youtu.be こんにちは。freee 基盤チーム Advent Calendar 2023 12/6の記事は、PSIRTのWaTTsonがお届けします。セキュリティの仕事をやっている新卒2年目です。 freeeでは会計や人事労務といった領域のプロダクトを提供していて、顧客となる企業の財務情報や給与情報のような、非常に機微な情報を扱うことがあります。このため、情報セキュリティには特に気をつけて対策をとる必要があります。 freeeのセキュリティに関する施策方針については、セキュリティホワイトペーパーにまとめて公開しています。この中で、データの取り扱いについては「セキュリティレベル」を定めてそれに応じた保護策をとる旨が記載されています。 データの取り扱いとセキュリティレベル プロダクトを作る際、機微な情報は適当に定めた信頼境界から外に出さないように運用して、情報漏洩などの被害が起きないよう
I am mitsuruog | JWT(Json Web Token)を利用したWebAPIでのCredentialの受け渡しについて
AngularJS への改宗が完了した「mitsuruog」です。 AngularJS に限らず Single page application(以下、SPA)を構築した場合、認証(Authenticate)とその後の WebAPI での証明情報(Credential)の受け渡し方法について最近悩んでいます。 調べていたら Json Web Token(以下、JWT)を利用した方法がCookies vs Tokens. Getting auth right with Angular.JSで紹介されていて、試してみると結構使えそうでしたので紹介してみます。 目次 1.WebAPI での証明情報の受け渡しの重要性 2.Token を利用した証明情報の受け渡し 3.実現するためのコア技術、JWT(Json Web Token)とは 4.Token を利用した場合の課題など 秘密鍵の管理 リフレッ
GitHub - secretlint/secretlint: Pluggable linting tool to prevent committing credential.
A tag already exists with the provided branch name. Many Git commands accept both tag and branch names, so creating this branch may cause unexpected behavior. Are you sure you want to create this branch?
EngineeringGit Credential Manager: authentication for everyoneEnsuring secure access to your source code is more important than ever. Git Credential Manager helps make that easy. Universal Git Authentication “Authentication is hard. Hard to debug, hard to test, hard to get right.” – Me These words were true when I wrote them back in July 2020, and they’re still true today. The goal of Git Credenti
ブラウザのクレデンシャル管理と連携するCredential Managementを試す - ASnoKaze blog
Credential Management クレデンシャル管理機能と連携するためのAPI仕様「Credential Management」がW3Cで議論されています。 https://www.w3.org/TR/credential-management/ ブラウザは、Webサイトにログインするためのユーザ名・パスワードといった資格情報(クレデンシャル)を独自に管理しています。そしてログインフォームなどを検出すると自動入力等も行います。 Credential Managementでは、このブラウザが持つクレデンシャル管理機能とWebサイト側が連携する仕組みを提供し、ユーザがスムーズにログイン処理を行えるようになります。 JavaScriptからクレデンシャルをストアさせたり、とりだしてログイン処理を行ったりできるようになります。 例えば、まずはストアされているクレデンシャルを用いてログイン
Sign-in on the Web — Credential Management API and Best Practices
This is a recollection of my part of the talk at Chrome Dev Summit 2016 titled “Sign-in on the Web — Credential Management and Best Practices”. Check the video for my colleague Sabine Borsay taking the first half of the talk describing the unique challenges we face on the web when personalizing user’s experience through sign-ins. Unlike native apps, the web needs considerations for different attac
Netflix Cloud Security: Detecting Credential Compromise in AWS
Will Bengtson, Netflix Security Tools and Operations Credential compromise is an important concern for anyone operating in the cloud. The problem becomes more obvious over time, as organizations continue to adopt cloud resources as part of their infrastructure without maintaining an accompanying capability to observe and react to these compromises. The associated impacts to these compromises vary
Git Credential Manager Core: Building a universal authentication experience
