Highlights from Git 2.46
The open source Git project just released Git 2.46 with features and bug fixes from over 96 contributors, 31 of them new. We last caught up with you on the latest in Git back when 2.45 was released. Before we get into the details of this latest release, we wanted to remind you that Git Merge, the conference for Git users and developers is back this year on September 19-20, in Berlin. GitHub and Gi
How Samsung Cloud optimized Amazon DynamoDB costs | Amazon Web Services
AWS Database Blog How Samsung Cloud optimized Amazon DynamoDB costs This post is co-written with JeongHun Kim from Samsung Electronics. Samsung Cloud is a cloud-based service that provides services such as backup/restore and synchronization, sharing, and device authentication of user data for all Samsung devices, including Galaxy smartphones around the world. This blog post introduces five approac
Postman is an extremely popular application for developers testing remote web APIs. It lets you craft HTTP requests, interact with their responses, and go through the history of what you’ve sent and received. Many of these HTTP requests are authenticated, meaning that the application deals with API keys, login tokens, credentials, etc. In May, Postman pivoted to be a cloud-only product for many of
セミナー「Gmail新ガイドラインのポイントを解説!メール送信者が今やるべきこと」を開催しました!(本編) | SendGridブログ
HOME> ブログ> セミナー「Gmail新ガイドラインのポイントを解説!メール送信者が今やるべきこと」を開催しました!(本編) 12月7日に続き、1月22日に開催したオンラインセミナー「Gmail新ガイドラインのポイントを解説!メール送信者が今やるべきこと」。ありがたいことに、どちらの回も大変多くの方にご視聴いただきました。 本記事では、1月22日のセミナーで語られた内容に沿って、ガイドラインのポイントを細かく紹介いたします。 Gmailのガイドラインとは? 2023年10月、GoogleとYahoo!(Yahoo! JAPANではありません)からメール送信者向けのガイドラインを更新した旨のアナウンスがありました。このガイドラインは2024年2月から段階的に適用されることになっており、それまでにガイドラインの更新に対応できなければメールが宛先に届かなくなる可能性があります。 2社が求める
パスキーはユーザー認証を どう変えるのか?その特徴と導入における課題 @ devsumi 2023 9-C-1
An easy look at Grafana architecture Delve into Grafana's architecture in this article, where I strive to simplify complex concepts. Explore the components that make up Grafana and gain a clear understanding of how they work together to create a seamless monitoring and visualization experience. What is Grafana? Grafana is an open-source platform for monitoring and observability, designed to visual
Google I/O 2024 is here, and just like in previous years, we have many new products and features to tell you about. But first, a look back. For years, millions of you developers have been using Firebase to accelerate your app development and run your apps with confidence. From Realtime Database to Remote Config, we’ve been obsessed with helping you speed up and simplify your work so that you can m
GitHub - serverless/aws-ai-stack: AWS AI Stack – A ready-to-use, full-stack boilerplate project for building serverless AI applications on AWS
AWS AI Stack – A ready-to-use, full-stack boilerplate project for building serverless AI applications on AWS. A great fit for those seeking a trusted AWS foundation for AI apps and access to powerful LLM models via Bedrock that keep your app’s data separate from model providers. View the Live Demo – awsaistack.com Use this as a boilerplate project to create an AI Chat bot, authentication service
