GnuTLSの脆弱性でTLS1.3の再接続を理解する(Challenge CVE-2020-13777) - ぼちぼち日記
(TLDR; めちゃくちゃ長くなったので、長文読むのが苦手な方は読まないようお願いします。) 1. はじめに 前回の「求む!TLS1.3の再接続を完全に理解した方(Challenge CVE-2020-13777)」 の記事にて、GnuTLSの脆弱性(CVE-2020-13777)のPoCを募集しました。 短い期間にも関わらず2名の方から応募を頂き、本当にありがとうございます。 また、応募しなかったけど課題に取り組んで頂いた方もいらしゃったようです。この課題を通じて、いろいろな方がTLS1.3仕様(RFC8446)に触れる機会を持っていただいたことを非常に嬉しく思います。 全くの初心者ではやはり課題が難しいとの意見もいただきました。今後はもう少し幅広い人に手をつけやすいよう工夫が必要であると感じていますが、はてさてどうしたらいいか、なかなか難しい。なんにせよ初めての試みでしたが、やってみて
マイナカードの認証「かざし利用」が可能に 法改正で
5月27日、マイナンバー法等改正法(改正マイナンバー法)などが施行され、マイナンバーカードの機能や用途が広がった。国外への引っ越しの際、事前の申請があればマイナンバーカードが失効しなくなった他、マイナンバーカードによる本人認証に関する規定も明確に。暗証番号を入力しない「かざし利用」が可能になった。デジタル庁もかざし利用を推進する方針だ。 デジタル庁はかざし利用のための「マイナンバーカードかざし利用クライアントソフト」を提供しており、自治体や民間事業者がPC(Windows)にインストールして利用できる。ソフトを使えば、マイナンバーカードの真正性や、カードに格納された「利用者証明用電子証明書」の有効性が確認できるという。 かざし利用は、求められる認証強度が低い場面での利用を想定しており、デジタル庁は例として「図書館カードとしての利用や避難所への入退場の際の利用」を挙げている。 ただしオンライ
秘密情報をGitLabに格納することなくGoogle Cloud / AWSに対して認証する - エムスリーテックブログ
エムスリーエンジニアリンググループ AI・機械学習チームの笹川です。 趣味はバスケと筋トレで、このところはNBAはオフシーズンですが、代わりにユーロバスケが盛り上がっていて、NBAに来ていない良いプレーヤーがたくさんいるんだなーと思いながら見ています。 夜ご飯を催促するためデスク横で待機する犬氏(かわいい) 今回は、パブリッククラウドへの認証に必要な秘密情報をGitLab自体に格納することなく、安全に認証する方法について紹介します。 CI/CDの実行時のパブリッククラウドに対する認証 ナイーブな手法とその問題点 OpenID Connectを用いた認証 Terraformでパブリッククラウド側の設定を記述する Google Cloudの場合 AWSの場合 GitLab CI/CDで認証する Google Cloudの場合 AWSの場合 認証ステップの共通化 まとめ We are hirin
Microsoft Authenticator の MFA 疲労攻撃対策 - 数値の一致による MFA が 有効化されます
こんにちは。Azure Identity サポート チームの栗井です。 Microsoft Identity Security のディレクター Alex Weinert によって、昨今脅威が指摘されている MFA 疲労攻撃と、対策としての Microsoft Authenticator の強化機能についての下記ブログ記事が公開されました。 Defend your users from MFA fatigue attacks - Microsoft Tech Community 上記記事に記載の一部内容と、私共日本側のサポート チーム宛にお客様からお問い合わせいただく内容等をふまえ、本記事を執筆しました。 Note 下記でご紹介する機能のうち「プッシュ通知に番号の一致が必要」の機能は、2023 年の 5 月 8 日以降、すべてのユーザーに自動で有効化することを予定しています。(元々 2023
次期iOS 13.3のSafariではU2FやFIDO2/WebAuthn準拠のUSB/Lightning/NFCセキュリティキーがサポートされるもよう。
次期iOS 13.3のSafariではU2FやFIDO2/WebAuthn準拠のUSB/Lightning/NFCセキュリティキーがサポートされるようです。詳細は以下から。 Appleは2019年06月に開催したWWDC 2019のセッション516「What’s New in Authentication」で、macOS 10.15 Catalinaのデフォルトブラウザとなる「Safari v13」で、FIDO2準拠のセキュリティキーをサポートすると発表し、デスクトップ版Safari v13では初期リリースからYubikeyやFeitian KeyなどのUSBセキュリティーキーがサポートされていますが、 AppleのConsulting Engineeringチームで働くPepijn Bruienneさんによると、現在Appleが開発者向けに公開しているiOS 13.3のモバイル版Safa
