The story of web framework Hono, from the creator of Hono
The story of web framework Hono, from the creator of Hono2024-10-17 Hono is a fast, lightweight web framework that runs anywhere JavaScript does, built with Web Standards. Of course, it runs on Cloudflare Workers. It was three years ago, in December 2021. At that time, I wanted to create applications for Cloudflare Workers, but the code became verbose without using a framework, and couldn't find a
この記事のポイント Google、今年後半に向けたさらなる新セキュリティ設定として、Google アカウントやデバイス設定にアクセスする際に生体認証を要求するオプトイン仕様の「Identity Check(本人確認)」を提供すると発表 PIN 変更 /「盗難保護」無効化 / 信頼できない場所からの「パスキー」アクセス時などに発動するセキュリティ機能 例えば PIN 認証が盗まれてしまった場合などでも、Google アカウントやデバイス設定への不正なアクセスを防ぐことが可能に Google は 2024 年 10 月 15 日(火)に、Google Pixel デバイスに対して次期 Android OS「Android 15」へのメジャーアップデートを配信開始すると共に、新機能やアップグレード機能を盛り込んだ「Feature Drop」改め「Pixel Drop」を発表し、そして展開開始しま
“Passkeys,” the secure authentication mechanism built to replace passwords, are getting more portable and easier for organizations to implement thanks to new initiatives the FIDO Alliance announced on Monday. The password-killing tech known as “passkeys” have proliferated over the past two years, developed by the tech industry association known as the FIDO Alliance as an easier and more secure aut
「自分事(じぶんごと)に徹した」自分の発表 - #PyConJP2024 の感想とポエム. - Lean Baseball
楽しく話させてもらいましたありがとうございます. 自分事(じぶんごと) - 自分に関係のあること。我が事。 近年、「他人事 (たにんごと) 」に対してできた語か。 ※goo辞書解説より引用. 今から「自分事」の話を書きます. 2022年以来, 2年ぶり8度目のPyCon JP(PyCon JP 2024)で「実践Dash」というお話をさせてもらいました. 実践Dash - 手を抜きながら本気で作るデータApplicationの基本と応用 / Dash for Python and Baseball - Speaker Deck 貴重なお時間を私の発表に費やして(会場で選んで聴いて)頂いた皆様, 資料を読んでくださった皆様に改めて感謝と御礼を申し上げます. このエントリーでは, 自分の発表「実践Dash」 「自分事(じぶんごと)」として発表に挑む. PyCon JP 2024の感想 さて来年
Rails Versions 6.1.7.9, 7.0.8.5, 7.1.4.1, and 7.2.1.1 have been released!
Hi everyone! Rails Versions 6.1.7.9, 7.0.8.5, 7.1.4.1, and 7.2.1.1 have been released! These are security patches addressing 4 possible ReDoS (Regular expression Denial of Service) attacks. All of these only affect Ruby versions below 3.2 so we urge users on older versions of Ruby to upgrade to these new Rails versions at their earliest convenience. Additionally we strongly recommend users upgrade
The Internet Archive is back as a read-only service after cyberattacks