SecurityGit Credential Manager Core: Building a universal authentication experienceAuthentication is a critical component to your daily development. When working in open source, you need to prove that you have rights to update a branch with git push. Additionally… Authentication is a critical component to your daily development. When working in open source, you need to prove that you have rights t
Passkeyに対応するAndroid用の新パスワードマネージャ「Credential Manager」α版をGoogleがリリース。デバイス間でクレデンシャル同期可能に
Passkeyに対応するAndroid用の新パスワードマネージャ「Credential Manager」α版をGoogleがリリース。デバイス間でクレデンシャル同期可能に GoogleはPasskeyに対応するAndroid用の新しいパスワードマネージャ機能「Credential Manager」のアルファ版を開発者向けにリリースしたと発表しました。 We are excited to announce the alpha release of Credential Manager, a new #Jetpack API that allows devs to simplify their users' authentication journey, while also increasing security with support of passkeys. Read more in
Streamlining the Sign-in Flow Using Credential Management API | Web Updates - Google Developers
洗練されたユーザー エクスペリエンスを提供するには、ウェブサイトでユーザーが自身の認証を行えることが重要です。認証されたユーザーは、専用のプロファイルを使用して相互にやり取りしたり、デバイス間でデータを同期したり、オフライン中にデータを処理したりできます。このリストはさまざまな機能を備えています。しかし、パスワードの作成、記憶、入力は、エンドユーザーにとって面倒になる傾向があり、特にモバイル画面では、異なるサイトで同じパスワードを使い回してしまいます。これは当然 セキュリティリスクです Chrome の最新バージョン(51)は、Credential Management API をサポートしています。これは W3C の規格追跡案で、デベロッパーがブラウザの認証情報マネージャーにプログラムでアクセスできるようにし、ユーザーがより簡単にログインできるようにしています。 Credential M
docker login をせずに ECR を操作できる awslabs/amazon-ecr-credential-helper - kakakakakku blog
3月末に参加した「JAWS-UG コンテナ支部」で知った ECR (Amazon EC2 Container Registry) の便利ツール Amazon ECR Docker Credential Helper を試した.Amazon ECR Docker Credential Helper を使うと ECR のログインを省略できる. kakakakakku.hatenablog.com github.com 前提 以下のバージョンを満たす必要がある. Docker 1.11 以上 Go 1.5 以上 今回は以下のバージョンで試した. Docker 17.05 Go 1.8.1 普通に ECR を使う場合 get-login — AWS CLI 1.16.106 Command Reference aws ecr get-login コマンドを叩くと返ってくる docker login
Windowsの新セキュリティ機能を検証する:LSAの保護モードとCredential Guard(2016-09-07) - JPCERT/CC Eyes
LSAの保護モードでは、mimikatzとgsecdumpの2検体は図 2や図 4のようにエラーが発生しダンプに失敗しました。一方、LSAの保護モードを有効にしていない場合、mimikatzとgsecdumpの2検体は、ログオンしているドメインユーザーの情報を図 1や図 3のようにダンプできます。ドメインユーザーの情報は、ドメイン内の他のコンピューターへ侵入する手がかりとなり得えます(Pass-the-Hash攻撃など)。LSAの保護モードでは、この情報の窃取を防ぎ、横断的侵入を困難にする効果を期待できます。 図 1: mimikatz (保護モード無効) 図 2: mimikatz (保護モード有効) 図 3: gsecdump (保護モード無効) 図 4: gsecdump (保護モード有効) 図 5: PwDump7 図 6: QuarksPwDump なお、PwDump7とQuar
by Markus Spiske たびたび起きるユーザーアカウント情報の流出を悪用し、自動でさまざまなサービスに不正アクセスしようというサイバー攻撃が「Credential Stuffing攻撃」です。そんなCredential Stuffing攻撃で使用されるアカウント情報のリストが見つかり、ここから新たに1億件以上のメールアドレス情報が漏えいしていることが明らかになっています。 Troy Hunt: The 111 Million Record Pemiblanc Credential Stuffing List https://www.troyhunt.com/the-111-million-pemiblanc-credential-stuffing-list/ 2013年からデータ侵害について調査してきたというトロイ・ハント氏は、近年のデータ侵害界隈のトレンドとして「Credent
Streamlining the Sign-in Flow Using Credential Management API | Web Updates - Google Developers
To provide a sophisticated user experience, it's important to help users authenticate themselves to your website. Authenticated users can interact with each other using a dedicated profile, sync data across devices, or process data while offline; the list goes on and on. But creating, remembering and typing passwords tends to be cumbersome for end users, especially on mobile screens which leads th