Microsoft Incident Response lessons on preventing cloud identity compromise | Microsoft Security Blog
Microsoft observed a surge in cyberattacks targeting identities in 2023, with attempted password-based attacks increasing by more than tenfold in the first quarter of 2023 compared to the same period in 2022. Threat actors leverage compromised identities to achieve a significant level of access to target networks. The compromise of an identity, under certain circumstances, could enable threat acto
Honoハンズオン2024年3月沖縄
編集中 ここにコードを置くと思います。 このイベントが今週末で、その中で「Honoハンズオン」をやるので超絶ネタバレですが、そこで話す内容を書きます。 方針 ハンズオンと言いつつ「みんなで一斉にやりましょう」ってやると合わせるのに時間がかかるので、僕がどんどん進めます。なので、ついてきたい人だけついてきてください。そうじゃない人は僕がコード書くのを見てください。むしろその方がよくわかっていいと思います。 Honoとは? ウェブサイトを見てください。 あと正直、僕はブログ書くのとか好きなんですが、いわゆるちゃんとした「ドキュメント」を書くのが正直苦手でそれは英語に限らずなんですが、なので、よくしている方いたら貢献してください。コントリビューションウェルカム! create-hono さてこれからやっていくわけですが、Honoのプロジェクトをつくるときにはcreate-honoというCLIを使
Over the years, I’ve repeatedly heard that Windows NT is a very advanced operating system and, being a Unix person myself, it has bothered me to not know why. I’ve been meaning to answer this question for years and I can do so now, which means I want to present you my findings. My desire to know about NT’s internals started in 2006 when I applied to the Google Summer of Code program to develop Boo
Bluesky is a new social network built upon the AT Protocol, a decentralized foundation for public social media. It was launched in private beta in February 2023, and has grown to over 3 million registered users in the following year. In this paper we introduce the architecture of Bluesky and the AT Protocol, which is inspired by the web itself, but modernized to include streams of real-time update
RADIUSはネットワーク接続の際に用いられる一般的なユーザー認証プロトコルです。元はダイヤルアップ接続を念頭に1991年に開発されたものでしたが、記事作成時点でもほぼすべてのスイッチ・ルーター・アクセスポイントなどでサポートされています。新たに報告された「Blast RADIUS攻撃」は、そんなRADIUSをバイパスして攻撃アクターがネットワークデバイスやサービスにアクセスできるようになる攻撃手法とのことです。 BLAST RADIUS https://www.blastradius.fail/ RADIUS/UDP vulnerable to improved MD5 collision attack https://blog.cloudflare.com/radius-udp-vulnerable-md5-attack New Blast-RADIUS attack breaks 3
GoによるTLS1.3サーバーの実装
はじめに TLSプロトコルの理解を目的として、Go言語によりTLS1.3のフルハンドシェイクのサーバー実装を行いました。この記事では、実装の過程で得た学びをまとめたいと思います。Go言語はTLSをOpenSSLではなく自前で実装しています。暗号処理関連のパッケージが整っているため、TLSプロトコルの仕様に沿った自然な実装がしやすい言語だと思います。 実際に書いたコードはgo-tlsで公開しています。また、同内容はスライドとしてLearning-TLS1.3-with-Go-full.pdfでもまとめています。 暗号処理 TLSの内容に入る前にまず暗号処理の概要について見ていきます。次の3つの性質が重要です: 秘匿性 (Confidentiality) 通信内容が通信相手以外から読み取られないこと 完全性 (Integrity) 通信内容が途中で改ざんされていないこと 正真性 (Authen
Security Best Practices for GenAI Applications (OpenAI) in Azure
Introduction GenAI applications are those that use large language models (LLMs) to generate natural language texts or perform natural language understanding tasks. LLMs are powerful tools that can enable various scenarios such as content creation, summarization, translation, question answering, and conversational agents. However, LLMs also pose significant security challenges that need to be addre
