パスキー対応における2つの段階と必要な機能
パスキー対応 という記事を見ると フィッシング耐性があるパスワードレスな世界が来る! と期待を抱き、冷静に考えて パスワードが残ってるうちはリスクは残ってるしフィッシングにもやられるし何にもかわらねぇじゃねーか と遠い目をしてしまう皆さん、こんにちは。 ritou です。 いきなり一気に進むわけがないだろ。ということで、認証を必要とするサービスもユーザーも、パスキーにより理想的な状態となるまでには段階というものがあり、 大人の階段と同じで やるべきことがあります。そのあたりを理解することで、一喜一憂せずにやっていきましょう。 2つの段階 既存の認証方式に加えてパスキーによる認証が利用可能 : 過渡期ってやつでしょうか。イマココ パスキーのみが利用可能 : 我々が望んでいる世界や! あとはその前の なんもしてない段階 です。 そんなに新しい話でもないでしょう。 段階を進めるために必要な対応
GitHub.comにパスワードレス認証の導入
パスキーがパブリックベータ版にて利用が可能になりました。オプトインすることで、セキュリティキーをパスキーにアップグレードし、パスワードと2FA方式の代わりにパスキーを使用することができます。 セキュリティ侵害のほとんどは、珍しいゼロデイ攻撃によるものではなく、ソーシャルエンジニアリング攻撃、認証情報の盗用または漏洩、被害アカウントやその先のリソースへの広範なアクセス権を攻撃者に提供する手段など、低コストな攻撃によるものです。実際、私たち全員が頼りにしているパスワードは、データ漏洩の80%以上の根本原因となっています。 だからこそ、私たちGitHubは「ユーザーエクスペリエンスを損なわない」という約束を守りながら、すべての開発者が強固なアカウントセキュリティを担保できるよう支援しています。GitHub全体の取り組みとして2要素認証(2FA)の採用から始まり、本日よりパスキー認証をパブリックベ
2015 年新卒入社。途中、2年ほど IIJ Europe に出向経験もあるが SMX の中の人として長年スパムメールと奮闘中。M3AAWG, JPAAWG にも参加し始め、メッセージングエンジニアとして頑張ってます。最近の趣味はぶらり都バス旅。 Google, Yahoo の Sender Guidelines について 前回、こんな記事を書いたもののいくつか説明を端折っていた部分があったので再度文字起こしをします。 # さらに、前回字面が強めだったので今回はもう少し優しめにします。 改めまして、IIJセキュアMX サービスの中の人、今村です。 師走に入り、気づいたらインフルエンザにかかり、、記事を公開するのに時間がかかってしまいました。 (みなさんもお気をつけください。) さて、2024/02 から Google, Yahoo! に一部のメールが受け取ってもらえなくなりますが、メール送
概要 1月9日頃からX上で「神奈川県公立高等学校入学者選抜インターネット出願システム」でGoogleドメインのアドレスへのメール不着が発生し、受託会社の設定が問題視されました。 X上で設定方法が炎上しましたが、正直「〜が問題であって、〜したら良かった」という解決方法を説明できないので、私も批判を受けるレベルだなぁと思って、すぐに勉強しました。 この記事は、そのアウトプットですので、間違っている認識の箇所がありましたら、温かい目でお知らせください。 前提 この記事は、今回、問題になった設定箇所を取り上げています。 基本の範囲をはっきりと定義できませんが、基本的なメールサーバーの処理等は記載していません。 事例 1. MXレコードについて 神奈川県高校出願システムだけど、何気にMXレコードをみたらとんでもない設定ミスしてる。こんな基本的な事に気づかないなんてダメでしょ。 このツイートの指摘、何
Cloudflare Workers + Hono ワークショップ - ServerlessDays Tokyo 2023
Cloudflare Workers + Hono ワークショップ 資料はこちら => workshops.yusuke.run #serverlessdays Yusuke Wada 2023-09-24 ServerlessDays Tokyo 2023 workshops.yusuke.run アジェンダ ワークショップについて Workers イントロダクション Hono イントロダクション 基本編 プロキシ編 Web API編 フルスタック編 AI編 Honoをより深く知る その他 1. ワークショップについて 1.1 対象 対象者 Cloudflareでのアプリケーション作成に興味のある方 Honoを使ってみたい方 フロント、バックエンド問いません 前提条件 Wranglerが動く環境をつくっておく npx wrangler が動く JavaScriptに対する知識があるとよい