GitHub - awslabs/amazon-ecr-credential-helper: Automatically gets credentials for Amazon ECR on docker push/docker pull
You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert
本日、東京から札幌へ戻る横山です。 AWS CLI使えるようになるまでのメモです。 前提 aws-cliを使うためのCredentialが設定されていないEC2がある。 $ aws ec2 describe-availability-zones Unable to locate credentials. You can configure credentials by running "aws configure". $ aws --version aws-cli/1.5.0 Python/2.6.9 Linux/3.14.20-20.44.amzn1.x86_64 準備 今回はIAMユーザ作り、access keyを作るところから始めていきます。 IAMのUsers画面を開き、Create New Usersからユーザを作っていきます。 次に、適当なユーザ名をつけて、Access Key
git credential helperを使ってHTTP越しで認証がかかっているリポジトリにアクセスする
HTTP越しでリポジトリにアクセスする際、認証がかかっていると、毎回ユーザ名とパスワードを入力する必要がある。 Basic認証がかかっているリポジトリにgit・hgでアクセスする際、ユーザ名とパスワードを保存する方法 | misty-magic.h のように.netrcを使うことで入力の手間を省くことができるが、Git 1.7.9以降であれば、credential helperを使うことで同様のことができる。 git credentialコマンドの存在確認 $ git help -a|grep credential- credential-cache credential-cache--daemon credential-store git-credential-storeとgit-credential-cacheがあるのが確認できる。 credential-cache–daemonはgi
Web Authentication is a new standard enabling the creation and use of strong, attested, scoped, public key-based credentials by web applications, for the purpose of strongly authenticating users using hardware authenticators.
リスクファインダーブログ: アンドロイドアプリからデバイスロック画面の呼び出し: Confirm Credential
アンドロイドもう8歳らしいです。昔からアンドロイドをやっていた方は、一度はアプリからデバイスロック画面を使って、本人認証できないかと思った事があるかと思います。「権限がなくてできません」と怒られてできなかったのですが、Android 5.0からできるようになってました。Android 6.0のConfirm Credentialを見てて、該当メソッドが、API Level21と記載されており、ええ!!と思い動作確認したら、5.0でも動きました。 多分私以外にも同じような人がいると思いますので、「Confirm Credential」ご紹介です。 デバイスロック画面 Confirm Credential直訳すると資格確認となり非常にそっけなくなんと訳したらいいのか判断がつかないので英語のままで通しますが、自分のアプリからシステムのデバイスロック画面を呼び出し、ユーザが正しい値を入れたらOKを
GitHub - microsoft/Git-Credential-Manager-for-Windows: Secure Git credential storage for Windows with support for Visual Studio Team Services, GitHub, and Bitbucket multi-factor authentication.
You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert
AWS LambdaからIAM RoleのCredential情報を取得し、RedshiftのCOPY処理に利用する | DevelopersIO
AWS LambdaからIAM RoleのCredential情報を取得し、RedshiftのCOPY処理に利用する 小ネタです。 先日投稿した以下AWS LambdaのエントリにてRedshiftへのCOPY処理を行う際のコード記述を行いましたが、この時はCredential情報(AWS_ACCESS_KEY_ID,AWS_SECRET_ACCESS_KEY,AWS_SESSION_TOKEN)を別途用意したIAM Roleの情報を直打ちして処理していました。 S3にアップロードしたCSVファイルをLambda経由でAmazon RedshiftにCOPYする – AWS Lambda Advent Calendar 2014:2日目 | Developers.IO 何か方法があるはずよね、でもどうやるんだろう?とこの時は保留事項としていましたが、先日ブログのコメント欄に、片山 暁雄 a
Google、新サインイン方式「Passkey(パスキー)」を用いたアプリ認証の正式版「Credential Manager」をアプリ開発者向けにリリース アプリに「Credential Manager」を導入することでパスワードレスのサインインが可能に 「Credential Manager」はアプリで使用可能な全てのサインイン方式を一つに集約 Google は 2023 年 2 月 6 日(月)、昨年 2022 年 10 月に Android と Chrome においてベータ版として提供を開始した新サインイン方式「Passkey(パスキー)」の正式版となる「Credential Manager(Credential Manager API)」を、アプリ開発者向けにリリースしました。
PowerShell で Get-Credential を利用する - tech.guitarrapc.cóm
多忙に胡坐を書いて更新が落ちていましたが、以前のペースにもどせるように再開しようと思います。 さて、パスワードって生埋め込みはいやです。本当にいやです。もうない。じゃぁどうするかというと、Get-Credential コマンドレットを利用します。 この Get-Credentialに入力したパスワードは、[System.Security.SecureString] として暗号化され再利用可能となります。 そう、PowerShell では、パスワードは [System.Security.SecureString] として扱われます。この [System.Security.SecureString] はMicrosoft も PowerShell でパスワード扱うなら定番はこれ っていってる結構優れた特質を持っています。が、その話はまた今度で。 今回は、この Get-Credential によ