The Internet Archive is back online in a read-only state after a cyberattack brought down the digital library and Wayback Machine last week. A data breach and DDoS attack kicked the site offline on October 9th, with a user authentication database containing 31 million unique records also stolen in recent weeks. The Internet Archive is now back online in a “provisional, read-only manner,” according
NIST SP 800-63B-4 第2次公開草案のパスワード要件の変更点をまとめてみた | DevelopersIO
危機管理室の吉本です。 デジタルIDの認証に関するガイドラインであるNIST SP800-63-4のSecond Public Draft(第2次公開草案)が更新されていたので、変更箇所をまとめてみました。全体で467ページと相当なボリュームがあるので今回調べたのは、主に話題になっているSP800-63B-4のパスワード要件についてです。初期公開草案からなにが変更されているか知りたかったので調べたことをまとめます。 NIST SP800-63-4とは NIST SP 800-63-4は、アメリカ国立標準技術研究所(NIST)が提供する、認証やID管理に関する「デジタルアイデンティティガイドライン」の第4版を指します。 全体概要の文書と3つの関連文書に分かれており、下記のタイトル毎に策定されています。 SP 800-63-4:Digital Identity Guidelines(デジタルア
IBM Security X-Forceは2024年10月1日(現地時間)に発表した最新のレポート「Cloud Threat Landscape」で(注1)、「クラウド環境に対する攻撃の主要な初期侵入経路はフィッシングである」と述べた。IBMの最新の調査結果は、インシデント対応企業やサイバーセキュリティベンダーによるフィッシングのまん延と影響に関する最近の他の調査と一致している。 多要素認証を回避する高度なフィッシングに注意せよ IBM Security X-Forceによると、脅威グループがシステムやネットワークにアクセスするための認証情報を収集する目的で使用するフィッシングは、2022年6月までの2年間に発生したクラウド関連のインシデントの3分の1を占めていた。 IBM Security X-Forceは、脅威グループがフィッシングメールを使用して受信者をだまし、悪質なWebサイトでロ
Railsセキュリティ修正がリリースされました: 7.2.1.1 / 7.1.4.1 /7.0.8.5 / 6.1.7.9|TechRacho by BPS株式会社
2024.10.16 Railsセキュリティ修正がリリースされました: 7.2.1.1 / 7.1.4.1 /7.0.8.5 / 6.1.7.9 Ruby on Rails セキュリティ修正7.2.1.1 / 7.1.4.1 / 7.0.8.5 / 6.1.7.9がリリースされました。それぞれのリリースでは、4件のReDoS脆弱性が修正されています。 Rails Versions 6.1.7.9, 7.0.8.5, 7.1.4.1, and 7.2.1.1 have been released! These releases address ReDoS security issues that affect users on Ruby 3.1, so anyone on those versions should upgrade. Thanks! — Ruby on Rails (@rai
After Turkey banned Discord, I had to jump through some hoops, fix my VPN, and learn a bit about how DNS works. On October 9th 2024, Discord was banned in Turkey due to various criminal allegations. This was an ongoing issue and Discord apparently refused to share user data (IP addresses and content) thus the government decided to block the whole thing altogether. I'm not here to talk about if thi
エレコムが、MagSafe対応iPhoneの背面に固定して操作ができる外付けSSDを発表しました。 本製品は、iPhoneだけでなく、USB-Cポートを搭載したデバイスで利用可能ですが、USB-Cポートを搭載し、MagSafe対応のiPhoneに最適な外付けSSDとなっており、MagSafe対応iPhoneの背面に固定し、撮影などの邪魔にならない位置にぴったりと収まるように設計されています。 読み込み最大1000MB/s、書き込み最大980MB/sの高速データ転送を実現しており、AppleのProRes撮影や大容量データのバックアップもスムーズで、一体型ケーブルとL字型プラグを採用することで邪魔にならず、ケースを装着したままでも挿し込むことが可能です。 MacやWindowsで利用する場合には、パスワード自動認証機能付きセキュリティソフト「PASS(Password Authenticat
Okta Identity Threat Protectionで不正ログインを先回りブロック!デモ環境で検証してみました!