バグバウンティにおける Critical な脆弱性報告の事例まとめ - blog of morioka12
1. 始めに こんにちは、morioka12 です。 本稿では、バグバウンティで実際に報告されている危険度が Critical (致命的)な Web アプリケーションの脆弱性について事例をもとに紹介します。 1. 始めに 免責事項 想定読者 Critical な脆弱性 CVSS 2. Critical な脆弱性報告の事例 XSS (Cross-site Scripting) SQL Injection Command Injection SSRF (Server Side Request Forgery) Path Traversal Code Injection XXE (XML External Entitie) Insecure Deserialization Improper Access Control IDOR (Insecure Direct Object Reference
AWS CodeBuild now supports using GitHub Apps to access source repositories - AWS
AWS CodeBuild now supports using GitHub Apps to access source repositories AWS CodeBuild now integrates with GitHub Apps as the authentication method to access your repositories. A GitHub App connection can be set as the default authentication method for all projects, or can be specified for an individual project source. With GitHub Apps, you can use short-lived tokens with fine-grained permission
Announcing New DMARC Policy Handling Defaults for Enhanced Email Security
Domain-based Message Authentication, Reporting & Conformance (DMARC) is a standard that helps prevent spoofing by verifying the sender’s identity. If an email fails DMARC validation, it often means that the sender is not who they claim to be, and the email could be fraudulent. The ‘p=’ value (this stands for “policy”) in a DMARC TXT DNS record represents the sender’s policy for their domain. It te
NTTテクノクロスは2024年10月3日、デバイスの指紋認証・顔認証などを利用してWebサイトやモバイルアプリにログインするパスキー認証が導入できるサービス「PASUTTO(ぱすっと)」を発表した。2024年10月9日から販売を開始する。 Webサービスに簡単にパスキー認証を搭載 3つのメリットとは? Webサイトなどにログインする際の認証方式において、パスワード認証が抱えるセキュリティリスクやパスワード管理の問題を解消できるパスキー認証が注目を集めている。パスキー認証はデバイスの指紋認証・顔認証などを利用して認証できるため、不正アクセス被害の防止や、ログイン時間短縮によるUX向上など複数のメリットがある。そのため大手Webサービスを中心にパスキー認証が採用されており、今後も多くの企業で導入が進むと予測される。
こんにちは、なおにしです。 静的コンテンツのみをWebサイトとして公開したい場合、AWSであればCloudFront+S3の構成はよく利用されるかと思います。 CloudFrontを用いているため、地理的制限の機能を使ったりAWS WAFと組み合わせたりすることである程度のアクセス元制限を行うことはできます。一方で、特定のユーザに対してのみ公開したいというユーザ認証が必要なケースでは別の仕組みが必要になります。 そこで今回は、Amazon Cognitoを用いてCloudFront+S3による静的サイトに認証機能を追加してみました。 どうすれば良いか Application Load BalancerやAPI Gatewayにはマネジメントコンソール上でCognitoとの連携を設定するためのUIが準備されていますが、CloudFrontにはそれがありません。そこで、AWSから公開されている
GitHub - leerob/next-saas-starter: Get started quickly with Next.js, Postgres, Stripe, and shadcn/ui.
This is a starter template for building a SaaS application using Next.js with support for authentication, Stripe integration for payments, and a dashboard for logged-in users. Demo: https://next-saas-start.vercel.app/ Why did I make this? In 2020, I made a course called "React 2025" which showed how to build a SaaS application with Next.js, Stripe, and other tools. Well, it's almost 2025 and React
Ransomware operators exploit ESXi hypervisor vulnerability for mass encryption | Microsoft Security Blog