これだと平文で保存されてしまう。(~./gitcredential というファイルにパスワードもそのまま保存されている) セキュリティ的に安心したいのでもう少し違うパターンを試す。 どうやらwindowsには他のcredential.helperがあるらしい。 しかし、windowsの場合はexeを落としてこないと行けないらしい http://gitcredentialstore.codeplex.com/releases/view/106064 ダウンロードしてきた後、exeを叩く。 cygwinを起動して、認識されているかを見る git help -a | grep credential- credential-cache remote-ftp credential-cache--daemon remote-ftps credential-store remote-http crede
Chrome 51:Credential Management API と画面外レンダリングのオーバーヘッド削減
.app 1 .dev 1 #11WeeksOfAndroid 13 #11WeeksOfAndroid Android TV 1 #Android11 3 #DevFest16 1 #DevFest17 1 #DevFest18 1 #DevFest19 1 #DevFest20 1 #DevFest21 1 #DevFest22 1 #DevFest23 1 #hack4jp 3 11 weeks of Android 2 A MESSAGE FROM OUR CEO 1 A/B Testing 1 A4A 4 Accelerator 6 Accessibility 1 accuracy 1 Actions on Google 16 Activation Atlas 1 address validation API 1 Addy Osmani 1 ADK 2 AdMob 32 Ads
Credential Management API の仕様が変更されました | Web | Google Developers
Some of the updates described here are explained in the Google I/O session, Secure and Seamless Sign-In: Keeping Users Engaged: Chrome 57 Chrome 57 introduced this important change to the Credential Management API. Credentials can be shared from a different subdomain Chrome can now retrieve a credential stored in a different subdomain using the Credential Management API. For example, if a password
Chrome 60 Beta: Paint Timing API, CSS font-display, and Credential Management API improvements
$200K 1 10th birthday 4 abusive ads 1 abusive notifications 2 accessibility 3 ad blockers 1 ad blocking 2 advanced capabilities 1 android 2 anti abuse 1 anti-deception 1 background periodic sync 1 badging 1 benchmarks 1 beta 83 better ads standards 1 billing 1 birthday 4 blink 2 browser 2 browser interoperability 1 bundles 1 capabilities 6 capable web 1 cds 1 cds18 2 cds2018 1 chrome 35 chrome 81
Rails 5.2のcredential機能をKubernetesで使う(翻訳)|TechRacho by BPS株式会社
概要 原著者の許諾を得て翻訳・公開いたします。 英語記事: Rails 5.2 Credentials and Kubernetes · Kir Shatrov 原文公開日: 2018/03/24 著者: Kir Shatrov -- Shopifyのプロダクションエンジニアです。 credential(認証情報)は英ママとしました。 Rails 5.2で導入された新しいcredentials機能で遊んでみた結果、これが実にクールだと思えました。暗号化されたcredential(secretとも呼ばれます)をリポジトリに保存しておき、読み出す必要が生じたらマスターキーで暗号化を解除できます。 Rails 5.1で導入されたsecrets.ymlとの違いを知りたい方は、「Rails Encrypted Credentials on Rails 5.2」をご覧ください。 Railsのアプローチ
1Passwordから情報を取得するgit credential helperを作ってみた | DevelopersIO
DA事業部の岩澤です。 最近、色々ありまして社用PCにWSLを導入しました。 (MacにVMWare使ってWindows10入れてその上にWSLのUbuntu入れました。さらにMac側にはDocker環境もインストールしているので、時折PC FANがいい音を奏でます) ついでにgit操作も行えるようにと git(ver.2.24.0)をインストールしたりしました。 すると、設定が悪いのかリモートリポジトリにアクセスする度にパスワード入力を求められてしまい... ・pushしようとしてパスワード聞かれてコピー&ペースト ・fetchしようとしてパスワード聞かれてコピー&ペースト ・cloneしようとしてパスワード聞かれてコピー&ペースト ...いけない、このままでは虚ろな目で作業することになり精神的にもよろしくないです。 これを改善すべく1Passwordからユーザーとパスワードを引っ張って
CommunityOpen SourceSecurityGit credential helper vulnerability announced (Update)Learn more about the security vulnerabilities affecting Git 2.26.1 and older. A couple of days ago, Git released v2.26.1 to address a critical vulnerability in the credential helper mechanism. Today, the Git project is releasing another round of updates to address a related issue that’s present in v2.26.1 and older.
