Next.js 15.1
Next.js 15.1 brings core upgrades, new APIs, and improvements to the developer experience. Key updates include: React 19 (stable): Support for React 19 is officially available in both Pages Router & App Router. Improved Error Debugging: Enhanced DX and better source maps for the browser and the terminal. after (stable): New API to execute code after a response has finished streaming. forbidden / u
Sekoiaは10月7日(現地時間)、「Mamba 2FA: A new contender in the AiTM phishing ecosystem - Sekoia.io Blog」において、中間者攻撃(AiTM: Adversary-in-The-Middle)を実行するフィッシングキット「Mamba 2FA」を発見したとして、その分析結果を伝えた。このフィッシングキットはMicrosoftアカウントの認証情報とCookieを窃取可能だという。 Mamba 2FA: A new contender in the AiTM phishing ecosystem - Sekoia.io Blog Mamba 2FAの概要 Sekoiaによると、Mamba 2FAはTelegram上でフィッシング・アズ・ア・サービス(PhaaS: Phishing-as-a-Service)として販売
認証と認可は、情報セキュリティ、アクセス制御に関連する重要な概念です。 「認証(Authentication)」は、ユーザーが自分自身であることを確認するプロセスです。通常、ユーザー名とパスワード、生体認証(指紋や顔認識など)、セキュリティトークンなどが使用されます。これにより、システムはユーザーの正当性を確認し、システムやデータへのアクセスを許可します。 一方、「認可(Authorization)」は、認証されたユーザーが特定のリソースや機能にアクセスする権限を持っているかどうかを定義するプロセスです。認可は、ユーザーがアクセスできるデータやシステムの特定の部分を制御します。例えば、システム管理者は全ての機能にアクセスできるが、一般ユーザーは限られた機能しか利用できないような設定が認可の例です。 要するに、認証はユーザーの正当性を確認し、認可はユーザーがどのリソースや機能にアクセスできる
Googleの新ガイドライン対応だけで終わらせない:5分で構築する自前のレポート分析ツールでDMARCを正しく運用 - asoview! Tech Blog
アソビュー株式会社VPoEの @tkyshat です。 はじめに この記事は、以下の方々を対象にしています: メールのセキュリティについてかいつまんで知りたい方 DMARCをまだ設定できていない方 DMARCの設定はしたもののポリシーがnoneのままの方 DMARCの設定はしているがレポートをうまく活用できていない方 すでにDMARCの設定が完了し、レポートのモニタリングもできており、BIMI認証まで完了している方には物足りないかもしれません。 ブログの中で簡易的なものではありますが、5分でできるレポート分析ツールの構築方法も紹介しておりますので、ぜひ参考にしていただければと思います。 背景と目的 Googleが2023年10月に発表したGmailの新ガイドラインは、5000件以上のメールを送信する企業に対する要求が強化され、2024年2月以降にガイドラインに従っていないメールは配信されな
CVE-2024-0012 PAN-OS: Authentication Bypass in the Management Web Interface (PAN-SA-2024-0015)
Description An authentication bypass in Palo Alto Networks PAN-OS software enables an unauthenticated attacker with network access to the management web interface to gain PAN-OS administrator privileges to perform administrative actions, tamper with the configuration, or exploit other authenticated privilege escalation vulnerabilities like CVE-2024-9474. The risk of this issue is greatly reduced i
freee Developers Advent Calendar 2024 17日目の記事はWaTTsonが担当します。昨年のAdvent Calendarでは「credentialをSlackに書くな高校校歌」というのを出してプチバズりしていたのですが、今回はネタ枠ではなくもうちょっと真面目な話を書きます。 developers.freee.co.jp 脅威モデリングの取り組み みなさんは開発しているシステムに対して「脅威モデリング」を行っているでしょうか?脅威モデリングとは、システムの各要素が持つ様々な脅威を挙げ、それらの緩和策を考えて整理する、という取り組みです。最近では、12月6日・7日に脅威モデリングナイト#5とTMC Tokyo x ZANSINの2日連続でのイベントが開催されたりと、界隈が活気を見せつつあります。 freeeでは、2023年に開催した自社カンファレンス「fre
Windows security and resiliency: Protecting your business
At Microsoft, security is our top priority, and with every release, Windows becomes even more secure. At Ignite 2024, we will highlight new Windows security innovations that will provide the clarity and confidence our customers and organizations require while navigating this evolving digital landscape. We will also talk about our learnings from the July incident, and investments we are making as a