Okta Identity Threat Protectionで不正ログインを先回りブロック!デモ環境で検証してみました! 2024年8月に一般リリースされたIdentity Threat Protection with Okta AIを触ってみました! このブログは? Identity Threat Protectionについてざっと解説 超目玉機能、Universal LogoutとSSFの検証したよ どう設定するの?どこ見ればいいの?がわかるようになる(?) OktaのIdentity Threat Protectionとは? Identity Threat Protectionの概要 以前から認証時に端末情報・IPアドレス・ロケーションなどでスコアリングはしていましたが、認証後もポリシー・ネットワークゾーン・挙動などIDaaSへのアクセスを評価しつづけ、端末の状態が安全ではないと判
本記事では、Runbookを使用してMicrosoft Fabricを自動的に停止する方法について説明します。 従量課金制でMicrosoft Fabricを使用しているユーザーにとって有益な内容であり、Runbookとスケジュールを組み合わせることで、停止を忘れてしまうことによる意図しない課金を防ぐことが可能になります。 実施手順 Automationアカウントの作成と設定 自動停止のフロー作成 Runbookの選択 Runbookの編集 スケジュールの設定 実装確認 おわりに 実施手順 実施手順は以下の通りです。 Automationアカウントの作成、設定 自動停止のフロー作成 スケジュールの設定 実装確認 また、自動停止のフローとしては、以下をイメージして作成を行いました。 Automationアカウントの作成と設定 まずは、Automationアカウントの作成を行います。Autom
概要 今回はKeycloakの多要素認証について触れてみます。 「多要素認証」とは、アクセス権を得るのに必要な本人確認のための『複数』の要素(証拠)をユーザーに要求する認証方式です。例えば、複数の要素を組み合わせることで、よりセキュアな認証を可能にしたり、利便性を下げずに、セキュリティを向上させたりできます。 Keycloakが提供する「多要素認証」の設定を確認しながら、「ワンタイムパスワード認証(OTP)」を行います。今回はモバイル端末の認証アプリ(Authenticator)にOTPを送る方式とメールアドレスにOTPを送る方式の2通りを試してみます。 認証アプリ(Authenticator)編 管理者として管理コンソールにログインする際にワンタイムパスワード(OTP)を設定し、多要素認証を行なっていきます。 事前準備 Keycloak環境(スタンドアロン構成でOK) Keycloak管
演習ファイルのダウンロード ファイルは Packet tracer Version 8.2.0 で作成しています。古いバージョンの Packet Tracer では、ファイルを開くことができませんので、最新の Packet Tracer を準備してください。 ネットワークの構成を Packet Tracer で一から設定していくのは大変かと思います。「ダウンロード」から演習で使用するファイルのダウンロードができます。ファイルは、McAfee インターネットセキュリティでウイルスチェックをしておりますが、ダウンロードは自己責任でお願いいたします。 マルチエリアOSPF(ABRの設定例) ここでは、簡単なマルチエリアでOSPFネットワークを構築していきます。マルチエリア構成では、必ずエリア0が必要になります。R2ルータを下図のように、エリア0とエリア1を接続するABRとして設定し、異なるエリア
Auth0の衝撃的なアップグレードについて
はじめに 私は個人利用でAuth0を使用しています。 無料で高機能なIDaaSであるAuth0を、いつも活用させていただいています。 趣味の一環として、Open ID ConnectやOAuth関連のドキュメントを読んでいるのですが、その中で知ったことは大抵Auth0に搭載されています。 そのため、自分で一から組むのがしんどいけど、機能としてどのような挙動になるかを知りたい時、Auth0のドキュメントを見て動かすだけで試せるので、とても助かっています。 認証・認可系はなるべくIDaaSを活用すべきなのがよくわかります。 今回はそのAuth0が2024/9/24に以下のアナウンスを出しました。 その内容が私にとっては、相当な衝撃だったので今回はその紹介です。 なお、私のこの記事の中では無料プランに関わる部分のみ記載します。 有料プランもグレードアップしたのですが、活用できていないため、詳細は
Google Cloud データベースの最新のイノベーションを活用し、生成 AI を導入する | Google Cloud 公式ブログ