VMwareを使っている人は多いと思う。 一台のパソコンにこのソフトをインストールすると、そのパソコンの中に仮想的に新たなパソコンのハードウェアをソフトウェア的に作成出来るのだ。 その仮想パソコン(=仮想マシン Virtual Machine)に各種のオペレーティングシステムをインストールする事が出来るのだ。これらのOSはゲストOSと呼ばれる。 一方、元々のパソコンにインストールされているOSはホストOSと呼ばれる。 さて、ワテの場合にはVMwareの無料版 VMware(R) Workstation 12 Player と言うのを長年使っている。 ワテは使った事は無いのだがVMwareには有料版もある。 でも、無料版でも十分な機能を持っている。 そんな便利なVMwareであるが、先日そのVMwareが突然使えなくなる問題に遭遇した。 具体的には、 Windows10の再インストール Wi
VMWare仮想マシン起動時に「Device/Credential Guard には互換性がありません。」のエラー解決 - あさまのブログ
VMの設定を記事に纏めていたら表題のエラーが出たので対応しました。 エラーの内容は下記のとおりです。 VMware Player と Device/Credential Guard には互換性がありません。VMware Player は Device/Credential Guard を無効にした後で実行することができます。 詳細については、http://www.vmware.com/go/turnoff_CG_DG を参照してください。 ダイアログに表示されているURLへ飛ぶと下記のResolutionが原因とのこと。 大体手順としてはこんな感じでしょうか。 Itaniumベースのコンピュータの場合 1.グループポリシーのCredential Guardを無効にする a.スタートボタン > ファイル名を指定して実行で「gpedit.msc」と入力して、ローカルグループポリシー編集画面を開
この記事で扱っているgit-credential-wincredはとっくの昔に非推奨になっています。現在のgit for WindowsにはGit-Credential-Manager-for-Windowsがデフォルトで一緒にインストールされるようになっているのでそちらを利用してください。 なお、credential managerもwincredと同様にWindowsの資格情報として保管されます。 GitをWindowsで使うとき、httpsのパスワードを記憶させるのにgit-credential-wincredって言うのがある。Windowsの資格情報としてパスワードを保存する、セキュアで楽で速いツール。GitHubのヘルプにもある。 先日、GitHubのユーザー名を変えたが、そのままこれを使ってpushしようとすると remote: Invalid username or pass
Android integration flow | Credential Management | Google for Developers
Send feedback Android integration flow Stay organized with collections Save and categorize content based on your preferences. To integrate Smart Lock for Passwords into your Android app, you must add calls to the Credentials API to your app's start-up and sign-in flow. The following diagram shows the flow of a typical Android app that uses Smart Lock for Passwords. While there are many ways to suc
git-credential-winstore
git-credential-winstore. このツールはGit(msysGit)のログイン情報(ユーザー、パスワード)をWindowsの資格情報マネージャに保存するようにするためのツールで、一度ログオン情報を入力すれば、それ以降パスワードの入力をする必要がなくなります。 インストールは上リンク先のCodePlexのサイトからインストーラーをダウンロードし、インストールすればOKです。(途中で確認のダイアログが出る) msysGitで初めてそのサイトにログオンすると次のようなGuiのログインプロンプトが表示されます。 ここでログイン名、パスワードを入力すれば、その情報が安全に資格情報マネージャに保存され、これ以降そのサイトにアクセスする際には、パスワードを入力する必要がありません。 複数のサイトを利用していると、面倒だったり、git extensionsのためにどうしてもそうする必要性