CloudFront Hosting Toolkitを使って静的Webサイト環境を作ってみた | DevelopersIO
手間をかけずにCloudFrontを使った静的Webサイトを作りたい こんにちは、のんピ(@non____97)です。 皆さんは手間をかけずにCloudFrontを使った静的Webサイトを作りたいなと思ったことはありますか? 私はあります。 過去にAWS CDKを使ってこの思いを実現したことがありますが、一からAWS CDKを作り込むのはなかなか大変でした。 そんな苦労はCloudFront Hosting Toolkitを使用すると少し解消されるかもしれません。 CloudFront Hosting ToolkitはCLIまたはAWS CDKでフロントエンドのホスティングとCI/CDパイプラインを用意するツールです。 今だとAmplifyを使えば良いのではないか? という声も聞こえてきますが、細かいカスタマイズを行いたい場合にCloudFront周りを直接操作したい場合があります。そうい
A lightning fast, new agentic coding experience within the Amazon Q Developer CLI | Amazon Web Services
AWS DevOps & Developer Productivity Blog A lightning fast, new agentic coding experience within the Amazon Q Developer CLI Earlier today, Amazon Q Developer announced an enhanced CLI agent within the Amazon Q command line interface (CLI). With this announcement, Q Developer brings the latest agentic experience to the CLI that provide a more dynamic, interactive coding experience that works with yo
You can enhance Copilot's chat responses by providing it with contextual details about your team's workflow, tools, or project specifics. Instead of manually including this context in every chat query, you can create a custom instructions file that automatically incorporates this information with every chat request. Copilot applies these instructions to chat prompts in the Chat view, Quick Chat, o
AIにセキュリティ対策任せれば大丈夫というニュース記事多いから試してみた www3.nhk.or.jp 試してみたけど基本的な内容(過去事例の多い内容)ならきちんと返信 二段階認証の導入とか。 でも二段階認証強制化は50%くらいのユーザーはついてこれずに離れるから消極的 任意ならありだけど任意だと三割くらいのユーザーしか設定しない セキュリティ対策は利便性とセキュリティ強度のバランスを考えること *SNSをみると、二段階認証を強制していなかったサイト運営側を批判する書き込みが多いけど、バランス(セキュリティと利便性はトレードオフ)を知っているとそれも違うな、、、と思ったり。 xtech.nikkei.com 下みたいな新しめの技術で前例が少ない内容のアドバイスを返さないLLMがほとんど。 基本AIは過去の学習を元にした答えを返しているので、新しいこと、前例の少ないことが弱くなるのはディープ
Language Model API
The Language Model API enables you to use the Language Model and integrate AI-powered features and natural language processing in your Visual Studio Code extension. You can use the Language Model API in different types of extensions. A typical use for this API is in chat extensions, where you use a language model to interpret the user's request and help provide an answer. However, the use of the L
ユーザが快適にページを閲覧できるようにHousiiのページ表示速度を改善した話 - Speee DEVELOPER BLOG
※この記事は、2024 Speee Advent Calendar9日目の記事です。昨日の記事はこちら tech.speee.jp はじめまして、24卒で入社して不動産DXのHousii BUでエンジニアをしている山本です。 この記事では2024年10, 11月に行ったHousiiのページ表示速度改善についての話を書いていきたいと思います。Speeeで技術的なチャレンジができるか不安に思っている学生さんや、単純にページ表示速度を速くしたいというエンジニアの方に読んでいただけると嬉しいです。 1. そもそもHousiiはどのようなプロダクトか 2. 今回解決したかった問題 3. ページ表示速度を計測する 4. オーバーヘッドを解消する以外のアイデアを試す 4-1. ローディングスピナーの削除 4-2. データの事前フェッチによるページ表示の高速化 4-3. SSR (Server Side
犯罪者によるフィッシング詐欺を狙った、三菱UFJ銀行を名乗る偽SMS(ショートメッセージ)/メールがかつてない規模でお客さまに送られており、内容も一見して区別がつきにくいものとなっています。 かかる状況を踏まえ、当行はお客さまの資産をお守りするべく、以下記載の実施日以降に三菱UFJダイレクトでのワンタイムパスワード(アプリ)利用登録時の本人確認を電話(自動音声)で実施した場合、振込を始めとする一部取引の取り扱いを変更します。
ユビーにパスキーを導入しました