Google Cloud Summit SeriesDiscover the latest in AI, Security, Workspace, App Dev, & more. Register ※この投稿は米国時間 2024 年 10 月 3 日に、Google Cloud blog に投稿されたものの抄訳です。 生成 AI を導入することで、ユーザーの生活は AI を活用した快適なものになります。この取り組みの中で、データベースは、企業の実態に立脚した正確で関連性の高いエンタープライズ生成 AI アプリを構築するための基盤になります。Google Cloud は、主に次の 3 つの形でお客様をサポートすることに力を入れています。 1 つ目として、デベロッパーが運用データを活用してインテリジェントなアプリを構築できるようにします。2 つ目として、生成 AI、具体的には Google
2024年2月1日以降、個人用の Gmail アカウントに対してメールを配信する送信者に対し、新しいメール送信者ガイドラインを適用することが発表されました。その要件の1つである DMARC の Gmail への設定方法について紹介します。 送信者ガイドライン 送信者ガイドラインの概要 5,000件/日以上の送信者向けのガイドライン SPF、DKIM DMARC 設定の方針 設定手順 ポリシー none で DMARC を設定する DMARC レポートを確認する 検疫対象を徐々に増やす 最終的にすべての不合格メールを拒否する DMARC 適用後の確認手順 Google Admin Toolbox (Check MX) メール受信側での確認 送信者ガイドライン 送信者ガイドラインの概要 2024年2月1日以降、Gmail で新しい「メール送信者のガイドライン」が適用されます。 対象は「個人用
Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article? ASP.NET Core Identity を使ったユーザー認証システムで認証チケットの有効期限が切れたとき、下の画像のようにユーザーにその旨通知する方法を書きます。開発環境は Windows 10 Pro 64-bit, Visual Studio 2022 17.9.6, .NET 8.0 です。 Visual Studio 202 のテンプレートを使って ASP.NET Core Web アプリのプロジェクトを作る際、認証を「個別のユーザーアカウント」に設定すると ASP.NET Core Identity を利用したクッキーベー
日本ビジネスシステムズでデータエンジニアをしてる稲留です。いろいろなお客様先でSnowflakeのDataOpsを担当しています。 July 01-03, 2024のリリースノートにて、認証ポリシーに新しいパラメータが追加され、多要素認証(以下、MFA)の設定を強制できるようになりました。 docs.snowflake.com 以前までは、利用者にMFAを使ってもらうためには利用者自身で設定する必要がありました。管理者側で強制はできなかったため、MFA未設定のユーザーには繰り返しアナウンスをするしか方法が無かったのですが、本機能により管理者から強制できるようになりました。 本記事は、MFAの強制を含めた認証ポリシーの設定方法と、その挙動について検証した内容を簡単に紹介します。 背景 認証ポリシー 認証ポリシーとは 認証ポリシーの優先順位 認証ポリシー検証 ユーザー要件 ユーザーの作成 認証
Pikali’s diary
VRChat のアップデートによりUnityの有料アセットDynamic Boneを使わなくても髪の毛を揺らすことができるようになりました。 今回はVRoid Studioで作ったVRMファイルの髪の毛をPhys Boneで揺らしてみます。 今回の方法ではVRCでのアバターのランクがVery Poorとなってしまい、表示の負荷がかかったり、設定によっては動きが表示されません。 集会など大勢のプレイヤーが集まる場所に行くときは使用しないことをお勧めします。 今回使用したアバターはこちらです。 pikali.booth.pm VRMファイルをUnityにインポートしたところから説明します。 こちらのブログの3.VRMファイルをインポート からです。 pikali.hatenablog.com 選択状態のままVRM→Duplicate and Convert for VRChatをクリックします
Amazon Web Services ブログ AWS Private CA を使用した特定用途向け証明書の発行方法 本ブログは 2024 年 5 月 30 日に公開されたBlog ”How to issue use-case bound certificates with AWS Private CA” を翻訳したものです。 このブログでは、AWS Private Certificate Authority (AWS Private CA) を使用して、特定の用途やユースケースに合わせた幅広い X.509 証明書を発行する方法を紹介します。これらの特定用途向け証明書は、Key Usage や Extended Key Usage 拡張などの証明書コンポーネント内で、その想定される用途が定義されています。IssueCertificate API オペレーションを使用して、必要な Key U
Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article? こんにちは! 社内でドキドキしながら「久しぶりにアドベントカレンダーするよ!」と言ったら、速攻で25日のカレンダーが埋まって一安心している株式会社Fusicの櫻川です。 この記事はFusic Advent Calendar 2023の10日目の記事です。 この後もがっつりエンジニアからエンジニアではない人まで、様々な記事が上がってくるのでお楽しみ! 昨今の話題はChatGPTをはじめとする生成系AIでしょうか? 今回はChatGPTによって隠れてしまったけど、とても大事なPasskeyの実装について書いてみようと思います。 Passke
適応型認証とは? | OneLogin
多要素認証(MFA)などの標準の認証方法では、ユーザがログインしたり、企業のリソースにアクセスしたりしようとするたびに、特定の資格情報を要求します。適応型認証では、状況に応じて異なる資格情報を要求して、侵害のリスクが高い場合にセキュリティを強化します。 ユーザが常にユーザ名とパスワードなどの標準の資格情報でログインしていると、サイバー攻撃に対して脆弱になります。MFAなどのIDおよびアクセス管理の認証ツールは、スマートフォンアプリから生成されるコードなどの追加の資格情報を要求することで、より強力なセキュリティを提供します。要素が多いほど役立ちますが、それでもサイバー犯罪者は、簡単にユーザのさまざまな資格情報を取得またはハッキングして、それを利用してアクセスできます。適応型認証は、要件をインテリジェントに変更することで、ハッカーが企業にアクセスすることをはるかに困難にします。使用されるシグナ
インテル vPro プラットフォームとは、パソコンを管理するためのツールや強化されたセキュリティー機能を統合したCPUを搭載したパソコンに与えられるブランドです。主な機能としてインテル アクティブ・マネジメント・テクノロジー(インテル AMT)を搭載しており、この機能により遠隔での電源操作やハードウェアレベルのリモートデスクトップが可能ですが、本機能を利用するには初期設定のプロビジョニングが必要となります。 前回の記事では、インテル vPro プラットフォームの概要やインテル AMTでできることを簡単に紹介しました。この記事ではインテル vPro プラットフォーム対応パソコンにて、実際にインテル AMTのセットアップ方法をご紹介します。 インテル vPro プラットフォームとは | NEXMAG https://www.pc-koubou.jp/magazine/68862 インテル AM
開発中のサービスからメール送信したらDKIM=FAILだったので、SPFとDKIMについて理解を深めておきたい はじめに 開発中のサービスにはユーザーにメール送信する機能があるのですが、以前はDKIM=PASSだったメールがいつの間にかDKIM=FAILになっていました。SPFやDKIMが何なのか、薄ぼんやりとした知識しかなく、一体何が原因でDKIM=FAILになったのが当初は見当もつかなかったので、これを機にもう少しちゃんと理解することにしました。 まずSPFとDKIMを確認してみる Gmailの場合、メールタイトルの右にある三点リーダーのメニューからメッセージのソースを表示を選択します。 別画面で元のメッセージが表示されるので、SPFとDKIMが確認できます。 SPFはPASSしているけどDKIMがFAIL スクショのとおり、SPFにはPASSと表示されていますがDKIMはFAILと表
slurm federationを使ってaws parallel clusterと連携する(準備②) - Qiita
PCS(Parallel Computing Service)については以下の記事で確認してください。 https://aws.amazon.com/jp/blogs/news/announcing-aws-parallel-computing-service-to-run-hpc-workloads-at-virtually-any-scale/ PCSだと全然slurm.confを直接触れないようです。 今回はUIを使ってPrallel Cluster(slurm)で構築します。 今回ハマったのが、default VPCを削除していると、なぜが失敗する現象が出ました。(解決方法不明) 一旦default VPCが残っている別の国にREGIONを変えることで一応成功しています。 同僚に聞いてもUI作成でよく失敗すると言っていたので明確な解決方法が見いだせてないようです。 UIクイックリン
※本記事は、技術評論社「Software Design」(2023年6月号)に寄稿した連載記事「Google Cloudで実践するSREプラクティス」からの転載です。発行元からの許可を得て掲載しております。 はじめに 前回はIaCの考え方や必要性と、筆者らが採用しているTerraformの特徴について紹介しました。今回は今後紹介するプラクティスの前提となるTerraformに触れたことのない方のために、その基本を簡単に紹介します1。 ここで紹介できない事項やTerraformのインストール方法については、HashiCorp 社やGoogleCloudのチュートリアル2を参考にしてください。ぜひそちらも併せてご覧ください。 Terraformの基本コンセプト Terraformの基本コンセプトは図1のようになっています。 ▼図1 Terraformのコンセプト コードとして表現するインフラの