はじめに DPoP(ディーポップ)という仕様を紹介します。 OAuth 2.0 Demonstration of Proof-of-Possession at the Application Layer (DPoP) この仕様は、悪い人がアクセストークンを盗んだとしても、それだけでは API に対する不正アクセスができないようにするための仕組みです。 従来は、クライアントアプリケーションがアクセストークンを提示して API にアクセスしてきたとき、そのアクセストークンが有効であれば、API アクセスは許可されていました。しかし、DPoP などの Proof of Possession(PoP)の仕組みを用いると、アクセストークンを提示しているクライアントがそのアクセストークンの正当な所有者かどうか(=アクセストークンの発行を受けたクライアントと同一かどうか)もチェックされるようになり、アク
こんなセキュリティの間違いをしていませんか?認証システム開発で得た教訓 - NTT Communications Engineers' Blog
この記事は、 NTT Communications Advent Calendar 2023 1日目の記事です。 はじめに こんにちは、イノベーションセンターの平木と申します。 11月1日にNA4Secプロジェクト1のチームにセキュリティエンジニアとしてjoinしまして、急遽、エンジニアブログに投稿させていただくことになりました。 今日ご紹介したいのは、前職(NTT Comの他部門)のセキュリティ機器の導入プロジェクトの話で、その中で私が遭遇した「嘘のような本当の話!?」をご紹介し、そこで得た学びをお伝えしたいと思います。 開発プロジェクトの概要 とある事件をきっかけに全社的にセキュリティ意識が今まで以上に高まって、より適切に権限をコントロールすべく、認可認証の仕組みが導入されることが決まりました。我々のチームでは、サーバネットワーク基盤を用意し、認証アプリを導入し、運用を確立することがミ
マイナンバーカードの技術仕様
マイナンバーカードの技術仕様 (ICカード規格、搭載情報、セキュリティ対策) や利活用方法、今後期待される展開などについて説明します。 2016年1月からマイナンバー(個人番号)の利用とマイナンバーカードの交付が開始しました。 マイナンバーは社会保障や税、災害対策の分野で行政の効率化と国民の利便性向上を目的としています。 マイナンバーは国民一人ひとりに与えられた12桁の番号のことです。 特に、公的個人認証 はPKI (Public Key Infrastructure : 公開鍵基盤) 技術に基づき、インターネット経由でのセキュアな本人認証や電子申請を可能とする点で、今まで押印するところに取って代わる技術なので、様々なシーンでの利用が期待されています1。 技術仕様 マイナンバーカードの技術仕様について説明します。 券面 マイナンバーカードの表面には以下の情報が書かれています。 氏名、住所、
請求管理ロボのエンジニアリングマネージャーの白坂です。 先月2022年2月に、請求管理ロボでは認証基盤としてAuth0を導入しました。 導入検討から4ヶ月ほどかけてリリースしたのですが、これまで独自で作り込んでいた認証の機構に対して認証基盤サービスを導入することになったため導入した経緯や当社でIDaaS選定に際してポイントになったことを紹介します。 現在稼働しているシステムへIDaaS導入を検討している方の参考になればと思います。 どうしてIDaaSを導入したのか? 導入サービス決定のポイント 1. 導入のための実装コストが低い 2. BOT検知などのセキュリティ強化が容易 3. IDaaS利用コストは他のサービスと比べて高いが許容できた 導入するためのとったアプローチ 1. 要求のリストを作成 2. 導入候補のIDaaSを選定 3. 導入コストと拡張コストの見積もり 最後に どうしてID
Sigstore によるコンテナイメージの Keyless Signing - Flatt Security Blog
