Auth0認証アーキテクト責任者がIDaaSの今を語る
EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。
EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。
東京大学発のスタートアップ企業が国内最大規模の国産の生成AIを開発し、完成したと発表しました。アメリカの企業が先行するなか、日本語に特化する戦略で対抗するねらいです。 この生成AIは、基盤となる大規模言語モデルの学習量を示す「パラメータ数」が700億で、これまで各社が手がけた国産の生成AIとしては最大規模の処理能力となります。 オープンソースと呼ばれる公開技術をベースに、産業技術総合研究所が運営するデータセンター「ABCI」などを活用し、去年12月から短期間で開発を実現しました。 会社側によりますと、先行するアメリカの企業の生成AIと同等の日本語の処理能力があるとしています。 チャット形式の生成AIを今後、一般に公開するほか、企業や自治体など向けに順次、提供を始める予定だということです。 生成AIの開発競争が激しさを増す背景には、業務やサービスに導入する顧客企業をいかに増やすかという“囲い
偽の ID (識別子) のアンチパターン
こんにちは、Azure Identity サポート チームの 高田 です。 本記事は、2023 年 6 月 20 日に米国の Azure Active Directory Identity Blog で公開された The False Identifier Anti-pattern を意訳したものになります。ご不明点等ございましたらサポート チームまでお問い合わせください。 本日は、ID の世界における危険なアンチパターンである 偽の ID (識別子) のアンチパターン を取り上げます。アンチパターン とは、繰り返し発生する問題に対する一般的な対応策のことで、こういった問題は多くが悪い結果をもたらし、想定と反対の結果をもたらすリスクとなるものです。パスワードのアンチパターン も聞いたことがあるかもしれません。本日お話しする内容は、もしかしたらより危険なパターンかもしれません。 偽の ID (
CloudFront + S3 + CloudFront Functions で BASIC 認証をかける
はじめに CloudFront + S3 で静的な Web サイトをホスティングしている。 ステージング環境として同様のサイトを作ったが、超簡単なアクセス制限をかけるために BASIC 認証をかけたい。 こういったケースでは Lambda@Edge を使うのが主流のようだが、最近リリースされた CloudFront Functions を使ってやってみた。 手順 CloudFront Functions のサイドバーに Functions メニューがあるので、そこから以下の内容で Functions を登録する。 function handler(event) { var request = event.request; var headers = request.headers; // echo -n user:pass | base64 var authString = "Basic
こんにちは、SSTでWeb脆弱性診断用のツール(スキャンツール)開発をしている坂本(Twitter, GitHub)です。 最近 WebAuthn *1 を触る機会がありました。 WebAuthnを使うと、Webアプリのログインで指紋認証や顔認証など多要素認証を組み込むことが可能となります。 一方で脆弱性診断の観点から見ると、burpやzapなどのスキャンツールで WebAuthnを使ったログイン処理をどうやって再現するかが悩ましく感じました。 もちろん、2022年2月時点でほとんどの(筆者の知る限りではすべての)Webサイトで WebAuthn を始めとする多要素認証はオプション扱いです。 多要素認証のフローそのものの診断を要望されない限りは、従来のID/パスワード認証によるログイン処理でスキャンや手動診断が可能です。 とはいえ転ばぬ先の杖と言いますし、診断ツールを開発している筆者として
AI & MLLearn about artificial intelligence and machine learning across the GitHub ecosystem and the wider industry. Generative AILearn how to build with generative AI. GitHub CopilotChange how you work with GitHub Copilot. LLMsEverything developers need to know about LLMs. Machine learningMachine learning tips, tricks, and best practices. How AI code generation worksExplore the capabilities and be