はじめに Ubie プロダクトプラットフォーム所属の nerocrux です。 Ubie にパスキー認証を導入しました。導入してからしばらく時間が経ちましたが、年末になると色々振り返りたくなるので、パスキーを導入した背景や導入方法などを簡単にまとめたいと思います。 導入背景 Ubie では、症状検索エンジン「ユビー」(以下、ユビー)という一般生活者向けのサービスを展開しています。ユーザーが簡単な質問を回答することで、関連する病名や、適切な受診先情報を得ることができるサービスとなっています。 ユビーを利用する際に、ユーザーはアカウントを登録することができます。アカウント登録の手段として、いわゆるソーシャルログインを利用するほか、メールアドレスを入力したあと、メールアドレスに送られた 6 桁の OTP (有効期限の短い 1 回きりのパスコード) をユビーに入力することで、メールアドレスを所有す
Security plugin flaw in millions of WordPress sites gives admin access
HomeNewsSecuritySecurity plugin flaw in millions of WordPress sites gives admin access A critical authentication bypass vulnerability has been discovered impacting the WordPress plugin 'Really Simple Security' (formerly 'Really Simple SSL'), including both free and Pro versions. Really Simple Security is a security plugin for the WordPress platform, offering SSL configuration, login protection, a
GitHub - openauthjs/openauth: ▦ Universal, standards-based auth provider.
While there are many open source solutions for auth, almost all of them are libraries that are meant to be embedded into a single application. Centralized auth servers typically are delivered as SaaS services - eg Auth0 or Clerk. OpenAuth instead is a centralized auth server that runs on your own infrastructure and has been designed for ease of self hosting. It can be used to authenticate all of y
Security update: The following extensions have security updates: ms-python.python and ms-vscode-remote.remote-ssh. Update 1.95.1: The update addresses these issues. Update 1.95.2: The update addresses these issues. Update 1.95.3: The update addresses these issues. Downloads: Windows: x64 Arm64 | Mac: Universal Intel silicon | Linux: deb rpm tarball Arm snap Welcome to the October 2024 release of V
Announcing Pages support for monorepos, wrangler.toml, database integrations and more!
Announcing Pages support for monorepos, wrangler.toml, database integrations and more!2024-04-04 Pages launched in 2021 with the goal of empowering developers to go seamlessly from idea to production. With built-in CI/CD, Preview Deployments, integration with GitHub and GitLab, and support for all the most popular JavaScript frameworks, Pages lets you build and deploy both static and full-stack ap
Over the years, I’ve repeatedly heard that Windows NT is a very advanced operating system and, being a Unix person myself, it has bothered me to not know why. I’ve been meaning to answer this question for years and I can do so now, which means I want to present you my findings. My desire to know about NT’s internals started in 2006 when I applied to the Google Summer of Code program to develop Boo
New OpenSSH Vulnerability Could Lead to RCE as Root on Linux Systems
OpenSSH maintainers have released security updates to contain a critical security flaw that could result in unauthenticated remote code execution with root privileges in glibc-based Linux systems. The vulnerability, codenamed regreSSHion, has been assigned the CVE identifier CVE-2024-6387. It resides in the OpenSSH server component, also known as sshd, which is designed to listen for connections f
Auth0 Rate Limit完全ガイド:サービスの安定性を保つための重要ポイント - TC3株式会社|GIG INNOVATED.