This image includes the work that is distributed in the Apache License Version 2.0 こんにちは。株式会社Flatt SecurityでインターンをしているMarina (@marin_a___) です。本稿はソフトウェアサプライチェーン領域で注目を集める Sigstore プロジェクトについての記事です。 Sigstoreとは Cosign によるローカルの鍵ペアを用いた署名方法 公開鍵と秘密鍵のペアの作成 作成した鍵を用いたコンテナイメージの署名 公開鍵を用いた署名検証 小まとめ: 全体の流れ 鍵管理に関する課題 OpenID Connect を活用した署名(Keyless Signing) Keyless Signing の仕組み Keyless Signing の具体的な利用方法 方法1: 人力で認証を
Bolt for Python + AWS Lambda & S3 で運用するほぼゼロコスト Slack アプリ - Qiita
こんにちは、Slack の公式 SDK 開発と日本の Developer Relations を担当している瀬良 (@seratch) と申します 次世代プラットフォーム機能が盛り上がりつつある昨今ですが、以下の記事でも書きました通り、Bolt フレームワークも引き続きご利用いただけます。 この記事では、Bolt for Python を使ってほぼゼロコストで運用することができる Slack アプリのデザイン例についてご紹介します。 Bolt for Python とは? Bolt とは、Slack が提供する公式の Slack アプリ開発フレームワークです。全てのプラットフォーム機能をサポートしており、Express.js のルーティング機能に似たインターフェースでリスナー関数を登録するだけで、様々なイベントに応答するインタラクティブな Slack アプリを簡単に開発することができます。
ritouです。 こちらの記事の続きです。 前回の記事の振り返り 3行でまとめると まずは単一アプリケーションのID管理について解像度を上げてみよう Webアプリケーションフレームワークを使って新規登録から退会までざっくり動作確認してから、色々いじったり調べてみるのが良いよ セキュリティ関連の機能とか、新規登録時の身元確認、ログイン方法を拡張してみよう といったところです。個人的にはこれは全エンジニア向けの研修であってもいいぐらいのものだと思います。 今回の内容 タイトルにある通り、複数のアプリケーションが関わる部分に入っていきましょう。 というか、OAuthとOIDCやりたいんですよね?え?SAML? まずはID連携のベーシックな部分に触れていきましょう。 プロトコルは混ざっちゃっていますが、順番としてはこんなのはどうでしょう。 OAuth 2.0のClientとしての機能を設計/実装す
Google Cloud Platform(以降 GCP) の認証認可については GCP と OAuth2 などの記事があるが、 Compute Metadata credential そのものの解説はあまり十分にされているとは言えないので、今回一つの記事で説明する。 Compute Metadata Credentials と聞いてもピンと来ない人向けに書くと、「Cloud Run や Cloud Functions などの GCP のプロダクトから GCP の API を呼ぶのにサービスアカウントキーが必要ないこと」の裏側がどのように動いているかの話について説明する記事である。 Compute Metadata Credentials とは Compute Metadata Credentials は Google Cloud Platform(以降 GCP) の標準の credent
この記事について 最近(5.4〜6.0)のSpring Securityでは、セキュリティ設定の書き方が大幅に変わりました。その背景と、新しい書き方を紹介します。 非推奨になったものは、将来的には削除される可能性もあるため、なるべく早く新しい書き方に移行することをおすすめします。(既に削除されたものもあります) この記事は、Spring Securityのアーキテクチャの理解(Filter Chain、 AuthenticationManager 、 AccessDecisionManager など)を前提としています。あまり詳しくない方は、まずopengl_8080さんのブログを読むことをおすすめします。 サンプルコード -> https://github.com/MasatoshiTada/spring-security-intro 忙しい人のためのまとめ @Configuration
で、1年ぐらい趣味と大学での研究を兼ねて色々開発した後、やっぱりこの分野はRubyよりNode.jsでやった方が良いなと思った
Passkey の動向 2023年ふりかえり - Money Forward Developers Blog