こんにちは、ritouです。 昨日、こんなTweetをしました。 これは何かという話です。 いきなりまとめ Googleへのログインの話 ではない カレンダーやメールなど古からのプロトコルでは パスワード認証を前提としたものがある それが OAuthに置き換わる 感じ PIM系プロトコルとパスワード認証(認可?) このネタどこかに書いた気がするな...ってので振り返ると、メールについてこの前記事書いてました。 今回も同じ話ですね。一部を除いてこれのリミットが来たってところでしょう。 OIDCじゃないのか?というところは、カレンダーやメール、アドレスブック情報へのアクセスが目的なのでやってることはリソースアクセス、なのでOAuth 2.0すね。 校長「GoogleがPIM系のパスワード認証を駆逐し始めるまでに12年かかりました。」
2022 年 5 月に KYC ワーキンググループ内に設置された「本人確認ガイドラインタスクフォース」が作成した「民間事業者向けデジタル本人確認ガイドライン」が公開されました。 「本人確認ガイドラインタスクフォース」は、会員企業 10 社とデジタル庁、有識者から構成され、官民が連携して議論・検討を重ね、本ガイドラインを策定したものです。 本人確認ガイドラインタスクフォースのメンバー リーダー 株式会社TRUSTDOCK サブリーダー 株式会社NTTドコモ 構成員(50音順) 伊藤忠テクノソリューションズ株式会社 KDDI株式会社 株式会社ジェーシービー セコム株式会社 ソフトバンク株式会社 デロイト トーマツ サイバー合同会社 トッパン・フォームズ株式会社 株式会社Liquid オブザーバー(50音順) 落合孝文弁護士 OpenIDファウンデーション・ジャパン デジタル庁(吉田泰己、林達也
英国のEU離脱や、ソフトバンクによるArmの買収などを経験したEUは、「EU独自のプロセッサがなくなる」という危機感を高めている。そのEUが救いを求めているのが「RISC-V」だ。 欧州連合(EU)は、RISC-Vアーキテクチャを使用して半導体チップの独立性を実現するためのイニシアチブに巨額の投資を行っている。こうした取り組みは、RISC-V技術開発のパイオニアであるバルセロナスーパーコンピューティングセンター(BSC:Barcelona Supercomputing Center)が主導している。 EU首脳は最近、RISC-Vベースのチップ開発を推進するためのイニシアチブをいくつか開設した。これは、加盟国が半導体の開発/製造を外国企業に依存していることを懸念する声に対応するためのものだ。近年では世界的な半導体不足によって、サプライチェーンに混乱が生じ、半導体主権の重要性が浮き彫りになって
asi-t-lva @aos5125 @kakeakami 私も発売当初からiPhone8をずっと使ってます📱指紋認証に加えてサイズ感がちょうど良く全然壊れないので、他に変え難いです
M3 MacBook Airレビュー。性能向上だけでなく細部も確実なアップデート(本田雅一) | テクノエッジ TechnoEdge
プロセッサの進化だけではない細かなアップデートM2を搭載したMacBook Airは大胆に設計変更された最初のモデルとは思えないほど、高い完成度の仕上がりだった。しかし、M3 MacBook Airは、その高い完成度にさらに磨きをかけて、見た目はほとんど同じながら、細かな使い勝手や満足感を高める工夫がされている。 M3搭載が大きな要素として語られる面がある今回のアップデートだが、実はそうした細かなアップデートこそが、今回の新製品における1番の魅力だと思う。 例えば、人気モデルであるがゆえに可能なカラーバリエーションの展開だが、その中でもミッドナイトの仕上がりに関しては、今回細かなチューニングが行われた。 M2 MacBook Airで導入されたミッドナイトは、久々に黒に近いMacBookとして発売当時から人気を誇っていたが、一部には指紋が目立ちやすいという不満の声があった。しかし今回は新し