Microsoft researchers have uncovered a vulnerability in ESXi hypervisors being exploited by several ransomware operators to obtain full administrative permissions on domain-joined ESXi hypervisors. ESXi is a bare-metal hypervisor that is installed directly onto a physical server and provides direct access and control of underlying resources. ESXi hypervisors host virtual machines that may include
Gemini API Additional Terms of Service | Google AI for Developers
Send feedback Gemini API Additional Terms of Service Stay organized with collections Save and categorize content based on your preferences. Effective May 14, 2024 To use Gemini API, Google AI Studio, and the other Google developer services that reference these terms (collectively, the "APIs" or "Services"), you must accept (1) the Google APIs Terms of Service (the "API Terms"), and (2) these Gemin
この StoreKit 2 チュートリアルにはサンプルコードとサンプルアプリが提供されており、以下のURLからダウンロードできます。https://github.com/RevenueCat/storekit2-demo-app. はじめに アプリ内課金とサブスクリプションはApp Storeで収益を上げるための最適な方法の一つです。Appleが新たにアップデートしたStoreKit 2は、アプリ内課金のためのフレームワークで、開発者はこれを利用してiOS、macOS、watchOS、tvOSのアプリにIAP(アプリ内課金)を追加できます。AppleのドキュメントにはStoreKitの使い方に関して基本的な説明がありますが、複雑な部分の詳細や完全な使用例は提供されていません。 このチュートリアルでは、基本的なコンセプト、App Store Connectの設定、StoreKit 2の導入方
はじめに 開発本部MIXI M事業部の@k-asmです。 本投稿はMIXI DEVELOPERS Advent Calendar 2023 5日目の記事です。 MIXI Mでは内製で3Dセキュアサービスを開発しており、日々3Dセキュアの仕様を参照しながら開発しています。MIXI Mの内製3Dセキュアサービスについては、MediumのMIXI DEVELOPERSに書いた以下の記事をご覧ください。 また、PCI 3DS対応についてはAWS様に事例紹介をしていただきました。こちらも是非ご覧ください。 今回は3Dセキュアの最新仕様であるバージョン2.3.1で導入されたSPCベース認証について紹介します。これはSecure Payment Confirmation (SPC)を3Dセキュアのプロトコル上で利用できるようにしたもので、FIDOによる3Dセキュアの決済体験の改善が期待できるものです。
Abusing Intune Permissions for Lateral Movement and Privilege Escalation in Entra ID Native Environments | Google Cloud Blog
(In)tuned to Takeovers: Abusing Intune Permissions for Lateral Movement and Privilege Escalation in Entra ID Native Environments Written by: Thibault Van Geluwe de Berlaere, Karl Madden, Corné de Jong The Mandiant Red Team recently supported a client to visualize the possible impact of a compromise by an advanced threat actor. During the assessment, Mandiant moved laterally from the customer’s on-
08/29/2024 IntroductionLike many, Sam Curry and I spend a lot of time waiting in airport security lines. If you do this enough, you might sometimes see a special lane at airport security called Known Crewmember (KCM). KCM is a TSA program that allows pilots and flight attendants to bypass security screening, even when flying on domestic personal trips. The KCM process is fairly simple: the employe
Server actions are here!Enjoy full support for React 19’s server actions API. While Waku already had limited support for server actions, today’s v0.21 release brings full support for the React server actions API. This includes inline server actions created in server components, server actions imported from separate files, and the invocation of server actions via <form> element action props. Server
Learn Next.js | Next.js
