Over 40% Of Facial ID Authentication Systems
                                                                        • GitHub - octokit/authentication-strategies.js: GitHub API authentication strategies for Browsers, Node.js, and Deno

                                                                          You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert

                                                                            GitHub - octokit/authentication-strategies.js: GitHub API authentication strategies for Browsers, Node.js, and Deno
                                                                          • GitHub - RijulGulati/zauth: 2FA (Two-Factor Authentication) application for CLI terminal with support to import/export andOTP files.

                                                                            You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert

                                                                              GitHub - RijulGulati/zauth: 2FA (Two-Factor Authentication) application for CLI terminal with support to import/export andOTP files.
                                                                            • Introducing passwordless authentication on GitHub.com

                                                                              SecurityIntroducing passwordless authentication on GitHub.comPasskeys are now available in public beta. Opting in lets you upgrade security keys to passkeys, and use those in place of both your password and your 2FA method. Most security breaches are not the product of exotic zero-day attacks but rather involve lower-cost attacks like social engineering, credential theft or leakage, and other aven

                                                                                Introducing passwordless authentication on GitHub.com
                                                                              • Setting up two-factor authentication on your Raspberry Pi - Raspberry Pi

                                                                                Enabling two-factor authentication (2FA) to boost security for your important accounts is becoming a lot more common these days. However you might be surprised to learn that you can do the same with your Raspberry Pi. You can enable 2FA on Raspberry Pi, and afterwards you’ll be challenged for a verification code when you access it remotely via Secure Shell (SSH). Accessing your Raspberry Pi via SS

                                                                                  Setting up two-factor authentication on your Raspberry Pi - Raspberry Pi
                                                                                • Kyash、日本で初めてVisa Consumer Authentication Service (VCAS)を採用

                                                                                  Kyash、日本で初めてVisa Consumer Authentication Service (VCAS)を採用 Visa Secure/3-Dセキュアへの対応開始 株式会社Kyash(本社:東京都港区、代表取締役 :鷹取 真一、以下:Kyash)とビザ・ワールドワイド・ジャパン株式会社(本社:東京都千代田区、代表取締役社長:スティーブン・カーピン、以下:Visa)は、Kyashがユーザー向けにVisa Consumer Authentication Service(以下:VCAS)を用いたVisa Secureへの対応を、本日2020年11 月17日より開始することを発表します。 今回Kyashは、Visaが提供するイシュア向け3-DセキュアサービスであるVCASを採用することで、Visa Secureのすべての有効なバージョン(3-Dセキュア バージョン1.0、EMV 3-Dセキュ

                                                                                    Kyash、日本で初めてVisa Consumer Authentication Service (VCAS)を採用