米Googleは10月10日(現地時間)、パスワード不要のサインイン機能「パスキー(passkey)」を、Googleアカウントのデフォルト(初期設定)オプションに設定すると発表した。アカウントにサインインしようとすると、パスキーの作成を求めるプロンプトが表示されるようになる。 パスキーはパスワードより安全ではあるが、「新技術が普及するには時間がかかることが分かっているため」、ユーザーにはパスワードを引き続き使い続けるオプションも提供する。設定画面で「可能な場合はパスワードをスキップする」をオフにすれば、パスキーをオプトアウトできる。 パスキーは、Googleが昨年5月に米Appleと米Microsoftとともに発表したFIDO Allianceの「マルチデバイス対応FIDO認証資格情報」の通称。業界標準のAPIとプロトコルに基づく公開鍵暗号化を使い、面倒なログイン名とパスワードの入力を省
「なんでアクセストークンがいるの?パスワードを保存すれば良いのではないの?」というパワーワードを聞いたので説明してみる
ID本の読者の一人から、「なんでアクセストークンがいるの?パスワードを保存すれば良いのではないの?」というパワーワードを聞いた。そうか、そういえば、そういうベーシックなことを説明していなかったな。というわけで、改定の機会があったら加筆するとして、とりあえずブログにしておきます。 OAuthと2つのトークン OAuthの登場者には、 保護対象リソース (Protected Resource):アクセス制御がされるべきリソース リソース管理者 (Resource Owner) :保護対象リソースに対するアクセスを決定することができる人または組織 認可サーバ (Authorization Server):リソース管理者の指示に従って、クライアントにトークン(切符)を発行するソフトウェア クライアント (Client):リソース管理者の許可のもとに保護対象リソースにアクセスして何らかの処理を行うソ
Oso - Authorization Academy
Concepts. Architecture. Best Practices. A series of technical guides for building application authorization. Authorization is a critical element of every application, but the problem is: there’s limited concrete material available for developers on how to build authorization into your app. To help developers build these systems and features, we built Authorization Academy.
Ubie Discovery の @yukukotani です。 症状検索エンジン「ユビー」では Firebase Auth (GCP Identity Platform) をヘビーに使っています。その中で一部 Firebase Auth の想定を超えた使い方をしていて、それを実現するための無理矢理なハックを紹介します。 Capacitor 上で OAuth を動かす Capacitor (=WebView) 上で Web ブラウザと同じように OAuth をやろうとすると、以下のような問題に直面します。 Google などの認証プロバイダは WebView 内でのアクセスを弾く (参考) 認証プロバイダからのコールバックが端末のデフォルトブラウザで開かれてしまい、ネイティブアプリに戻ってこれない Capacitor の類似技術である Cordova でも同様の問題がありますが、Fireb
This text is part of a series of texts about Clean Architecture analysis applied with different frameworks and languages. The purposes of this text are in line with those of the previous text, which are: I. Show an architectural division of a React application using Clean Architecture; II. Guide the implementation of new features in this proposed architecture. Architectural Division The initial st