Welcome to the Next.js App Router course! In this free interactive course, you'll learn the main features of Next.js by building a full-stack web application. What we'll be building For this course, we'll be building a simplified version of the financial dashboard that has: A public home page. A login page. Dashboard pages that are protected by authentication. The ability for users to add, edit, a
oss-security - backdoor in upstream xz/liblzma leading to ssh server compromise
Follow @Openwall on Twitter for new release announcements and other news [<prev] [next>] [thread-next>] [day] [month] [year] [list] Message-ID: <20240329155126.kjjfduxw2yrlxgzm@awork3.anarazel.de> Date: Fri, 29 Mar 2024 08:51:26 -0700 From: Andres Freund <andres@...razel.de> To: oss-security@...ts.openwall.com Subject: backdoor in upstream xz/liblzma leading to ssh server compromise Hi, After obse
Open Source Security (OpenSSF) and OpenJS Foundations Issue Alert for Social Engineering Takeovers of Open Source Projects | OpenJS Foundation
CommunityOpen Source Security (OpenSSF) and OpenJS Foundations Issue Alert for Social Engineering Takeovers of Open Source Projects Posted On: April 15, 2024XZ Utils cyberattack likely not an isolated incident By: Robin Bender Ginn, Executive Director, OpenJS Foundation; and Omkhar Arasaratnam, General Manager, Open Source Security Foundation The recent attempted XZ Utils backdoor (CVE-2024-3094)
How we migrated our PostgreSQL database with 11 seconds downtime – Government Digital Service
GOV.UK Notify is hosted on the GOV.UK Platform as a Service (PaaS). The PaaS is being retired, so we are migrating all of our infrastructure into our own Amazon Web Services (AWS) account. This blog post explains how we migrated our PostgreSQL database with minimal downtime. Migrating our database The PaaS provides a database for us and we use it to store all of our data - from data about each not
AWS Amplify Auth v6へのマイグレーションで対応した破壊的変更 - ROUTE06 Tech Blog
ROUTE06 でソフトウェアエンジニアをしている @MH4GF です。私が関わるプロダクトでは認証や認可に Amazon Cognito を使っており、 React で実装したフロントエンドアプリケーションから Amazon Cognito との接続には AWS Amplify が提供している Auth ライブラリを利用しています。 AWS Amplify は 2023 年 11 月に v6 のメジャーバージョンがリリースされたのですが、Auth ライブラリにはいくつかの破壊的変更が含まれていたので、このブログで移行方法の一例を紹介します。 AWS Amplify JavaScript v6 での変更点 https://aws.amazon.com/jp/blogs/mobile/amplify-javascript-v6/ v6 の変更の目玉として以下の内容が取り上げられています。 ツ
本記事は 【Advent Calendar 2023】 11日目の記事です。 🎄 10日目 ▶▶ 本記事 ▶▶ 12日目 🎅 はじめに こんにちは、去年の11月に中途入社した上村です。転職してから1年となり、時間が経つのが早いと感じます... 私はSpring Bootを用いたWebアプリケーションに業務で携わっています。その中で、CSRF(クロスサイトリクエストフォージェリ)という脆弱性に触れる機会がありました。Spring Securityの機能により、CSRF対策が簡単にできることを学んだので、紹介していきます。 CSRFとは CSRFとは、Webアプリケーションの脆弱性の一つです。本来拒否すべきリクエストを受信して処理してしまう脆弱性、もしくはその脆弱性を突く攻撃を表します。 通販システムを例として説明します。この通販システム向けの攻撃用サイトを攻撃者が予め用意しておきます。正
NTLM の廃止に向けた対応について
本記事はマイクロソフト社員によって公開されております。 こんにちは。Windows Commercial Support Directory Services チームです。 今回は、先般非推奨となった NTLM の廃止に向けた対応について、ご参考としていただける情報についてご案内いたします。 今後の対応について、現時点で詳細が未確定な部分もございますので、必要に応じてブログの内容はアップデートする予定です。 1. NTLM 廃止の背景Windows 認証のセキュリティを向上させるため、弊社は NTLM 認証を使う必要があるシナリオに対処して、最終的に NTLM を無効化し、すべての認証をよりセキュアな Kerberos で行えるようにする目標がございます。 NTLM はチャレンジ/レスポンス方式を採用した認証プロトコルとなりますが、古くから利用されている背景もあり、 近年では多くの脆弱性や