スマホを狙う新しい手口の「SIMスワップ」も怖い。SIMとは契約情報が記録された小型のICカード。携帯電話番号を乗っ取る手法で、その流れは図1の通りだ。 図1 SIMスワップの手口は、犯人が事前に個人情報を入手してこれを基に身分証明書を偽造。携帯ショップに赴いてSIMを再発行したり、MNPで電話番号を引き継いだりする。攻撃者が手に入れたSIMは被害者の電話番号なので、SMSの確認コードは犯人のスマホに届く。つまり2段階認証も突破されてしまう。すでに国内でもネットバンキングの不正送金の被害が出ている まず攻撃者はフィッシング詐欺などでターゲットの個人情報やログイン情報を取得し、個人情報を基に身分証を偽造。次に携帯ショップで偽の身分証を提示して本人になりすます。あとは、SIMの紛失を名目に再発行したり、MNP(携帯番号ポータビリティ)を悪用して別のSIMに電話番号を移したりして乗っ取る。こうや
マイナカードの認証「かざし利用」が可能に 法改正で
5月27日、マイナンバー法等改正法(改正マイナンバー法)などが施行され、マイナンバーカードの機能や用途が広がった。国外への引っ越しの際、事前の申請があればマイナンバーカードが失効しなくなった他、マイナンバーカードによる本人認証に関する規定も明確に。暗証番号を入力しない「かざし利用」が可能になった。デジタル庁もかざし利用を推進する方針だ。 デジタル庁はかざし利用のための「マイナンバーカードかざし利用クライアントソフト」を提供しており、自治体や民間事業者がPC(Windows)にインストールして利用できる。ソフトを使えば、マイナンバーカードの真正性や、カードに格納された「利用者証明用電子証明書」の有効性が確認できるという。 かざし利用は、求められる認証強度が低い場面での利用を想定しており、デジタル庁は例として「図書館カードとしての利用や避難所への入退場の際の利用」を挙げている。 ただしオンライ
【さくらのレンタルサーバ / マネージドサーバ】DKIMおよびDMARC対応完了のお知らせ | さくらインターネット
お客さま各位 平素よりさくらインターネットに格別のご愛顧を賜り、誠にありがとうございます。 「さくらのレンタルサーバ」および「さくらのマネージドサーバ」において、DKIM※1およびDMARC※2の対応を2024年1月31日(水)に完了いたしました。 詳細は下記をご参照ください。 さくらインターネットでは、今後もよりよいサービスの提供が行えますよう、精一杯努めてまいります。引き続き変わらぬご愛顧を賜りますようお願い申し上げます。 ※1 DomainKeys Identified Mail / 送信する電子メールに電子署名し、受信者がDNSを経由して署名を検証することで、間違いなく送信されたドメインから送られてきていることを確認し、送信ドメインのなりすましをしていないことが証明できる機能。 ※2 Domain-based Message Authentication, Reporting &
この記事は、Security Product Marketing の Leader Gabrielle Bridgers によるブログ「Return to Sender: Why DMARC is no longer a “nice to have”」(2023/11/27)の抄訳です。 Eメールの脆弱性は依然として広がっており、高度なエンタープライズ DMARC ソリューションの必要性が高まっています。DMARC ソリューションによって、シスコのお客様は高いレベルの実装とサポートを受けながら自社のドメインを迅速に保護し、最小限の労力でEメールセキュリティのニーズを効率的に管理できるようになります。 先月、Google と Yahoo はそれぞれ Eメールの配信に関する新たな一連の要件(英語)を発表しました。この発表は Eメールセキュリティの重大な変化を示し、業界が認めるベストプラクティス
oss-security - backdoor in upstream xz/liblzma leading to ssh server compromise
Follow @Openwall on Twitter for new release announcements and other news [<prev] [next>] [thread-next>] [day] [month] [year] [list] Date: Fri, 29 Mar 2024 08:51:26 -0700 From: Andres Freund <andres@...razel.de> To: oss-security@...ts.openwall.com Subject: backdoor in upstream xz/liblzma leading to ssh server compromise Hi, After observing a few odd symptoms around liblzma (part of the xz package)