こんにちは、セキュリティエンジニアの岩田です。今回は「擬似サイバー攻撃演習」と銘打って行った社内の演習についてご紹介します。 擬似サイバー攻撃演習とは? 実際のサイバー攻撃をシミュレーションして実施することで、現在行なっているセキュリティ対策が有効に機能しているかを検証するための演習です。「レッドチーム演習」や「脅威ベースのペネトレーションテスト(TLPT)」などと呼ばれるものと同様の試みですが、誰にでもより直感的に内容が伝わるようにこの名称にしました。 今回は2要素認証を回避するフィッシング攻撃によって実環境のID管理サービス(IDaaS)のアカウントを乗っ取って侵入し、機密情報を盗み出す攻撃シナリオで演習を行いました。 具体的には、攻撃者がフィッシングメールをユーザーに送ってフィッシングサイトに誘導し、ユーザーからのフィッシングサイトへのリクエスト内容をそのまま実際のサイトに転送するこ
Cloud RunとIdentity-Aware ProxyとGitHub ActionsでPull RequestごとのDeployment Previewを実現する - Hatena Developer Blog
マンガ投稿チームでWebアプリケーションエンジニアをしているid:stefafafanです。この記事では、最近私がチーム向けに整備したDeployment Preview環境の事例を紹介します。 Deployment Previewとはどのようなものか? チームとして求める要件 実現したDeployment Previewの全体像 1. DockerイメージをビルドしてArtifact RegistryにpushしてCloud Runで動かすまで GitHub Actionsでどのように実現したか 2. ロードバランサーと証明書の準備、またServerless NEGによる振り分け Certificate Managerでワイルドカード証明書を取得 Serverless NEGを用意してURL MaskでCloud Runのリビジョンタグと対応づける Identity-Aware Prox
パスキー対応における2つの段階と必要な機能
パスキー対応 という記事を見ると フィッシング耐性があるパスワードレスな世界が来る! と期待を抱き、冷静に考えて パスワードが残ってるうちはリスクは残ってるしフィッシングにもやられるし何にもかわらねぇじゃねーか と遠い目をしてしまう皆さん、こんにちは。 ritou です。 いきなり一気に進むわけがないだろ。ということで、認証を必要とするサービスもユーザーも、パスキーにより理想的な状態となるまでには段階というものがあり、 大人の階段と同じで やるべきことがあります。そのあたりを理解することで、一喜一憂せずにやっていきましょう。 2つの段階 既存の認証方式に加えてパスキーによる認証が利用可能 : 過渡期ってやつでしょうか。イマココ パスキーのみが利用可能 : 我々が望んでいる世界や! あとはその前の なんもしてない段階 です。 そんなに新しい話でもないでしょう。 段階を進めるために必要な対応
2要素認証の突破はもはや当たり前 “ここまでやるか”と思わせる攻撃者の最新手口(ITmedia エンタープライズ) - Yahoo!ニュース
iOS 18世代ではこれまでキーチェーンとして提供されていた機能が「パスワード」アプリとして切り出される(出典:AppleのWebサイト) コンシューマーとしての利用者、そして組織の一員としての従業員個人に対するサイバー攻撃の主流は「フィッシング」だと思います。フィッシングも偽サイトに誘導するという、これまでよく知られるものから、サポート詐欺として偽のセキュリティ警告を執拗(しつよう)に表示し、表示される番号に電話をかけさせるという新たな手法も登場しています。「怪しいWebサイトにはアクセスしない」という基本的なものではなく、もう一段踏み込んだ対策が必要です。 Cloudflareが受けた攻撃のフロー。入力されたID/パスワードなど、フォームに入力された情報はリアルタイムに攻撃者に渡るため、TOTPベースのワンタイムパスワードも有効期限が切れる前に悪用できてしまう(出典:「The mech
SREのたっち(@TatchNicolas)です。 JX通信社では、月に一度「WinSession」というリリースした機能や検証したリリースについて開発チーム全体へ発表する機会を設けています。今回は自分が前回社内に紹介した「パパッと便利APIを作って5分でお手軽&セキュアにデプロイする」方法について書きます。 TL; DR; Istio/cert-manager/Auth0を使って、任意のコンテナを認証つきで5分でデプロイできる仕組みを作った 設定はアプリケーションごとに独立し、中央集権的なリポジトリに依存しない*1 きっかけ プロダクト間で共通のAPIを認証付きでパパッと作りたいこと、よくありますよね? でも、アプリケーションに毎回認証のための仕組みを組み込むのは骨が折れます。アプリケーションはあくまで、アプリケーションの関心ごとに集中させたい。すると、サイドカーコンテナを使って責務を分