Git credentialプロトコルの脆弱性(CVE-2020-5260)を眺めた - Plan 9とGo言語のブログ
Gitは認証の必要なリポジトリへアクセスするとき、ユーザ名とパスワード入力を必要としますが、アクセスするたび入力するのは煩わしいので、資格情報を記憶するために、git-credential-から始まる名前のカスタムヘルパーコマンドが存在します。これらカスタムヘルパーはGitから標準入出力を扱う普通のコマンドで、標準入力経由でGitから渡されたパラメータに従って、対応するパスワードを標準出力を介してGitへ返します。ヘルパーコマンドが呼ばれるルールはgitcredentials(7)に書かれています。 これらのヘルパーコマンドとGitの間で使われるプロトコルがGit credentialプロトコルです。プロトコルは1行に1つのキーバリューが書かれるテキストプロトコルで、リクエストは空行で終わります。ヘルパーコマンドは空行までを読み取って、不足しているパラメータ(通常はパスワードだけ)を返しま
Microsoft が提供する Credential Provider のサンプルは、なぜか文字セットが Unicode ではなく ANSI になっています。 ICredentialProviderCredential インターフェースで扱う文字列は Unicode(WCHAR) であるため、プロジェクトの文字コードを Unicode に統一しておいたほうが、文字列を扱いやすくなります。 そこで、今回は SampleCredentialProvider を例に文字セットを変更する方法を説明します。 プロジェクトの設定 メニューから [プロジェクト]->[プロパティ] の順に選択します。[ソリューション エクスプローラ] で右クリックして [プロパティ] を選択しても同じです。 [プロパティ ページダイアログ] の左上 [構成] で Debug と Release のどちらの設定を行うか選び
GitのHTTPS認証に個人アクセストークンを求めるのは間違っているだろうか (Git Credential Manager のすゝめ)
TL;DR git-credential-manager (GCM)を使い、ブラウザ経由で 2 要素認証を突破しましょう。 GCM では、アクセストークンを発行・管理する手間を省けるOAuth 2.0が可能になります。 Windows の場合は、Git for Windowsインストール時に GCM も設定可能ですが、 他のプラットフォームでも自分でインストールすれば動作するようです。 アクセストークンの発行や管理を慎重に行ってますか? 最近、OSS への悪意あるコードの混入やアクセストークンの流出(Heroku)など、インシデントの頻度が上がっていますね。 GitHub に於いては、 2 要素認証(2FA)を義務化する動き[1]も活発です。 そんな中、ネットワーク要件等の都合で、SSH ではなく HTTPS が推奨されている場合もあるのではないでしょうか? 実際、GitHub はより簡単
GitHub - git-ecosystem/git-credential-manager: Secure, cross-platform Git credential storage with authentication to GitHub, Azure Repos, and other popular Git hosting services.
You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
credentialをSlackに書くな高校校歌 - freee Developers Hub
Git Credential Manager: authentication for everyone
パスキー対応のAndroid API「Credential Manager」が一般提供開始/早い、簡単、安全な次世代オンライン認証。「1Password」や「Enpass」での同期も可
流出したアカウント情報を使って自動で不正アクセスする「Credential Stuffing攻撃」とは?
AWS CLIのCredentialの設定に嵌ったお話 | DevelopersIO
Web Authentication (WebAuthn) Credential and Login Demo
Google、新サインイン正式版「Credential Manager」リリース
windowsのgit-credentialでユーザ名パスワード入力を簡略化する - Qiita
Git credential helper vulnerability announced (Update)
【ワテ備忘録】VMware PlayerとDevice/Credential Guardには互換性がありません【解決】
git-credential-wincredのユーザー名やパスワードを変える | ぴんくいろにっき
しおラボ Blog: Credential Provider アーカイブ