はじめに こんにちは、マネーフォワード ID 開発チームの @nov です。 2023年はマネーフォワード ID として本格的にパスキーのサポートを開始した年でした。 2023年4月にリリースしたマネーフォワード ID のパスキー実装ですが、2023年末の時点でマネーフォワード ID へのログインアクションの7%ほどがパスキーによるログインになっており、Google Sign-in や Sign in with Apple などを抜いてパスワードに次ぐ第二位の認証手段となっています。 この一年で、Money Forward Developers Blogにも、最初に Passkey Autofill に全面対応した実装でリリースに至った経緯や、定期的な利用状況レポートなどを挙げてきました。 Passkey autofillを利用したパスワードレスログイン導入で得たものと、得られなかったもの
HTML attributes to improve your users' two factor authentication experience
Products Communications Messaging Send and receive multichannel text and media messages in 180+ countries
Microsoftはこのほど、「Token tactics: How to prevent, detect, and respond to cloud token theft - Microsoft Security Blog」において、認証に用いられるトークンの盗難が急増していると伝えた。組織が多要素認証(MFA: Multi-Factor Authentication)の適用範囲を拡大するにつれ、サイバー攻撃者は企業のリソースを侵害できるよう、より洗練された手法に移行してきていると警告している。 Token tactics: How to prevent, detect, and respond to cloud token theft - Microsoft Security Blog サイバー攻撃の手口として、トークン盗難が増加していることがMicrosoft Detection
ヤフー株式会社は、2023年10月1日にLINEヤフー株式会社になりました。LINEヤフー株式会社の新しいブログはこちらです。LINEヤフー Tech Blog こんにちは。Yahoo! JAPAN研究所の大神 渉です。 パスワードの代わりに生体認証などを使うシンプルな認証技術「FIDO」の標準化活動に携わっています。 2020年6月4日に、FIDOアライアンスから私が著者として関わった「White Paper: Multiple Authenticators for Reducing Account-Recovery Needs for FIDO-Enabled Consumer Accounts」というホワイトペーパー(FIDOのベストプラクティスや標準技術の活用に関してFIDOアライアンスが発行する文書のこと)が発行されました。 本記事では、私の経験をもとにヤフーがパスワードレス認証
なお、オンラインなど非対面で携帯電話を契約する場合は、マイナンバーカードのICチップ読み取りによる本人確認に原則一本化する方針だ。 携帯電話契約時の本人確認を巡っては、身分証を偽造して携帯電話の所有者になりすまし、機種変更やSIMの紛失、MNPなどを理由に携帯電話のSIMカードを再発行することで、被害者のSIMカードを乗っ取ってしまう「SIMスワップ」「SIMハイジャック」が問題視されていた。東京都の都議会議員や大阪府八尾市の市議会議員も被害に遭っており、デジタル庁はICチップ読み取りによる本人確認を推奨していた。 関連記事 携帯契約の本人確認、“オンライン”はマイナカードのICチップ読み取りに一本化 対面もマイナカード“など”のIC読み取りが義務化 デジタル庁は、携帯電話契約時の本人確認について、オンラインなどの非対面の場合はマイナンバーカードのICチップを使った方法に原則一本化すると発
Google Authenticator(Google認証システム)がログイン情報のデバイス間同期に対応してバックアップがめちゃくちゃ簡単になったので同期手順をまとめてみた
ウェブアプリなどのセキュリティ向上のために「Google Authenticator(Google認証システム)」を用いてワンタイムパスワードを利用している人も多いはず。しかし、Google Authenticatorには長らくログインに必要な情報の同期機能が搭載されておらず、「デバイスを盗難されたり紛失されたりするとアカウントにログインできなくなる」という問題が存在していました。新たに、Google AuthenticatorがGoogleアカウントを介した同期に対応し、デバイスを紛失しても別デバイスからワンタイムパスワードを確認できるようになったので設定方法を確認してみました。 Google Online Security Blog: Google Authenticator now supports Google Account synchronization https://sec