忘れそうなので一旦メモ。 ドコモ口座の問題って、こういうことでしょ? 銀行側のAALが1を満たさないので銀行側が銀行口座を保護できない 銀行側のAALが1を満たさないので「銀行にKYCを依拠する」というサービスのLoAが1を満たさずサービスとして成り立っていない 結果としてドコモ口座のIALは1 (= dアカウント登録直後と同等) のまま 「銀行口座名義とドコモ口座名義の一致確認」と「銀行にKYCを依拠」が同時に発生してしまっている結果「銀行口座名義とドコモ口座名義の一致確認」が実質なされていない 参考) https://gist.github.com/nov/b8be7b50db48862784b470c1ae6c1718 口座の一致確認が行われていないためドコモも銀行口座を保護できない ドコモ口座側のAALは1を満たすのでドコモがドコモ口座を保護することは可能 結果として銀行口座は保護
こんにちは、Azure Identity サポートチームの鈴木です。 本記事は Your Pa$$word doesn’t matter を意訳したものになります。ご不明点等ございましたらご連絡ください。 セキュリティに関して組織の方針を決定できる方との会話の中で 「これまでに漏洩したことがあるパスワードは絶対に再度使用するな」「長いパスワードを使用したほうがいい」「パスワードよりも長いパスフレーズを使えばいい」などなどの話題がでます。実はこれらは、これまでの研究結果と異なっており、マイクロソフトが毎日何億ものパスワードベースの攻撃を防いでいる状況から見ますと正しくありません。多要素認証 (MFA) や脅威の検出の仕組みなど本当に価値のあるものにではなく、パスワード規則に着目しても、気晴らし程度の効果しかありません。 ここでは、パスワードの構成や長さに関しては(ほとんど)意味がないというこ
すまほん!! » PC » Mac » 【悲報】M3 MacBook Airが爆熱に。フル回転させるとファンレス設計のせいで性能大幅低下が明らかに MacBook Airといえばファンレス設計と発熱を抑えられるArmベースSoCとのマッチアップが魅力的なノートパソコンですが、やはりファンを搭載したMacBook Proより大幅に性能が低下してしまうようです。YouTubeチャンネルのMax Techが検証しています。 比較対象は、つい先日発表されたばかりのM3 MacBook Airと、同じくM3チップを搭載したMacBook Pro。先述のようにMacBook Airはファンレス設計であり、フルパワーを長時間出すような作業では発熱により性能が低下してしまいます。 Max Techが比較したのは15インチMacBook Airと14インチMacBook Pro。検証の結果、M3 MacBo
OpenAPI Generator + TypeScript で始める自動生成の型に守られた豊かなクライアント生活 | GiFT(ギフト)株式会社
OpenAPI Generator + TypeScript で始める自動生成の型に守られた豊かなクライアント生活2020.02.29 OpenAPIをドキュメントだけでなく、Schema firstな開発に利用しようということで、TypeScript + OpenAPI Generatorでフロントエンドの開発をしました。 Vue, Nuxtで使う際の例と共にその内容を紹介します。 目次OpenAPIでドキュメントを書くメリットなどOpenAPI GeneratorでClient情報を吐き出すVue, Nuxtで利用するAPIの変更に追従しやすく、型もあるし幸せOpenAPIでドキュメントを書くメリットなど弊社では以下のブログでも書いているように、API仕様のドキュメント化にOpenAPIを活用しています。 committee×OpenAPI×RailsでスキーマファーストなAPI開発O
GitHub Apps + GitHub Actionsで必要なアクセス権限のみ付与した一時的なアクセストークンを発行する | DevelopersIO
