GitHub - openauthjs/openauth: ▦ Universal, standards-based auth provider.
While there are many open source solutions for auth, almost all of them are libraries that are meant to be embedded into a single application. Centralized auth servers typically are delivered as SaaS services - eg Auth0 or Clerk. OpenAuth instead is a centralized auth server that runs on your own infrastructure and has been designed for ease of self hosting. It can be used to authenticate all of y
Announcing Pages support for monorepos, wrangler.toml, database integrations and more!
Announcing Pages support for monorepos, wrangler.toml, database integrations and more!2024-04-04 Pages launched in 2021 with the goal of empowering developers to go seamlessly from idea to production. With built-in CI/CD, Preview Deployments, integration with GitHub and GitLab, and support for all the most popular JavaScript frameworks, Pages lets you build and deploy both static and full-stack ap
New OpenSSH Vulnerability Could Lead to RCE as Root on Linux Systems
OpenSSH maintainers have released security updates to contain a critical security flaw that could result in unauthenticated remote code execution with root privileges in glibc-based Linux systems. The vulnerability, codenamed regreSSHion, has been assigned the CVE identifier CVE-2024-6387. It resides in the OpenSSH server component, also known as sshd, which is designed to listen for connections f
SESで送信したメールのDMARCレポートをCloudflare DMARC Management で確認してみた | DevelopersIO
Cloudflare DMARC Management を利用して、Amazon SESから送信したメールのDMARCレポートの可視化を試みました。 メール送信にAmazon SES、 DNSはCloudflareを利用しているワークロードで、 Google、Yahooがメール送信者に求めるガイドラインに準拠したAmazon SES設定を実施。 Cloudflareが提供するDMARCレポートの可視化を確認する機会がありましたので、紹介させて頂きます。 Cloudflare Docs Cloudflare DMARC Management Cloudflare DMARC Managementでブランドのなりすましを阻止する Amazon SES設定 カスタム MAIL FROMドメインを設定、SPFのアライメントを揃えたSESを用意しました。 Amazon SESでカスタム MAIL F
Auth0 Rate Limit完全ガイド:サービスの安定性を保つための重要ポイント - TC3株式会社|GIG INNOVATED.
はじめに Auth0を実サービスに利用する上で欠かせない観点として「Rate Limit」というものがあります。 https://auth0.com/docs/troubleshoot/customer-support/operational-policies/rate-limit-policy Auth0には様々な観点でRate Limitが設定されており、充分に理解した上でアプリケーションの設計をしないと、ユーザーが増加してきたタイミングで障害発生に繋がる可能性があり、注意が必要です。 また、アプリに求められる要件を満たすため契約のプラン変更が必要になることもあり(契約毎に Rate Limitが異なります:参考)、その場合、根本解決までのリードタイムが長くなり得ますので、早い段階で手を打つことが重要です。 今回は、特に重要な「APIのRate Limit」についてご紹介します。 Ra
Quickly adopt new AWS features with the Terraform AWS Cloud Control provider | Amazon Web Services
AWS DevOps & Developer Productivity Blog Quickly adopt new AWS features with the Terraform AWS Cloud Control provider Introduction Today, we are pleased to announce the general availability of the Terraform AWS Cloud Control (AWS CC) Provider, enabling our customers to take advantage of AWS innovations faster. AWS has been continually expanding its services to support virtually any cloud workload;
Hello friends, this is the first of two, possibly three (if and when I have time to finish the Windows research) writeups. We will start with targeting GNU/Linux systems with an RCE. As someone who’s directly involved in the CUPS project said: From a generic security point of view, a whole Linux system as it is nowadays is just an endless and hopeless mess of security holes waiting to be exploited