なお、オンラインなど非対面で携帯電話を契約する場合は、マイナンバーカードのICチップ読み取りによる本人確認に原則一本化する方針だ。 携帯電話契約時の本人確認を巡っては、身分証を偽造して携帯電話の所有者になりすまし、機種変更やSIMの紛失、MNPなどを理由に携帯電話のSIMカードを再発行することで、被害者のSIMカードを乗っ取ってしまう「SIMスワップ」「SIMハイジャック」が問題視されていた。東京都の都議会議員や大阪府八尾市の市議会議員も被害に遭っており、デジタル庁はICチップ読み取りによる本人確認を推奨していた。 関連記事 携帯契約の本人確認、“オンライン”はマイナカードのICチップ読み取りに一本化 対面もマイナカード“など”のIC読み取りが義務化 デジタル庁は、携帯電話契約時の本人確認について、オンラインなどの非対面の場合はマイナンバーカードのICチップを使った方法に原則一本化すると発
こんにちは、SRE ディビジョンの小堀内です。 今回は Google Cloud に関するテーマとは異なるテーマで記事を執筆させていただきます。 テーマ 僕が考える テックブログを書く意義 と 書き方のすゝめ 対象読者 テックブログを書くことによるメリットを感じられていない方 テックブログを書くことへ壁の高さを感じている方 そもそもテックブログの書き方がわからない方 説明すること/説明しないこと 説明すること テックブログを書く意義 テックブログ (Zenn) 執筆の手順例 テックブログを書くにあたって便利な VSCode の拡張機能とその設定方法 説明しないこと 技術的な知識 ブログネタの提供 テックブログを書く意義 僕がテックブログを書く意義は エンジニアとして自身の成果物を残しながら、技術領域を広げる ことにあります。 自身の学習過程であったり、技術的課題を解決するためのテクニックを
GitHub Actions から AWS や GCP などのクラウドリソースを操作するときは、 OIDC を使用することが主流だと思いますが、手順に沿って設定はできるもの仕組みがよく分かっていない方も多いと思います。 この問題は厄介で、様々な"分からない"が絡まりあって生まれている問題だと思います。 例えば、 どんな仕組み・流れでAWS・GCPを操作できるようになっているのか分からない(私) そもそもなぜOIDCを設定すると嬉しいのか分からない(私) 色々な設定をしたけど何をしているのか分からない(私) などが挙げられると思います。 これらを解消し、OIDCを利用したGitHub ActionsとGCPの連携の流れ・仕組みを探求するのがこの記事の目的です。 ※Google CloudのことはGCPと書きます。 ※記事で触れないこと GitHub Actions - Google Clou
車両サイバーセキュリティの実現に向けて
はじめに Turing Vehicleチームのチーフエンジニアの徳弘 (@res_circuit) です。 Turingは、完全自動運転システムを搭載した車を商品として販売することを目指しており、これに向けて量産を見据えた完全独自の車両の設計に取り組んでいます。お客様の元に届く商品としての車両を自社で開発する上では、膨大な数の課題を解決する必要が出てきます。 今回は、そのうちの一つであるサイバーセキュリティについての概要を説明した上で、Turingでの取り組みを少し紹介します。 車両サイバーセキュリティとは? 車両のサイバーセキュリティとは、車両に対するサイバー攻撃の防衛策が実施されており、車両を構成する部品や資産が保護されていることを意味します。現代の車両システムは多数のECU(電子制御ユニット)で構成され、車両内でネットワークを構築しています。車両の走行に関する制御指令や、ユーザーの個
1Passwordを利用したSSH時のToo many authentication failuresを回避する | DevelopersIO
SSHキーを1Passwordに保存しておき、 ~/.ssh/configに IdentityAgent "~/Library/Group Containers/HOGEHOGE.com.1Password/t/agent.sock" という設定を書いておくと秘密鍵を1Passwordから出すことなくサーバに接続することができます。 こちらの内容については下記ブログなどをご参照ください。 https://dev.classmethod.jp/articles/1Password-git-ssh/ 私はこの方法を愛用していたのですが、 ある日次のエラーが出るようになりました。 Received disconnect from UNKNOWN port 65535:2: Too many authentication failures Disconnected from UNKNOWN por