GitHub Apps + GitHub Actionsで必要なアクセス権限のみ付与した一時的なアクセストークンを発行する こんにちは、CX事業本部 IoT事業部の若槻です。 今回は、GitHub Apps + GitHub Actionsで必要なアクセス権限のみ付与した一時的なアクセストークンを発行してみました。 なぜGitHub Appsを使うのか GitHubではPersonal access tokensを使えばアクセストークンを簡単に発行することが出来ますが、スコープの粒度が粗く、操作可能なRepositoryの制限も出来ないため、必要以上のアクセス権限を付与してしまいがちです。 一方で、GitHub Appsを使用すれば、アクセス権限を細かく設定したアクセストークンを発行することが可能です。 About GitHub Apps - About apps - GitHub Doc
ウェブサイトにログイン機能を実装できるサービスとしてはAuth0やAmazon Cognito、Firebaseがありますが、いずれもオープンソースではありません。ニュースサイト・Hacker Newsを運営するYコンビネータの支援のもと、オープンソースとして開発された「SuperTokens」は、Auth0やAmazon Cognitoなどの代替を目指すソフトウェアです。 SuperTokens, Open Source Alternative to Auth0 https://supertokens.io/ アクセス可能なリソースをアプリケーションに柔軟に割り当てることができる「OAuth」は、多くのウェブサイトが準拠している「権限の認可」を行うための標準規格です。OAuthはAuth0やAmazon Cognito、Firebaseといった認証プラットフォームを利用することでソフトウ
ID連携の説明によく出てくる「セッションとの紐づけ」とは
ritou です。 ElixirのTwitter OAuthライブラリ "ExTwitter" の使い方 のようなID連携の説明において 「●●をセッションに紐づけて保存しておきます」 みたいな書き方をよくしますが、これがよくわからんので教えてくれとの質問がありましたのでここにまとめておきます。 特別なことは書いていません。 Webアプリケーションの基本的なセッション管理機能 横文字多めで一言にまとめると、クライアント/サーバー間でステートレスなHTTPを利用するWebアプリケーションにおいて、セッション管理機能により複数のリクエストをまたがり情報を保持できるので、それによりステートフルな仕組みを実現できるみたいな話です。 一般的に、サーバーはセッションIDを(HTTP Cookieとして)クライアントに渡し、それにひもづくデータを(DBなどの)データストアに保持 (ただし、クライアントへ
今時の認証って🧐 現代はもう認証機能は自分で実装する時代では無さそうです。 この、「どのアプリでも一般的に使われているけど本質的な価値になっていない」類の作業を、かの AWS センセーは 「付加価値を生み出さない重労働」 と定義しました。 これらをなるべく削減して、エンジニアが本質的な顧客価値に直結する作業に注力できるようにするのというのがトレンドです。 せっかくReact で初めてのSPAを作ったので、ついでに前から気になっていた AWS cognito を使って認証機能を付けてみました。 ざっくりとした導入だけですが、基本的な使い方だけなら非常に簡単かつセキュアに実装できるのでは無いかと思います!! 以前作った SPA については記事にしています。 こちら 。 Rails API でバックエンドを実装した React SPA についてイメージを掴めるような内容になっていると思いますの
GitHub.comにパスワードレス認証の導入
パスキーがパブリックベータ版にて利用が可能になりました。オプトインすることで、セキュリティキーをパスキーにアップグレードし、パスワードと2FA方式の代わりにパスキーを使用することができます。 セキュリティ侵害のほとんどは、珍しいゼロデイ攻撃によるものではなく、ソーシャルエンジニアリング攻撃、認証情報の盗用または漏洩、被害アカウントやその先のリソースへの広範なアクセス権を攻撃者に提供する手段など、低コストな攻撃によるものです。実際、私たち全員が頼りにしているパスワードは、データ漏洩の80%以上の根本原因となっています。 だからこそ、私たちGitHubは「ユーザーエクスペリエンスを損なわない」という約束を守りながら、すべての開発者が強固なアカウントセキュリティを担保できるよう支援しています。GitHub全体の取り組みとして2要素認証(2FA)の採用から始まり、本日よりパスキー認証をパブリックベ