はじめに Auth0を実サービスに利用する上で欠かせない観点として「Rate Limit」というものがあります。 https://auth0.com/docs/troubleshoot/customer-support/operational-policies/rate-limit-policy Auth0には様々な観点でRate Limitが設定されており、充分に理解した上でアプリケーションの設計をしないと、ユーザーが増加してきたタイミングで障害発生に繋がる可能性があり、注意が必要です。 また、アプリに求められる要件を満たすため契約のプラン変更が必要になることもあり(契約毎に Rate Limitが異なります:参考)、その場合、根本解決までのリードタイムが長くなり得ますので、早い段階で手を打つことが重要です。 今回は、特に重要な「APIのRate Limit」についてご紹介します。 Ra
Quickly adopt new AWS features with the Terraform AWS Cloud Control provider | Amazon Web Services
AWS DevOps & Developer Productivity Blog Quickly adopt new AWS features with the Terraform AWS Cloud Control provider Introduction Today, we are pleased to announce the general availability of the Terraform AWS Cloud Control (AWS CC) Provider, enabling our customers to take advantage of AWS innovations faster. AWS has been continually expanding its services to support virtually any cloud workload;
Hello friends, this is the first of two, possibly three (if and when I have time to finish the Windows research) writeups. We will start with targeting GNU/Linux systems with an RCE. As someone who’s directly involved in the CUPS project said: From a generic security point of view, a whole Linux system as it is nowadays is just an endless and hopeless mess of security holes waiting to be exploited
UNC5537 Targets Snowflake Customer Instances for Data Theft and Extortion | Google Cloud Blog
UNC5537 Targets Snowflake Customer Instances for Data Theft and Extortion UPDATE (June 17): We have released our Snowflake threat hunting guide, which contains guidance and queries for detecting abnormal and malicious activity across Snowflake customer database instances. Default retention policies for the relevant views enable threat hunting across the past 1 year (365 days). Introduction Through
Centrally manage root access in AWS Identity and Access Management (IAM) - AWS
Today, AWS Identity and Access Management (IAM) is launching a new capability allowing customers to centrally manage their root credentials, simplify auditing of credentials, and perform tightly scoped privileged tasks across their AWS member accounts managed using AWS Organizations. Now, administrators can remove unnecessary root credentials for member accounts in AWS Organizations and then, if n
【PGlite:Part2】pg-gatewayを利用したTCP接続 - RAKUS Developers Blog | ラクス エンジニアブログ
はじめに 復習:PGlite pg-gateway pg-gatewayとPGliteを起動してSQLクライアントから接続する まとめ はじめに こんにちは、エンジニア2年目のTKDSです! 前回はPGliteの概要・使い方・速度実験について記事にしました。 今回はさらに、PGliteへのSQLクライアントからの接続を可能とするpg-gatewayについて紹介し、活用例について示します。 復習:PGlite PGliteは、PostgreSQLをWebAssembly(WASM)にコンパイルした軽量なデータベースエンジンです。 これにより、ブラウザ、Node.js、Bun、DenoなどでPostgresの機能を利用でき、開発者はローカルやサーバーレス環境でデータベース操作を行うことが可能です。 PGliteは、インメモリデータベースやファイルシステム(Node.jsやBun)、Indexe