UI = f(statesⁿ)
“UI is a function of state” is a pretty popular saying in the front-end world. In context (pun intended), that’s typically referring to application or component state. I thought I’d pull that thread a little further and explore all the states that can effect the UI layer… First-party application states Every application whether it’s a to-do list or a shopping cart or some radically complex app wil
Sucuriは8月24日(米国時間)、「Why WordPress Gets Hacked & How to Prevent It|Sucuri」において、WordPressがハッキングされる主な理由とその手法を伝えた。「なぜWordPressはハッキングされるのか」という疑問の潜在的な間違いを指摘し、Webサイトを攻撃から保護するために役立つ情報を伝えている。 Why WordPress Gets Hacked & How to Prevent It|Sucuri 「なぜWordPressはハッキングされるのか」という疑問に対し、Sucuriは「WordPressは標的となる唯一のCMS (Content Management System)プラットフォームではない」と回答している。ズレた回答をしているようにみえるが、Sucuriによると、攻撃はすべてのWebサイトに対して行われており、
Social LoginSocial login boosts conversion since users can easily join your platform. Then, it's a good practice to put your social login on top of the page and place the email password authentication below. Beware that privacy-oriented people prefer not to use social login then it's always good to have another option for them.
独学で未経験のモダンな技術を学習してポートフォリオを作るまで【Rails / Next.js / AWS / Docker / GitHub Actions】 - Qiita
独学で未経験のモダンな技術を学習してポートフォリオを作るまで【Rails / Next.js / AWS / Docker / GitHub Actions】RailsAWS初心者個人開発Next.js はじめに こんにちは!きいな(@keynyaan)と申します。 今回、モダンな技術を使って初めてポートフォリオを作ってみたので、開発背景や学習教材などを紹介します。 ポートフォリオを作るにあたって、色々な方の素晴らしいポートフォリオ作成記事が参考になったので、今度は私の記事が誰かのためになることを祈ってます。 自己紹介 大学卒業後、新卒でSIer企業に入社し、3年ほどJavaやJavaScriptなどを使って、バックエンドやフロントエンドのシステム開発を行っていました。 そんな私が自社開発企業に興味を持ち、退職を機に、2023年1月からポートフォリオ作成に向けて学習を始めました。 学習期間
ritou です。 これについての話です。 この辺りずっとやってると「認証認可について詳しくなりたいです!」「OIDCに興味があります!」みたいなところから「何をやればいいですか!?」みたいなことを聞かれたりします。(やりたいことやればいいじゃんと思いつつ) 昔は 年に一回ぐらいIdPを作りましょう なんて言っていた時期がありますが、まぁそう簡単にできるものでもありません。ふじえさんの記事をdisっているわけではないですが、OIDCのところから始めても他にやることが多すぎて結構つらいのです。 何から始めたら良いか 現状のおすすめとしては、 Webアプリケーションフレームワークを使って単一アプリケーションを動かして、既存コードを追ったり拡張できるならやってみて色々細かい部分を理解するところから始めましょうというところです。 なんと、ひと昔前にQiitaに溢れたようなやり方ですが どのフレーム