UNC5537 Targets Snowflake Customer Instances for Data Theft and Extortion | Google Cloud Blog
UNC5537 Targets Snowflake Customer Instances for Data Theft and Extortion UPDATE (June 17): We have released our Snowflake threat hunting guide, which contains guidance and queries for detecting abnormal and malicious activity across Snowflake customer database instances. Default retention policies for the relevant views enable threat hunting across the past 1 year (365 days). Introduction Through
Centrally manage root access in AWS Identity and Access Management (IAM) - AWS
Centrally manage root access in AWS Identity and Access Management (IAM) Today, AWS Identity and Access Management (IAM) is launching a new capability allowing customers to centrally manage their root credentials, simplify auditing of credentials, and perform tightly scoped privileged tasks across their AWS member accounts managed using AWS Organizations. Now, administrators can remove unnecessary
Googleが公開した新しい「メール送信者ガイドライン」をきっかけに、これまで普及の遅れていた日本においてもDMARC(Domain-based Message Authentication, Reporting, and Conformance)の導入が急速に広がっています。 ただ、ガイドライン準拠のためだけにDMARCを設定し、実際にはこれを活用できていない企業も少なからずあるようです。 送信者ガイドライン強化の本来の目的は、フィッシング詐欺やサイバー攻撃などの要因になっている「悪意のあるなりすまし電子メール」の撲滅です。これを実現するためにも、DMARCの導入だけでなく近い将来にはポリシーの強化が求められてもおかしくありません。また、安定した電子メール配信を実現するためにも、DMARCの活用は今後不可欠となっていくでしょう。 今回はDMARCを導入後に必要となる対応や企業が直面する課
【PGlite:Part2】pg-gatewayを利用したTCP接続 - RAKUS Developers Blog | ラクス エンジニアブログ
はじめに 復習:PGlite pg-gateway pg-gatewayとPGliteを起動してSQLクライアントから接続する まとめ はじめに こんにちは、エンジニア2年目のTKDSです! 前回はPGliteの概要・使い方・速度実験について記事にしました。 今回はさらに、PGliteへのSQLクライアントからの接続を可能とするpg-gatewayについて紹介し、活用例について示します。 復習:PGlite PGliteは、PostgreSQLをWebAssembly(WASM)にコンパイルした軽量なデータベースエンジンです。 これにより、ブラウザ、Node.js、Bun、DenoなどでPostgresの機能を利用でき、開発者はローカルやサーバーレス環境でデータベース操作を行うことが可能です。 PGliteは、インメモリデータベースやファイルシステム(Node.jsやBun)、Indexe
サイバー攻撃の標的は、パスワードよりも「認証後の証明」へ移ろうとしている。アイデンティティ管理のOktaはなぜ狙われ、どう対策していくのかを聞いた[PR]
サイバー攻撃の標的は、パスワードよりも「認証後の証明」へ移ろうとしている。アイデンティティ管理のOktaはなぜ狙われ、どう対策していくのかを聞いた[PR] Okta(オクタ)は、パスワードレス認証や多要素認証などの技術を活用し、業務で使う様々なSaaSアプリのシングルサインオンなどの便利で安全なアイデンティティ管理とアクセス管理のプラットフォームを提供する代表的な企業として知られています。 2021年には開発者に人気のあったアイデンティティ管理プラットフォームの「Auth0」を買収、サービスを統合したことで、この分野での地位をさらに強固なものとしました。 その同社は2023年10月、顧客企業のサポート管理システムへの不正アクセスがあったことを公表しました。攻撃者は、顧客がサポート管理システムにアップロードしたファイルの中からセッショントークンを窃取し、それを使って5社の顧客企業のOktaテ
![サイバー攻撃の標的は、パスワードよりも「認証後の証明」へ移ろうとしている。アイデンティティ管理のOktaはなぜ狙われ、どう対策していくのかを聞いた[PR]](https://cdn-ak-scissors.b.st-hatena.com/image/square/db133939d9a025b6639537fffa5718999da3dbb4/height=288;version=1;width=512/https%3A%2F%2Fwww.publickey1.jp%2F2024%2Fokta_secureidentitycommitment01.png)
The Copenhagen Book
The Copenhagen Book The Copenhagen Book provides a general guideline on implementing auth in web applications. It is free, open-source, and community-maintained. It may be opinionated or incomplete at times but we hope this fills a certain void in online resources. We recommend using this alongside the OWASP Cheat Sheet Series. If you have any suggestions or concerns, consider opening a new issue.