米Apple、米Google、米Microsoftは「世界パスワードデー」の5月5日(現地時間)、FIDO AllianceとWorld Wide Web Consortium(W3C)が作成した標準を採用して、Webサイトやアプリに「端末やプラットフォームを超えてサインインできるようにする」と発表した。 FIDO Allianceは、パスワードとフィッシングに関する問題に対処するために2012年に設立された業界団体。Googleのセキュリティ担当幹部、サンパス・スリニバス氏がプレジデントを務める。 GoogleはAndroidとChromeで、AppleはiOS、macOS、Safariで、MicrosoftはWindowsとEdgeで、パスワードなしのサインインのサポートを実装する。 各社は、サインインの方法として指紋または顔による生体認証、あるいはスマートフォンなどの端末のPINを使
中国政府が関与するハッカー集団が最近の一連の攻撃において、2要素認証(2FA)をかいくぐっていたことを発見したと、セキュリティ研究者らが発表した。 一連の攻撃は、サイバーセキュリティ業界が「APT20」と名付けて追跡している集団によるものだと、オランダのサイバーセキュリティ企業Fox-ITは先週公開したレポートで述べた。この集団は中国政府の指示で活動しているとみられている。 この集団の主な標的は、政府機関とマネージドサービスプロバイダー(MSP)だった。政府機関とMSPは、航空、医療、金融、保険、エネルギーのほか、賭博や物理的な錠といったニッチな分野にも取り組んでいた。 APT20による最近の活動 Fox-ITのレポートにより、この集団のこれまでの活動において不明だった部分が明らかになった。APT20は2011年からハッキング活動に従事しているが、2016~2017年に活動形態の変更があり
OAuth 2.0/OpenID Connectで使われるBindingの仕組みについて整理する - r-weblife
おはようございます、OAuth警察を装っている ritou です。 qiita.com 認証認可技術 Advent Calendar 2019 2日目の記事です。 今日もやっていきましょう。 (2020/3/9追記)本投稿の内容をさらにわかりやすく整理された本を @authyasan さんが書かれています。 #技術書典 応援祭の新刊をBOOTHで公開! OAuth・OIDCへの攻撃と対策を整理して理解できる本(リダイレクトへの攻撃編 https://t.co/OtNRNQGmOJ 以下について学びたい方はぜひお読みください state nonce PKCE c_hash at_hash CSRF リプレイ攻撃 認可コード横取り攻撃 トークン・コードインジェクション— Auth屋@技術書典応援祭を応援!OAuthへの攻撃本執筆中 (@authyasan) 2020年3月7日 私もレビューをさ
はじめに インターンでお世話になっている、コウゲと申します。現在担当させていただいている仕事は業務で使用している管理画面のマイクロサービス化です。 マイクロサービス間をつなぐ認証機能が必要だったので、認証プラットフォームとして使いやすそうな 「Auth0」で どんなことができるのか、実現したいことは可能なのかを検証してみることになりました。 なぜAuth0なのか ダッシュボードの設定 + 少ないコード で認証機能が簡単に実装できる。 Auth0専用ライブラリやSDKが多数存在し、目的に応じてそれを利用することで 簡単にログイン機能を実装することができる。 実現したいこと 発表 ありがたいことに、調べた結果を社内で発表する場を設けていただきました。 ブログの内容より少し詳しく書いています。読んだら即実装できるようなスライドを心がけて作りました! speakerdeck.c
GitHub OAuthアプリを使ったスパム攻撃を停止させる
2024年2月21日ごろから、"Github Jobs"を名乗るGitHubの開発者ポジションをオファーするスパム攻撃が発生しています。 仕組みとしては、GitHubのIssueやPRでmentionをするとメールの通知が届くのを利用して、コメントでスパムメッセージを送りつけるものです。 以前からこのスパムは存在していましたが、今回おきた問題はGitHub OAuth Appを用意して、スパムコメントで24時間以内にここから申請してくださいという感じの誘導して、OAuthアプリの認証を行わせる攻撃が含まれていました。 このスパムOAuthアプリは、GitHubのprivateリポジトリの読み取りやコメントの読み書きなどの権限も持っていたため、このスパムアプリを認可してしまうと、その人のアカウントでさらにスパムコメントが増えるという問題が起きていました。 詳細は、次のGitHub Discu
Firebase Authのリダイレクトログインを使っている人は今年の6月までに対応しないと大変ですよという注意喚起