研究開発部 システム&セキュリティ担当の松倉です。 世間の DMARC 対応を加速させたといっても過言ではない Gmail におけるメール送信者のガイドラインが適用開始されてから 3 ヶ月近くが経ち、NFLabs. に届くメールでも DMARC ポリシーが設定されているドメインが多くなっています。 しかしながら、そのほとんどはポリシーが none であり、DMARC レポートを通じて影響範囲を見極めている、という企業がまだ多そうです。 受信側から見ると、ポリシーが quarantine または reject であればセキュリティ観点では安心感がある一方、正規のメールが検疫や破棄となる場合もあり悩まされることがあります。 DMARC 認証の失敗原因となりがちなのはメーリングリスト等のメール転送で、NFLabs. でもこれにより正規のメールが DMARC failとなって検疫される、という事例
セキュリティ企業・Wizの研究により、「Storm-0558」というコードネームで呼ばれている中国系ハッカーによってMicrosoftの消費者署名キーが盗み出され、Exchange OnlineやOutlook.comのアカウントへのアクセスが可能になったことが指摘されています Compromised Microsoft Key: More Impactful Than We Thought | Wiz Blog https://www.wiz.io/blog/storm-0558-compromised-microsoft-key-enables-authentication-of-countless-micr Stolen Microsoft key offered widespread access to Microsoft cloud services https://www.bl
Google、パスワードに代わる認証方式「パスキー」のアップデートを発表 「4億以上のGoogleアカウントがパスキーで保護」
Googleは2024年5月2日(米国時間)、パスワードに代わる認証方式「パスキー」のアップデートとクロスアカウント保護機能プログラムの拡大を発表した。 Googleによると、2022年5月5日の世界パスワードデーにパスキーを発表して以来、4億を超えるGoogleアカウントで、10億回以上のユーザー認証にパスキーが使用されてきたという。 「パスキーは使いやすく、フィッシングに強く、指紋、顔スキャン、PINのみで認証できるため、パスワードよりも50%高速だ。現在のGoogleアカウント認証には、パスキーが日常的に使用されている。利用数は、SMSワンタイムパスワード(OTP)やアプリケーションベースのOTP(「Google Authenticator」など)といった従来の2SV(2段階認証)の合計よりも多い」とGoogleは述べている。 Googleの発表内容は以下の通り。 クロスアカウント保
当たり前になりつつある二要素認証 人によってはほぼ毎日受け取っているかもしれない、ショッピングサイトを騙る詐欺メール。ASCII.jpの記事や、このコラムなどを読んでくださっている読者なら、フィッシングサイトのリンクを踏むことはそうそうないだろうと思います。 また、それほどセキュリティへの知識がない方でも、「二要素認証」を設定している人も多いでしょう。パスワード+SMSで送られてくるコード、パスワード+指紋認証など、異なる認証要素の2つを組み合わせる認証方法です。 二要素認証における“認証要素”は、大きく分けて3つあります。IDやパスワード、秘密の質問などの「知識要素」。スマートフォンを使ったSMS認証やアプリ認証など、その人が所有しているものに付随する情報の「所有要素」。顔認識や指紋、虹彩(目の膜)など、身体的な情報の「生体要素」です。 対して、IDとパスワード、さらに秘密の質問を入力す
【Istio⛵️】Istioによって抽象化されるEnvoyのHTTPSリクエスト処理の仕組み - 好きな技術を布教したい 😗
この記事から得られる知識 この記事を読むと、以下を "完全に理解" できます✌️ Istioのサイドカーメッシュを題材にしたEnvoyの設定の抽象化について 様々なサービスメッシュツール (特に、Istio、Consul、Cilium、など) でも流用できるEnvoyの知識について この記事から得られる知識 01. はじめに 02. 様々なリソースによるEnvoy設定の抽象化 サービスメッシュ外からのHTTPS マイクロサービス間のHTTPS サービスメッシュ外へのHTTPS 03. istio-proxyコンテナによるHTTPS処理 Istioコントロールプレーンの仕組み サービスメッシュ外からのHTTPS マイクロサービス間のHTTPS サービスメッシュ外へのHTTPS 04. EnvoyによるHTTPS処理 Envoyの設定の種類 フィルター フィルターの一覧 フィルターチェーンの仕