Passkeys on Windows: Authenticate seamlessly with passkey providers
Passkeys on Windows just got easier! As part of Microsoft’s vision for a passwordless future we are working to make passkeys on Windows simple and intuitive. Passkeys are safer and easier to use than passwords, which are vulnerable to phishing and data breaches. That is why, in support of a passwordless future, we partnered in the FIDO alliance with other platforms in supporting passkeys. As part
Digital Credentials API のオリジン トライアルのご紹介 | Blog | Chrome for Developers
公開日: 2024 年 9 月 4 日、最終更新日: 2024 年 10 月 16 日 Digital Credentials API のオリジン トライアルは Chrome 128 から開始されます。Digital Credentials API は、ウェブサイトがデジタル ウォレットに保存されている運転免許証や国家 ID などのデジタル認証情報を通じて、ユーザーに関する検証可能な情報を選択的にリクエストできる新しいウェブ プラットフォーム API です。 背景 多くの官公庁や民間企業がデバイスに関連付けられたデジタル認証情報を発行し始めており、現実世界でのデジタル ID が現実のものになりつつあります。たとえば、米国の一部の州(アリゾナ州、カリフォルニア州、コロラド州、ジョージア州、メリーランド州など)では、モバイル デバイスの Google ウォレットなどのデジタル ウォレット アプ
DocumentDB: Open-Source Announcement - Microsoft Open Source Blog
We are excited to announce the official release of DocumentDB—an open-source document database platform and the engine powering the vCore-based Azure Cosmos DB for MongoDB, built on PostgreSQL. NoSQL databases have historically provided cloud-specific solutions without a common standard for interoperability. This has led to a growing demand for an interoperable, portable, and fully supported produ
概要 元サイトの許諾を得て翻訳・公開いたします。 英語記事: Rails 8 introduces a basic authentication generator - BigBinary Blog 原文公開日: 2024/08/09 原著者: Jaimy Simon なお、本記事で取り上げられているのはいわゆるHTTP BASIC認証↓とは異なりますのでご注意ください。 参考: 11.1 HTTP BASIC認証 -- Action Controller の概要 - Railsガイド DHHは最近、以下のAdd basic authentication generatorというタイトルのissueをRailsリポジトリに投稿しました。 今のRailsには、基本的な認証機能で必要となる主な材料はひととおり揃っているのに、それらをどう組み合わせたらよいかをまだよくわかっていない新規開発者が多
犯罪者によるフィッシング詐欺を狙った、三菱UFJ銀行を名乗る偽SMS(ショートメッセージ)/メールがかつてない規模でお客さまに送られており、内容も一見して区別がつきにくいものとなっています。 かかる状況を踏まえ、当行はお客さまの資産をお守りするべく、以下記載の実施日以降に三菱UFJダイレクトでのワンタイムパスワード(アプリ)利用登録時の本人確認を電話(自動音声)で実施した場合、振込を始めとする一部取引の取り扱いを変更します。
Amazon SES でメールを操作する 近年、メールの送信は以前と比べて難易度が上がっています。 神奈川県公立高校ネット出願システムでGmailが使えないというトラブルやGmailガイドラインの適用開始は記憶に新しいかと思います。 本記事ではAmazon SES(Amazon Simple Email Service)でのメールの送受信の方法について簡単に説明します。 メール送信者の一般的ガイドライン スパムメールやフィッシング詐欺の増加やセキュリティ強化の必要性から、最近ではメール送信に厳格なガイドラインが設けられています。 例えばGoogleは以下のようなメール送信者のガイドラインを発表しています。 このガイドラインでは「すべての送信者」と「1 日あたり 5,000 件以上のメールを送信する場合」に分けてガイドラインが定義されています。 この「1 日あたり 5,000 件以上のメール
Postman is an extremely popular application for developers testing remote web APIs. It lets you craft HTTP requests, interact with their responses, and go through the history of what you’ve sent and received. Many of these HTTP requests are authenticated, meaning that the application deals with API keys, login tokens, credentials, etc. In May, Postman pivoted to be a cloud-only product for many of
Gmailが新運用ルールを適用開始、準拠しないメールは拒否
Bleeping Computerは4月1日(米国時間)、「Google now blocks spoofed emails for better phishing protection」において、GoogleがGmailの「メール送信者のガイドライン」を本格的に運用開始したと伝えた。このガイドラインは2023年10月に公表され、2024年2月から試験的に運用が開始されている。2024年4月からガイドラインに準拠しないメールは段階的に拒否されるようになる。 Google now blocks spoofed emails for better phishing protection Gmail送信者のガイドラインの概要 Googleは不正なメールや迷惑メールを防止するため、個人用Gmailアカウントへのメール送信者に「メール送信者のガイドライン」への準拠を求めている。このガイドラインはGo
このブログ記事では、Cognitoを使ってLaravelでシンプルな認証機能を実装する方法を紹介します。 目的 クラスメソッドタイランドの清水です。 本記事では Cognito を使って Laravel で簡単な認証機能を実装します。 認証のシーケンスは以下のようになります。 また、全体の流れを理解するために Laravel のロジックは非常に簡潔になっているので、本番環境で注意が必要な部分は ⚠️ でコメントを書いています。 前提条件・知識 AWS アカウントを作成済み IAM Role, Policy, Cloud9 の環境を作成できる権限がある 使いたいAWS アカウントのリージョンで cdk bootstrap コマンドを実行済み ローカル PC に docker, docker-compose をインストール済み 手順 まずは CDK を実行するための環境を Cloud9 で準備
パスキーはユーザー認証を どう変えるのか?その特徴と導入における課題 @ devsumi 2023 9-C-1