Appleは、フィッシング攻撃の可能性のあるSMS経由で送信された2ファクタ認証コードの自動入力のブロックを開始し、SMSのメッセージの形式を変更しました。 フィッシングサイトでの自動入力をブロック Appleの2ファクタ認証コードの自動入力機能は、SMSで送られてくる認証コードを入力する手間が省ける便利な機能です。しかし、ユーザーが、攻撃者によって作成された偽サイトへのリンクをクリックすると、認証コードが自動で入力され、ユーザーがフィッシングの被害を受けてしまう可能性がありました。 Appleはこの問題に対処するため、偽サイトにおける自動入力をブロックするより安全な新しいフォーマットで認証コードをSMSで送信するよう企業に呼びかけています。 新しいフォーマットでは、Webサイトと2ファクタ認証コードを送信したドメインが一致した場合にのみ、認証コードの自動入力が行われるよう変更が加えられて
When you’re accessing services over the WEB – let’s pick GMail as an example – a couple of things have to happen upfront: The server you’re connecting to (GMail in our example) has to get to know who you are. Only after getting to know who you are it’s able to decide what resources you are allowed to access (e.g. your own email inbox, your Calendar, Drive etc.). Step 1 above is called authenticati
ALBで特定のpathのときだけCognito認証を通す構成をaws-cdkで作る - $shibayu36->blog;
管理画面の時だけ認証をかけたいみたいな要件はよくある。今回はその要件をALBで特定のpathの時だけCognito認証を通すという構成で実装してみたのでメモ。構成はaws-cdkを使った。 やりたいこと /admin/以下の場合はCognitoの認証をかけ、許可したユーザーしかアクセスできないようにする それ以外のパスではアプリケーションに認証なしで繋がるようにする 実装 aws-cdk 1.62.0を使って実装した。なお今回のコードは実際の実装をミニマムに変更しているので、動作確認はちゃんと出来ていない(たぶんそのままだと動かなそう)。雰囲気だけ感じてください。 import { IVpc, Port } from "@aws-cdk/aws-ec2"; import { Ec2Service } from "@aws-cdk/aws-ecs"; import { Application
Cloudflare Accessで明日から必要なオンプレとクラウドへのリモートアクセス環境をいますぐ構築する | DevelopersIO
ベルリンのしがひです。COVID-19渦はヨーロッパにも広がり、いくつかの自治体で地域封鎖などの緊急防疫が実施されています。 日本では通勤時の混雑と密集がハイリスクであること、また安倍首相が今週からの学校閉鎖を要請するという発表を行ったことで会社員の在宅勤務の必要性がますます高まり、Slack、Zoomといったリモートワークツールへ注目が集まっています。 しかしながらリモートワークはコミュニケーションに使用するツールのみで事足りるものではなく、業務システムやドキュメントへのアクセスが安全に確保されていることが必要で、実際のところ、全社員にこういったリモートアクセス環境を用意することへのハードルが高いのではないでしょうか。 今回はオンプレ、クラウドにあるシステムへのリモートアクセスを即興で構築する方法を実践します。差し迫ったリモートワーク対応のヒントになればと思います。 VPNを構築している
中央集権IDから分散IDに至るまで、歴史は繰り返す
前回の記事で見たように、現在の分散識別子(Decentralized Identifier、DID)の機能の多くを、あるいはDIDを超えるものを20年前に実現していたXRI(eXtensible Resource Identifier)であるが、一般的に使われるのにはあまりにも早すぎた。筆者が知っている実用事例としては、米軍関係のABACシステム*および野村総合研究所における研究開発システムくらいのものであった。 *ABAC(Attribute Based Access Control):属性ベースアクセス制御。役割ベースアクセス制御 (RBAC)を一般化したもので、米軍が開発した。2020年ごろからAmazon Web Services(AWS)など民生用でも少しずつ採用されるようになってきた。 「自己主権」「自主独立」を体現するOpenIDの思想 一方、XRIと並行して立ち上がったのが