クラウドソフトウェアの認証やセキュリティに関するさまざまなソフトウェア開発を行うOryは2023年7月13日、同社が開発するオープンソースのユーザ認証、管理システムであるOry Kratosのv1.0.0をリリースした。 Ory Kratos https://github.com/ory/kratos Ory KratosはAPIベースのID/ユーザ管理システム。セルフサービスのログインと登録、多要素認証(MFA/2FA)、アカウント検証、アカウント回復など、ほとんどすべてのアプリケーションが対応する必要のある一般的な機能が実装されている。APIのみのヘッドレスであるため、開発者が自分でUIを構築する必要がある。またデータベース以外の外部依存関係がなく、さまざまなクラウド環境でのデプロイと拡張が簡単に行えるのが特徴。ほとんどのOS上でビルドできるほか、Linux、macOS、Windo
2023年のプロダクトセキュリティを振り返る【各業界の開発・セキュリティエンジニア13人に聞く(前編)】 - #FlattSecurityMagazine
プロダクト開発・運用の現場では2023年のセキュリティ関連のトピックをどう受け止めているのか、また、今後のセキュア開発に関する潮流をどう予測しているのか。様々な業界で活躍する開発エンジニア・セキュリティエンジニアの方々13人に見解を伺いました。 今回は、「2023年のプロダクトセキュリティを振り返る」というテーマでお届けします! <13人の方々による「2024年セキュリティトレンド予想」> flatt.tech 今回コメントをいただいた方々 CADDi CTO 小橋昭文さん サイボウズ Cy-PSIRT Finatextホールディングス 取締役CTO/CISO 田島悟史さん Google 小勝純さん グラファー 森田浩平さん IssueHunt 取締役 CTO Junyoung Choiさん カンム 金澤康道さん メルカリ IDP team kokukumaさん メルカリ Product
We recently launched the JavaScript Registry - JSR. It’s a new registry for JavaScript and TypeScript designed to offer a significantly better experience than npm for both package authors and users: It natively supports publishing TypeScript source code, which is used to auto-generate documentation for your package It’s secure-by-default, supporting token-less publishing from GitHub Actions and pa
タスクマネージャーでシステムの動作状態を知りたい! Windows OSにおいて、システムの動作状態をチェックしたり、必要なメモリサイズを見積もったりするには、タスクマネージャーによるシステム状態の把握が必要である。これを使えば、簡単にシステムの動作状況を調査できるし、必要ならアプリケーション(プロセス)ごとの細かな動作状況やCPU/メモリの利用量などをモニターすることも可能だ。 また、システムの動作が重くなったといった場合のトラブルの原因追及にも役立ってくれる。 タスクマネージャーは非常に多くの機能を持つ。本Tech TIPSでは、最もよく使われるであろう[パフォーマンス]画面の内容について解説する。対象はWindows 11とする。 Windows 10やWindows Server 2016以降の場合は、Tech TIPS「Windows 10対応:タスクマネージャーの『パフォーマン
スマートフォンに搭載するマイナンバーカードの機能拡大を柱とするマイナンバー法の改正案が29日、参院特別委員会で可決された。近く参院本会議で可決し成立する見通しとなった。マイナンバーカードのすべての機能をスマートフォンに搭載できるようにする。インターネット上で銀行や証券会社の口座を開設する際に、わざわざ実物のカードをかざして読み込ませたり、撮影して画像を送ったりといった段取りが不要となる。コン
こんにちは、Azure Identity サポート チームの 川里 です。 本記事は、2024 年 5 月 1 日に米国の Microsoft Entra (Azure AD) Blog で公開された Announcing General Availability of Microsoft Entra External ID - Microsoft Community Hub を意訳したものになります。ご不明点等ございましたらサポート チームまでお問い合わせください。 次世代の顧客 ID アクセス管理 (CIAM: Customer Identity Access Management) 機能を実現する開発者向けソリューションである「Microsoft Entra External ID」が 5 月 15 日から一般公開 (GA) されたこと をお知らせします。External ID では