関連キーワード サイバー攻撃 | パスワード | セキュリティ パスワードではなく、顔や指紋を使って認証を実施する技術として「パスワードレス認証」がある。パスワードレス認証を使うことで、エンドユーザーの利便性が改善する他、アイデンティティー(ID)のセキュリティを強化できる効果が期待できる。実際、パスワードレス認証の利用はどこまで進んでいるのか。米TechTargetの調査部門Enterprise Strategy Group(ESG)アナリストのジャック・ポラー氏に、「パスワードレス認証の今」を聞いた。 「WebAuthn」が追い風に? パスワードレス認証の現在地 ―― ESGの調査で「認証技術への投資を増やす予定がある」と回答したうちの59%が、パスワードレス認証が最優先の投資先だと答えました。パスワードレス認証の導入は現時点でどのような段階にあるのでしょうか。 併せて読みたいお薦め記
政府は2024年6月18日、犯罪対策閣僚会議を開催し「国民を詐欺から守るための総合対策」を取りまとめた。著名人になりすました偽広告による投資詐欺などの急増や、正規のWebサイトに見せかけた偽サイト(フィッシングサイト)によるフィッシング被害の拡大といった情勢を受けたものだ。 投資詐欺サイトに誘導するSNS上での投稿や偽広告対策としては、SNS事業者に対して広告の事前審査の強化などを要請するとした。具体的には、事前審査基準の策定や公表、日本語や日本の法令などを理解する人を十分に配置した審査体制の整備、広告出稿者の本人確認の強化などだ。インターネット上の情報コンテンツや発信者の信頼性を受信者が判別できるよう、発信者に関する情報を情報コンテンツに付与する技術実証なども行うとする。 フィッシング対策ではフィッシングサイトへのアクセスを防ぐ策として、次の3点を挙げた。(1)DMARC(Domain-
はじめに Auth0には、認証認可に関わる Authentication API と、Auth0ポータル上の操作を実行可能な Management API の2つのAPIがあります。 今回は、そのうち後者のAPIを対象として概要を説明してみようと思います。 なお、Auth0 Management API でAuth0ポータル上の処理全ての代替はできませんが、継続的に開発が行われており(例:Auth0 Change Log#Organizations: Get Members with Roles)、Auth0ポータル上の進化への追従も今後期待できます。 APIの例 まず基本として、Auth0テナント上へユーザーを作成するAPIです。 もはや説明不要ですね。 設定可能なパラメータは多くありますが、最低限の情報としては email、password、connection があればokです。 次
AWS ELB Application Load Balancer にTLSクライアント認証(mTLS)のパススルーを構成する | DevelopersIO
ども、大瀧です。 re:Inventがまだ始まっていないのにALBがmTLSをサポートする大型のアップデートが来ました。本ブログではパススルー構成をLambdaターゲットグループで試してみた様子をご紹介します。 設定方法 設定は非常にシンプルです。ALB作成ウィザードのHTTPSリスナー選択時に表示されるセキュアリスナーの設定に「クライアント証明書の処理」という項目が増えているので、「相互認証(mTLS)」のチェックをオンにすればOKです。 ALBのmTLS対応には二つの動作モード、「パススルー」と「トラストストアで検証」があります。「パススルー」はALBでクライアント証明書の検証はせず、転送するリクエストヘッダにクライアント証明書を付与してバックエンドターゲットでの検証を期待する動作、「トラストストアで検証」は ALB自身でクライアント証明書を評価する動作です。「トラストストアで検証」を
Security Affairsは1月24日(現地時間)、「5379 GitLab servers vulnerable to zero-click account takeover attacks」において、オンラインに公開されているGitLabサーバのうち5,379台が緊急の脆弱性(CVE-2023-7028)を対策していないとして警告した。 この脆弱性は悪用されるとユーザーの関与なしにパスワードがリセットされ、アカウントが乗っ取られる危険性がある。この脆弱性の影響を受けるGitLabバージョンの一覧および脆弱性の詳細は、「GitLabに緊急の脆弱性、更新を | TECH+(テックプラス)」から確認することができる。 5379 GitLab servers vulnerable to zero-click account takeover attacks 脆弱性の影響を確認する手順 S
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Lee Holmes | Security Risks of Postman
そのQRコード、安全ですか? / Cross Device Flow
An easy look at Grafana architecture
What's new in Firebase at I/O 2024
Windows NT vs. Unix: A design comparison
Bluesky and the AT Protocol: Usable Decentralized Social Media
広く使用されているユーザー認証プロトコルを危険にさらす「Blast RADIUS攻撃」が報告される
自社サービスにパスキー認証を簡単に導入 NTTテクノクロスが「PASUTTO(ぱすっと)」を発表
CloudFront+S3による静的サイトにCognito認証を追加してみた | DevelopersIO
StoreKit 2によるiOSのアプリ内課金のチュートリアル
FIDOによる3Dセキュアの決済体験改善 - SPCベース認証について
Bypassing airport security via SQL injection
Server actions are here! — Waku
Spring Securityで簡単にCSRF対策ができる - NRIネットコムBlog
“パスワード廃止論”の追い風が吹く「パスワードレス認証」の現在地
政府が詐欺対策取りまとめ、フィッシング防止でDMARCやパスキーの普及を促進
Auth0 Management APIとは | TC3株式会社|GIG INNOVATED.
GitLabサーバの脆弱性、日本も149台に影響 - アップデートを