公式ドキュメントに書いてあり、Firebaseからもメールなどで通知されていることではあるのですが、意外と見落としたままになっているかもしれない情報なので、啓蒙の意味も込めて記事にします。 結論 Firebase AuthのJavaScript SDKを使っている場合、今年6月までに以下のドキュメントに従った対応をしないとChrome/Edgeでリダイレクトログインが動かなくなります。 サードパーティのストレージ アクセスをブロックするブラウザで signInWithRedirect を使用する場合のベスト プラクティス 必要な対応 公式ドキュメントにある対応選択肢を、補足や注意点も含めた形で以下に焼き直してみます。 ポップアップ形式のログインでもいい場合 同一タブ内でリダイレクトしてログインする形式から、ポップアップウインドウを開いてログインする形式に切り替えましょう。 (公式ドキュメン
freeeの礎となる認証認可基盤のマイクロサービス化プロジェクトの経緯と振り返り - freee Developers Hub
こんにちは、認証認可基盤・課金基盤のエンジニアリングマネージャーを務めている muraと申します。直近2年間は、今回お話しするfreeeの認証認可基盤のマイクロサービス化のプロジェクトにバックエンドエンジニア、エンジニアリングマネージャーとして携わってました。最近はfreeeが利用する課金基盤のエンジニアリングマネージャーも兼務するようになり、本格的にマネージャーの道を歩み始めたところになります。 本日は、私が2年間携わってきた「認証認可基盤のマイクロサービス化」のプロジェクトについてお話しします。このプロジェクトは私が入社するより前の2019年から進められてきたプロジェクトで、2022年6月末に移行に一区切りがついたものになります。プロジェクトの始まった経緯や実際の移行作業に加えて、4年間という長期間のプロジェクトへの振り返りについてお話させて頂ければと思います。 freeeの認証認可基
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
東大発のスタートアップ企業 “国内最大規模 国産生成AI完成” | NHK
WebAuthnをエミュレートするWebアプリの開発 - セキュアスカイプラス
More secure private attachments · GitHub Changelog
2022年5月末に利用できなくなる「ID/パスワードのみのGoogleアカウントへのログイン」とは何か
お知らせ:民間事業者向けの業界横断的なデジタル本人確認のガイドラインが公開されました
「独自のプロセッサがなくなる」 欧州が救いを求めるRISC-V
川尻こだま先生の「ずっとiPhone8」の理由は指紋認証 抜拳の表現から刃牙トークの展開も
Google、「パスキー」を個人ユーザーのデフォルトに
Firebase Auth の力を 120% 引き出すためのハック集
Clean Architecture: Applying with React
同僚に2要素認証を回避するフィッシング攻撃(の演習)をしてみた - SmartHR Tech Blog
iOS版「Google認証システム」、機種変更での移行がQRコードで手軽に
偽造困難な「呼気」で生体認証する実証に成功。東大/JSTら
IstioとAuth0でJWT認証付きAPIを5分でデプロイする - JX通信社エンジニアブログ
ドコモ口座問題 - OAuth.jp
パスワードで攻撃は防げない - Your Pa$$word doesn't matter
【悲報】M3 MacBook Airが爆熱に。フル回転させるとファンレス設計のせいで性能大幅低下が明らかに - すまほん!!
オープンソースかつ自サーバー上でホスト可能な認証プラットフォーム「SuperTokens」が登場
AWS cognito を使って React SPA に認証機能を導入してみた
Apple、Google、Microsoftがパスワードなしサインイン標準サポート拡大
中国のハッカー集団、2要素認証をかいくぐり政府機関などを攻撃--研究者が発表
Auth0を使ってSPA(Vue.js, Python)の認証機能を作ってみた - JX通信社エンジニアブログ
OAuth対応じゃないとメールの送受信ができなくなるかも? 年末年始はメールアプリを見直そう/Microsoft/Googleがメールサービスの基本認証を廃止へ【やじうまの杜】
www.dailyshincho.jp
www.wakakoukai.or.jp
ameblo.jp/prettycurer
prtimes.jp
puchitori.com
search.app