Cloudflare Email Routingを利用して、独自ドメインのメールアドレスを Gmail(@gmail)に転送している環境で、メール転送のエラー率上昇を確認。 その原因について、調査する機会がありましたので紹介させて頂きます。 転送設定 Cloudflare Email Routingを利用したメール転送を利用していました。 Enable Email Routing Gmailへのメール転送は、カスタムアドレスを設定して実施していました。 ログ確認 アクティビティログより、エラー詳細の確認を試みました。 Email Routing analytics エラー応答は421。 以下の2パターンの拒否理由が確認できました。 レピュテーション不足(4.7.0) Unknown error: transient error (421): 4.7.0 [104.30.8.180 19]
本記事はマイクロソフト社員によって公開されております。 こんにちは。Windows Commercial Support Directory Services チームです。 ドメイン コントローラーは多くの組織で利用されておりますので、今までドメイン コントローラーの設計や運用に関わったことがなかったものの、急に担当することになってしまったという方も多いのではないでしょうか。 今回は、そのような方向けに、これからドメイン コントローラーを新規で構築する際に、言われないと中々気付きにくいことについて、紹介させていただきます。 後から予期しないトラブルに直面することを避けるためにも、構築時から問題の起きにくい構成を目指していきましょう! 非推奨の話※ 以下の構成は推奨しておりませんが、この構成においてサポートをお断りすることはございません。 ただし、最終的に構成変更以外の対処が難しい場合もござ
おはようございます 自称パスキー👮♂です。 様々なサービスでパスキー対応が進む中で、今回は特定機能の保護を目的とした導入とユーザーへの影響について取り上げます。 きっかけ ここ最近、🚔パスキーに関するパトロール🚔をしている中で、メルカリのパスキー導入についてこんなTweetを見つけました。 まずは1つ目です。 機種変更をしたら、メルカリのビットコインで取り引きできなくなってしまった。 ヘルプとかみて、認証情報を追加するとよさげなことが書いてあったので、試して見たけど、パスキーがないといわれて、登録することができない。つんだ。 事務局に問い合わせ中。#メルカリ #ビットコイン #パスキー pic.twitter.com/NoEKo8Hn5l— よっしー🖊 (@GateYossi) 2023年6月26日 新しいパスキーを追加しようと思ったがパスキーがない。 事務局で認証情報をクリアし
GitHub - HexaCluster/pgdsat: PostgreSQL Database Security Assessment Tool
PGDSAT is a security assessment tool that checks around 70 PostgreSQL security controls of your PostgreSQL clusters including all recommendations from the CIS compliance benchmark but not only. This tool is a single command that must be run on the PostgreSQL server to collect all necessaries system and PostgreSQL information to compute a security assessment report. A report consist in a summary of
ritouです。 前回は、パスキーやパスワードマネージャーを使う時の認証要素について触れました。 今回は、 同じ要素の認証を重ねる意味 同一端末やパスワードマネージャーだけで完結するMFA あるアカウントに紐づけられて同期されるクレデンシャル管理 についての 基本的な整理 をします。 前回に続き、書いていることは無難な内容だと思います。 (長いので先に)まとめ 単一要素を重ねる意味について、要素の種類によっては有効な場合もある SYK を重ねるケースは決済などでまだ見られるが今後は淘汰されていくのでは? SYH の場合、管理デバイスを分離することで安全性を上げられる。ただし手間は増えるしフィッシング耐性は別途考慮する必要あり。 SYA を重ねる=単一SYAの精度を上げるのと同じ扱いになりそう(顔だけ、指紋だけ -> 顔 + 指紋など) 同一端末やパスワードマネージャー内で完結するMFAやプ