Googleが公開した新しい「メール送信者ガイドライン」をきっかけに、これまで普及の遅れていた日本においてもDMARC(Domain-based Message Authentication, Reporting, and Conformance)の導入が急速に広がっています。 ただ、ガイドライン準拠のためだけにDMARCを設定し、実際にはこれを活用できていない企業も少なからずあるようです。 送信者ガイドライン強化の本来の目的は、フィッシング詐欺やサイバー攻撃などの要因になっている「悪意のあるなりすまし電子メール」の撲滅です。これを実現するためにも、DMARCの導入だけでなく近い将来にはポリシーの強化が求められてもおかしくありません。また、安定した電子メール配信を実現するためにも、DMARCの活用は今後不可欠となっていくでしょう。 今回はDMARCを導入後に必要となる対応や企業が直面する課
{Quick~Help}How to Enable Two-Factor Authentication on Robin𝒽ood? - YouTube for Families Community
Send feedback about our Help Center This help content & information General Help Center experience
はじめに こんにちは。金融ソリューション事業部エンジニアリングオフィスの加藤です。 仕事でGKEやAKSといったマネージドKubernetesサービスを利用したインフラ構築を経験してきました。 この記事では、Raspberry Pi 5でK8sクラスタを構築しながら、マネージドK8sのありがたみについて学んでいきます。 ゴール 以下の作業を通して、Kubernetesクラスタのオンプレ環境における構築手順の全体的な流れと、設計判断のポイントについてざっくり理解する Raspberry Piをセットアップする Kubernetesクラスタを作る Prometheus, Grafanaを入れてクラスタの監視環境をセットアップする Cloudflare tunnelを利用して、セキュアにインターネット経由からのアクセスをできるようにする 構成 Raspberry Pi 5は手元に3台あります。以
[+1_833_743_7251] How to Enable TWO-Factor Authentication on Robin𝒽ood? - YouTube for Families Community
Send feedback about our Help Center This help content & information General Help Center experience
((FAQs-PuBLic®))How to enable Two-Factor Authentication in Robin𝒽ood? - YouTube for Families Community
Send feedback about our Help Center This help content & information General Help Center experience
Passkeys on Windows: Authenticate seamlessly with passkey providers
Passkeys on Windows just got easier! As part of Microsoft’s vision for a passwordless future we are working to make passkeys on Windows simple and intuitive. Passkeys are safer and easier to use than passwords, which are vulnerable to phishing and data breaches. That is why, in support of a passwordless future, we partnered in the FIDO alliance with other platforms in supporting passkeys. As part
Digital Credentials API のオリジン トライアルのご紹介 | Blog | Chrome for Developers
公開日: 2024 年 9 月 4 日、最終更新日: 2024 年 10 月 16 日 Digital Credentials API のオリジン トライアルは Chrome 128 から開始されます。Digital Credentials API は、ウェブサイトがデジタル ウォレットに保存されている運転免許証や国家 ID などのデジタル認証情報を通じて、ユーザーに関する検証可能な情報を選択的にリクエストできる新しいウェブ プラットフォーム API です。 背景 多くの官公庁や民間企業がデバイスに関連付けられたデジタル認証情報を発行し始めており、現実世界でのデジタル ID が現実のものになりつつあります。たとえば、米国の一部の州(アリゾナ州、カリフォルニア州、コロラド州、ジョージア州、メリーランド州など)では、モバイル デバイスの Google ウォレットなどのデジタル ウォレット アプ
DocumentDB: Open-Source Announcement - Microsoft Open Source Blog