iOS 15、2段階認証のコード自動生成機能が内蔵されました #WWDC212021.06.08 05:5013,383 塚本直樹 もうグーグルに頼らない。 今回は内容盛りだくさんなWWDC21でしたが、そこでは発表されなかった機能もあります。たとえば、iOS 15に内蔵された2段階認証機能です。 現在インターネットでは安全性を確保するために、パスワード以外の2段階認証の利用が盛んになっています。そしてiOS 15ではこの2段階認証のためのコードを生成する機能が内蔵されたのです。 機能の利用は設定アプリの「パスワード」から利用できます。また、一度設定すれば、サイトにサインインした際には自動で認証コードが入力されます。 これまで2段階認証のコードは「Google Authenticator」のようなサードアプリを利用するのが一般的でしたが、iOS 15ならそのようなアプリをダウンロードしなく
OSC大阪 パスワード認証は人類には早すぎる ~ IDaaSを使ったソーシャルログインのすすめ ~
2023/01/28 オープンソースカンファレンス大阪で発表したスライドです。 目次 1部 パスワード認証の課題 2部 ソーシャルログインのすすめ 3部 IDaaSのすすめ
よくあるフローってのは Google の API ドキュメントを読んでたらよくでてくるやつ(Calendar API の例)。つまり: 前回のアクセストークンが保存されていたらそれを使い、なかったら localhost にサーバを立て、redirect_uri をそこに設定した認可のための URL をユーザに提示し、 code を受け取ったらアクセストークンと交換し、 トークンを保存する。 みたいな一連の流れ。これまでどの部分を抽象化したらいいのかあまり感覚がわからなくて手を出してなかったんだけど、いいかげん面倒なので書いてみた次第。 oauth2util package - github.com/motemen/go-nuts/oauth2util - pkg.go.dev 使い方は簡単で import "github.com/motemen/go-nuts/oauth2util" ..
Help users change passwords easily by adding a well-known URL for changing passwords Stay organized with collections Save and categorize content based on your preferences. Set a redirect from /.well-known/change-password to the change password page of your website. This will enable password managers to navigate your users directly to that page. Introduction As you may know, passwords are not the b
GitHub Actions から AWS や GCP などのクラウドリソースを操作するときは、 OIDC を使用することが主流だと思いますが、手順に沿って設定はできるもの仕組みがよく分かっていない方も多いと思います。 この問題は厄介で、様々な"分からない"が絡まりあって生まれている問題だと思います。 例えば、 どんな仕組み・流れでAWS・GCPを操作できるようになっているのか分からない(私) そもそもなぜOIDCを設定すると嬉しいのか分からない(私) 色々な設定をしたけど何をしているのか分からない(私) などが挙げられると思います。 これらを解消し、OIDCを利用したGitHub ActionsとGCPの連携の流れ・仕組みを探求するのがこの記事の目的です。 ※Google CloudのことはGCPと書きます。 ※記事で触れないこと GitHub Actions - Google Clou
Twitter社は2023年2月18日未明、二要素認証(二段階認証)のSMS認証を、Twitter Blue(有料プラン契約者)に限定する方針を打ち出しました。 SMS認証に代わる、TOTP認証を設定する方法について解説します。 そもそも、なぜ移行する必要があるの? 2023年3月19日までに移行を Twitterにアクセスできなくなることを防ぐため、非契約者のSMS認証は2023年3月19日までに削除することを求めています。 認証アプリやセキュリティキーといった従来方式の二要素認証は利用できるため、TOTP認証に移行しましょう SMS認証よりTOTP認証の方が安全 そもそも、なぜそんなの移行しなきゃいけないの?と疑問に感じるユーザーも居ると思います。 TOTP(Time-base One Time Password)認証とは、30秒や1分程度で切り替わるアプリ上の数字(ワンタイムパスワー