AWS障害が発生してから復旧するまでの間にAWS Health Dashboard上でどんな情報が表示されるのかまとめてみた | DevelopersIO
AWS障害が発生してから復旧するまでの間にAWS Health Dashboard上でどんな情報が表示されるのかまとめてみた AWSに障害が発生した場合は、AWS Health Dashboardに障害の詳細が表示されます。普段あまり見られるものではないため、この機会にHealth Dashboardで確認できる項目をまとめてみました。 AWSの障害情報が知りたい おのやんです。 みなさん、AWSの障害が発生したときに、障害の状況を把握したいと思ったことはありませんか?私はあります。 AWSには、AWSの障害の詳細が表示されるAWS Health Dashboard(以下、Health Dashboard)というサービスがあります。こちらのサービスから、実際に起こっている障害の内容や影響範囲を確認することができます。 しかしAWSの障害自体がそこまで頻繁に起こるものではありません。そのため
垂直スケーラビリティと効果的なテストによる金融取引システムのパフォーマンスと効率の最大化 Peter Lawrey氏はJavaチャンピオンであり、Chronicle SoftwareのCEOとして、開発者を鼓舞してソリューションのクラフトマンシップを高めることに情熱を注いでいる。経験豊富なソフトウェアエンジニアとして、Lawrey氏はソフトウェア開発プロセスにおけるシンプルさ、パフォーマンス、創造性、革新性を奨励することに努めている。
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
「Gmail」がスパムメール撲滅に本腰 大量送信者に新しい義務を課す方針を明らかに/SPF/DKIMといった認証システムの導入、メルマガ登録解除のワンクリック化など
Google にメールを届けるために 2023 冬 | IIJ Engineers Blog
神奈川県高校出願システムの設定の不備を説明できないから勉強してみた - Qiita
2段階認証も突破する「SIMスワップ」、漏れた個人情報は闇サイトで売買される
メール送信者への警鐘:DMARC がもはや「Nice to have」と言えなくなった理由
携帯契約時の本人確認、対面なら免許証や在留カードもOK デジタル庁が明言 マイナカード以外のICも対応
僕が考える テックブログを書く意義 と 書き方のすゝめ
GitHub ActionsとGoogle CloudのOIDCの仕組みを理解する
WordPressがハッキングされる理由に関する誤解とは?
UI & UX Design Tips by Jim Raptis.
ID周りをやりたいエンジニアにすすめたい学習ステップ(1) : 単一アプリケーションとID管理
メール認証における ARC の仕組みと DMARC fail の対策 - NFLabs. エンジニアブログ
Microsoftの消費者署名キーが中国系ハッカー集団に盗まれる、Microsoftのクラウドサービス全般が影響下に
Amazonの二要素認証が突破される? 新手の詐欺が発生中
オープンソースのユーザ認証システムOry Kratos v1.0.0がリリース | gihyo.jp
How we built JSR
【Windows 11】タスクマネージャーの「パフォーマンス」タブの見方
マイナンバー法改正案、今国会成立へ スマホにカードの全機能搭載 - 日本経済新聞
Microsoft Entra External ID が一般提供 (GA) されました
Gmailに届かないCloudflare経由の独自ドメインメールを調べてみた | DevelopersIO
ドメイン コントローラーの構築時に言われないと気付かないこと
認証レベルの概念を取り入れたパスキー導入とユーザーへの影響 - r-weblife
パスキー時代の"認証要素"の考え方 ~単一要素の組み合わせ、おまとめMFAと同期~
UberのCacheFront:レイテンシーを大幅に削減し、毎秒4000万件の読み取りを可能に
パスキー認証の誤解を解く:企業のセキュリティを変える未来の鍵・パスキー[Sponsored]
![パスキー認証の誤解を解く:企業のセキュリティを変える未来の鍵・パスキー[Sponsored]](https://cdn-ak-scissors.b.st-hatena.com/image/square/479f154b4e63b23d5dfa7f4e93f5e40b39228cf5/height=288;version=1;width=512/https%3A%2F%2Fcloud.watch.impress.co.jp%2Fimg%2Fclw%2Flist%2F1546%2F577%2F02a.jpg)