Microsoft 365(旧Office 365)のSMTP─メールクライアントとWordPressサイトでの設定方法 Microsoft 365(旧Office 365)は、メールホスティングをはじめとする様々な機能がセットになったMicrosoftのサブスクリプションサービスです。 Microsoft 365のSMTPサーバーをメールクライアント、またはWordPressサイトに設定すると、Microsoft 365アカウントでメールを送信できるようになります。 任意のメールクライアントに設定すると、Microsoft 365のウェブメール(Outlook on the web)を使用せず、メールクライアントから直接メールを送信できるようになります。また、WordPressサイトに設定すると、WordPressサイトのメールの信頼性を高め、WordPressでメールが送信されない問題
Microsoft では、お客様に最高レベルのセキュリティを提供することに取り組んでいます。 利用できる最も効果的なセキュリティ対策の 1 つは、多要素認証 (MFA) です。 Microsoft の調査 によると、MFA はアカウントを侵害する攻撃の 99.2% 以上をブロックできることが示されています。 そのため、2024 年からすべての Azure ログイン試行に対して必須の多要素認証 (MFA) を実施します。 この要件の詳しい背景については、「ブログ記事」をご覧ください。 このトピックでは、影響を受けるアプリケーションと必須の MFA に向けた準備の方法について説明します。 実施範囲 適用範囲には、MFA の実施が予定されるアプリケーション、実施が計画されるタイミング、必須の MFA 要件が対象となるアカウントが含まれます。 アプリケーション アプリケーション名 アプリ ID 実
「Google Chrome 130」が正式版に ~新しいトーストを展開、ビデオ以外もPinP表示(窓の杜) - Yahoo!ニュース
米Googleは10月15日(現地時間)、デスクトップ向け「Google Chrome」の安定(Stable)チャネルをアップデートした。Windows/Mac環境にはv130.0.6723.58/.59が、Linux環境にはv130.0.6723.58が順次展開される。 【画像】タスク管理アプリでポモドーロタイマー(休憩をはさみながら、一定時間集中して作業を行うためのタイマー)をピクチャーインピクチャー表示する例 デスクトップ版「Chrome 130」では、新しいトースト(Toast)パターンの導入が開始される。たとえばリーディングリストにコンテンツを追加すると、ブラウザーのツールバーと閲覧ページの間に小さなメッセージチップが表示され、リーディングリストにコンテンツが追加されたことを伝えると同時に、[リーディングリスト]サイドパネルへのクイックリンクを提供する。他のちょっとした操作でも目
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Android新セキュリティ設定「Identity Check(本人確認)」提供へ
The War on Passwords Is One Step Closer to Being Over
多要素認証を回避する高度なフィッシングに要注意 その悪質な手法とは?
Can't trust any VPN these days - Orhun's Blog
エレコム、MagSafe対応iPhoneの背面に固定可能な外付けSSDを発表 | 気になる、記になる…
【Microsoft Fabric】自動停止の実装 - JBS Tech Blog
Keycloakにおける多要素認証 - Qiita
マルチエリアOSPF(ABRの設定例) | 演習で学ぶネットワーク
GmailへのDMARC設定方法。メール送信者ガイドラインに準拠する - G-gen Tech Blog
認証チケットの期限切れをユーザーに通知 - Qiita
Snowflakeで認証ポリシーを設定してみた - JBS Tech Blog
AWS Private CA を使用した特定用途向け証明書の発行方法 | Amazon Web Services
Auth0 + Laravelで簡単Passkey実装 - Qiita
インテル vPro プラットフォームのセットアップ方法 | パソコン工房 NEXMAG
開発中のサービスからメール送信したらDKIM=FAILだったので、SPFとDKIMについて理解を深めておきたい
第3回: Terraformの基本とステート管理 - CADDi Tech Blog
Microsoft 365(旧Office 365)のSMTP─メールクライアントとWordPressサイトでの設定方法
必須の Microsoft Entra 多要素認証 (MFA) - Microsoft Entra ID