みなさんこんにちは。2024年11月からログラスでCTO をつとめております、いとひろ(@itohiro73)です。 今回のCTO交代にあたり、前任の創業者CTOである坂本さん(@http204)と対談したこちらの記事でもお話ししたのですが、ログラスでは開発ケイパビリティの拡張のため、海外開発拠点を立ち上げ、グローバルな開発組織へとUpdate Normal[1]していこうと考えております。 そこで、本記事ではエンジニアがグローバルな開発環境で働いていく上で重要となる、実際の業務で使える英語表現をシーン別に20個厳選しました。 日常業務からOSS貢献、タフな課題コミュニケーションまで、様々なシチュエーションで対応できる表現をマスターして、グローバルエンジニアを目指しましょう! 実践的な開発シーンで使える英語表現20選 シーン1: 朝会での状況報告 Daily ScrumやStandup M
TLDR: We're still keeping it ticking, but we're being more up-front that CocoaPods is in maintenance mode. CocoaPods is about 13 years old now, and the landscape of iOS development has changed a lot in that time. I remember the fragmented islets of small shared libraries (like: ASIHTTPRequest, Three20, SBJson, SSToolkit, iCarousel) with tricky upgrade instructions and complicated build setups. Coc
Over the years, I’ve repeatedly heard that Windows NT is a very advanced operating system and, being a Unix person myself, it has bothered me to not know why. I’ve been meaning to answer this question for years and I can do so now, which means I want to present you my findings. My desire to know about NT’s internals started in 2006 when I applied to the Google Summer of Code program to develop Boo
Announcing New DMARC Policy Handling Defaults for Enhanced Email Security | Microsoft Community Hub
Announcing New DMARC Policy Handling Defaults for Enhanced Email Security Domain-based Message Authentication, Reporting & Conformance (DMARC) is a standard that helps prevent spoofing by verifying the sender’s identity. If an email fails DMARC validation, it often means that the sender is not who they claim to be, and the email could be fraudulent. The ‘p=’ value (this stands for “policy”) in a D
Best practices for event logging and threat detection Best practices for event logging and threat detection 3 Table of contents Executive summary �4 Introduction �5 Audience �5 Best practices �5 Enterprise-approved event logging policy �5 Event log quality �5 Captured event log details �6 Operational Technology considerations �7 Additional resources �7 Content and format consistency �7 Timestamp c
Amazon Q Business と AWS IAM Identity Center を利用して、プライベートでセキュアなエンタープライズ生成 AI アプリケーションを開発する | Amazon Web Services
Amazon Web Services ブログ Amazon Q Business と AWS IAM Identity Center を利用して、プライベートでセキュアなエンタープライズ生成 AI アプリケーションを開発する 本記事は、2024年4月30日に投稿されたBuild private and secure enterprise generative AI apps with Amazon Q Business and AWS IAM Identity Center を翻訳したものです。 2024 年 4 月 30 日現在、Amazon Q Business が一般提供開始 になりました。Amazon Q Business は、生成 AI を活用し、従業員の質問に答えたりタスクを完了させることで生産性の向上をサポートする対話型アシスタントです。従業員は Amazon Q Busi
Internet Archive hacked, data breach impacts 31 million users
HomeNewsSecurityInternet Archive hacked, data breach impacts 31 million users Updates added at end of the article. Internet Archive's "The Wayback Machine" has suffered a data breach after a threat actor compromised the website and stole a user authentication database containing 31 million unique records. News of the breach began circulating Wednesday afternoon after visitors to archive.org began
GitHub - leerob/next-saas-starter: Get started quickly with Next.js, Postgres, Stripe, and shadcn/ui.
This is a starter template for building a SaaS application using Next.js with support for authentication, Stripe integration for payments, and a dashboard for logged-in users. Demo: https://next-saas-start.vercel.app/ Why did I make this? In 2020, I made a course called "React 2025" which showed how to build a SaaS application with Next.js, Stripe, and other tools. Well, it's almost 2025 and React
Today we are excited to share the next milestone in the evolution of Angular! Over the past three releases we’ve introduced a lot of new features and improvements. This time we focused on polishing the work we shipped by graduating many of the new APIs to stable, addressing common developer requests, and experimentally releasing one of the most desired roadmap projects: zoneless change detection.