We are excited to announce the official release of DocumentDB—an open-source document database platform and the engine powering the vCore-based Azure Cosmos DB for MongoDB, built on PostgreSQL. NoSQL databases have historically provided cloud-specific solutions without a common standard for interoperability. This has led to a growing demand for an interoperable, portable, and fully supported produ
はじめに Vercelは、その優れた開発者体験と簡単なデプロイ機能により、多くの開発者に支持されています✨特に最近のAI文脈でも、v0やMCPサーバーのホスティング先としても注目を集めており、その利用範囲はますます広がっています! しかし、サービスがスケールするにつれて、コストがボトルネックになるケースも少なくありません。「気がついたら予想外の請求が来ていた😇」という経験をした方もいるのではないでしょうか。Vercelの料金体系は、従量課金が基本となるため、特にトラフィックや処理量が増加すると、コストコントロールが重要になります。 この記事では、Vercelのコストに焦点を当て、効率的なコスト管理の方法について解説します!Vercelの機能を網羅的に解説するのではなく、あくまでコスト観点を中心に、具体的な最適化手法について詳しく説明していきます! ※ この記事は【LayerX/ベースマキ
概要 元サイトの許諾を得て翻訳・公開いたします。 英語記事: Rails 8 introduces a basic authentication generator - BigBinary Blog 原文公開日: 2024/08/09 原著者: Jaimy Simon なお、本記事で取り上げられているのはいわゆるHTTP BASIC認証↓とは異なりますのでご注意ください。 参考: 11.1 HTTP BASIC認証 -- Action Controller の概要 - Railsガイド DHHは最近、以下のAdd basic authentication generatorというタイトルのissueをRailsリポジトリに投稿しました。 今のRailsには、基本的な認証機能で必要となる主な材料はひととおり揃っているのに、それらをどう組み合わせたらよいかをまだよくわかっていない新規開発者が多
Amazon SES でメールを操作する 近年、メールの送信は以前と比べて難易度が上がっています。 神奈川県公立高校ネット出願システムでGmailが使えないというトラブルやGmailガイドラインの適用開始は記憶に新しいかと思います。 本記事ではAmazon SES(Amazon Simple Email Service)でのメールの送受信の方法について簡単に説明します。 メール送信者の一般的ガイドライン スパムメールやフィッシング詐欺の増加やセキュリティ強化の必要性から、最近ではメール送信に厳格なガイドラインが設けられています。 例えばGoogleは以下のようなメール送信者のガイドラインを発表しています。 このガイドラインでは「すべての送信者」と「1 日あたり 5,000 件以上のメールを送信する場合」に分けてガイドラインが定義されています。 この「1 日あたり 5,000 件以上のメール
このブログ記事では、Cognitoを使ってLaravelでシンプルな認証機能を実装する方法を紹介します。 目的 クラスメソッドタイランドの清水です。 本記事では Cognito を使って Laravel で簡単な認証機能を実装します。 認証のシーケンスは以下のようになります。 また、全体の流れを理解するために Laravel のロジックは非常に簡潔になっているので、本番環境で注意が必要な部分は ⚠️ でコメントを書いています。 前提条件・知識 AWS アカウントを作成済み IAM Role, Policy, Cloud9 の環境を作成できる権限がある 使いたいAWS アカウントのリージョンで cdk bootstrap コマンドを実行済み ローカル PC に docker, docker-compose をインストール済み 手順 まずは CDK を実行するための環境を Cloud9 で準備
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
多要素認証を回避しMicrosoftアカウントを狙うサイバー攻撃に注意
重要な情報セキュリティ概念: 認証と認可 #情報セキュリティ - 叡智の三猿
脅威モデリングのためのカードゲームを比較する - freee Developers Hub
Custom instructions for GitHub Copilot in VS Code
リスクベース認証とは?不正アクセスを防ぐ次世代のセキュリティ対策 - 社内SEゆうきの徒然日記
ワンタイムパスワード(アプリ)利用登録時の本人確認方法による一部取引の取扱変更 | 三菱UFJ銀行
October 2024 (version 1.95)
Windows NT vs. Unix: A design comparison
Attacking UNIX Systems via CUPS, Part I
DMARCを使いこなせ 導入メリットと実践ポイントを徹底解説
Raspberry Pi 5でオンプレKubernetesに入門 - 電通総研 テックブログ
https://getrobinhood.hashnode.dev/how-to-enable-two-factor-authentication-on-robinhood
スケールしてもお財布に優しいVercelのコストコントロール
Rails 8で基本的な認証ジェネレータが導入される(翻訳)|TechRacho by BPS株式会社
AWSでのメール配信入門:Amazon SESの使い方と認証設定のポイント
Cognito で Laravel の認証を実装する | DevelopersIO