SaaS 認証: Amazon Cognito ユーザープールを使ったアイデンティティ管理 | Amazon Web Services
Amazon Web Services ブログ SaaS 認証: Amazon Cognito ユーザープールを使ったアイデンティティ管理 この記事は、SaaS authentication: Identity management with Amazon Cognito user pools を翻訳したものです。 Amazon Cognito は、数百万人のユーザーにスケールできるカスタマーアイデンティティおよびアクセス管理 (CIAM) サービスです。Cognito 開発者ガイドでは利用可能なマルチテナンシーモデルについて詳しく説明されていますが、どのモデルを使うべきかを判断するのは時に難しい場合があります。このブログ記事では、各モデルを使う際のガイダンスを提供し、お客様の意思決定に役立つよう、長所と短所を確認します。 Cognito の概要 Amazon Cognito は、Web
この StoreKit 2 チュートリアルにはサンプルコードとサンプルアプリが提供されており、以下のURLからダウンロードできます。https://github.com/RevenueCat/storekit2-demo-app. はじめに アプリ内課金とサブスクリプションはApp Storeで収益を上げるための最適な方法の一つです。Appleが新たにアップデートしたStoreKit 2は、アプリ内課金のためのフレームワークで、開発者はこれを利用してiOS、macOS、watchOS、tvOSのアプリにIAP(アプリ内課金)を追加できます。AppleのドキュメントにはStoreKitの使い方に関して基本的な説明がありますが、複雑な部分の詳細や完全な使用例は提供されていません。 このチュートリアルでは、基本的なコンセプト、App Store Connectの設定、StoreKit 2の導入方
The first Rails 8 beta has officially been released, bringing an exciting set of features, bug fixes, and improvements. This version builds on the foundation of Rails 7.2, while introducing new features and optimizations to make Rails development even more productive and enjoyable. Key highlights include an integration with Kamal 2 for hassle-free deployments, the introduction of Propshaft as the
M3 AAWG Messaging, Malware and Mobile Anti-Abuse Working Group 781 Beach Street, Suite 302, San Francisco, CA U.S.A 94129 M3AAWG.org Messaging, Malware and Mobile Anti-Abuse Working Group M3 AAWG パークドメインを保護するベストコモンプラクティス このドキュメントの参照 URL: https://www.m3aawg.org/M3AAWG-Protecting-Parked-Domains-BCP-jp-update-2022-06 2022 年 6 月更新 目次 I. エグゼクティブサマリー....................................................
How Netflix Really Uses Java
Transcript Bakker: I'm going to talk about how Netflix is really using Java. You probably know that Netflix is really just about RxJava microservices, with Hystrix and Spring Cloud. Really, Chaos Monkeys are just running the show. I'm only half getting here because a few years ago, this was actually mostly true, maybe except the Chaos Monkeys. This stack was something that we were building on in t
Ler em português In the beginning of the 1990s, Tim Berners-Lee and his team at CERN worked together to elaborate the basis of the World Wide Web, defining four building blocks for the Internet: A document format for hypertext (HTML)A data transmission protocol (HTTP)A web browser to view hypertext (the first browser, WorldWideWeb)A server to transmit the data (an early version of httpd)HTTP reuse
Component testing RSCs
After much anticipation, React Server Components (RSCs) are transforming the way we build React apps by blurring the lines between traditional frontend and backend code. RSCs help you build a faster, more responsive, and less complex app. But despite this huge push, there has been little work on how to test them. That makes it hard to build on them with confidence. In this post, we introduce Story
February 2024 (version 1.87) Update 1.87.1: The update addresses these issues. Update 1.87.2: The update addresses this security issue. Downloads: Windows: x64 Arm64 | Mac: Universal Intel silicon | Linux: deb rpm tarball Arm snap Welcome to the February 2024 release of Visual Studio Code. There are many updates in this version that we hope you'll like, some of the key highlights include: Voice di
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Attacking UNIX Systems via CUPS, Part I
DMARCを使いこなせ 導入メリットと実践ポイントを徹底解説
Rails 8で基本的な認証ジェネレータが導入される(翻訳)|TechRacho by BPS株式会社
ワンタイムパスワード(アプリ)利用登録時の本人確認方法による一部取引の取扱変更 | 三菱UFJ銀行
AWSでのメール配信入門:Amazon SESの使い方と認証設定のポイント
Lee Holmes | Security Risks of Postman
Cognito で Laravel の認証を実装する | DevelopersIO
そのQRコード、安全ですか? / Cross Device Flow
目指せグローバルエンジニア!今日から使えるシーン別英語表現20選
CocoaPods Support & Maintenance Plans - CocoaPods Blog
Windows NT vs. Unix: A design comparison
Best practices for event logging and threat detection
Angular v18 is now available!
StoreKit 2によるiOSのアプリ内課金のチュートリアル
What's New in Ruby on Rails 8 | AppSignal Blog
M3AAWG - Protecting parked Domains.docx
HTTP/2 and HTTP/3 explained - AlexandreHTRB blog
Visual Studio Code February 2024