EKSでの認証認可 〜aws-iam-authenticatorとIRSAのしくみ〜 - もうずっといなかぐらし
こちらはAmazon EKS #1 Advent Calendar 2019 7日目の記事です。 EKSでIAM RoleをUserAccountに紐付けたり、ServiceAccountをIAM Roleに紐付けたりする際、AWSのドキュメントに従って設定してはいるものの、その設定によって実際にどんな処理が行われているかを具体的に知らない方も多いのではないでしょうか?(私も今回の記事のために調べるまではそうでした。) そこで今回の記事では、Kubernetesの認証認可の仕組みを解説したあと、AWSのIAMの認証情報をKubernetes内のUserAccountに紐付けるaws-iam-authenticatorの動作の仕組みとKubernetesのService AccountにIAM Roleを紐づける仕組みについて設定方法のレベルから一段掘り下げて実際の動作に焦点を当てながら説明
Okta's source code stolen after GitHub repositories hacked
Okta, a leading provider of authentication services and Identity and Access Management (IAM) solutions, says that its private GitHub repositories were hacked this month. According to a 'confidential' email notification sent by Okta and seen by BleepingComputer, the security incident involves threat actors stealing Okta's source code. Source code stolen, customer data not impacted BleepingComputer
React + Typescript プロジェクトに Redux Toolkit を導入したので使い方をざっくりとまとめてみる | DevelopersIO
React + Typescript プロジェクトに Redux Toolkit を導入したので使い方をざっくりとまとめてみる Redux を導入する際にネックとなるのが、State、Action、Selector、Reducer というそこそこの量のボイラープレートコードを記述しなければならないことです。可読性を考慮してそれぞれファイルを分けて記述するとフォルダ構成も考えないといけないので導入するハードルがそこそこ高いと個人的に感じていました。 今回 Redux Toolkit という Redux のヘルパーライブラリを使ってみて上記の悩みが解消されたので使い方をまとめてみました。 English Version of this article is also available : How to use Redux Toolkit for React + Typescript proj
2023年新卒入社。日々学びながらSMXの運用をしています。バーチャルカルチャーとインターネット音楽沼の住民。 はじめに はじめまして。IIJにてメールサービスの運用をしている芹澤です。 開発のYASがSendmailでのMTA間SMTP認証を試してみたとのことで、自分はPostfixを用いたMTA間のSMTP認証を試してみたいと思います。 SMTP認証とはSMTPの拡張であり、MTAに接続したユーザが正規なものであることを認証するだけでなく、MTAに接続したMTAが正規なものであることを認証するためにも用いられています。イメージとしては下図のとおりです。個人で建てたメールサーバからプロバイダのメールサーバを経由してメールを送信する際に、プロバイダのメールサーバに対してSMTP認証を行うことで、正しいMTAであることを証明することができます。 PostfixはSendmailの後発として開
今度は「WebOTP」についてFrontend Weekly LT(社内勉強会)でお話しました - BASEプロダクトチームブログ
はじめましての人ははじめまして、こんにちは!フロントエンドエンジニアのがっちゃん( @gatchan0807 )です。 今回は社内勉強会 Frontend Weekly LT にて、WebOTP / OTPの概要と使い方について発表をしたので、その内容を皆さまにも共有できればと思って記事にしました。 (以前、同じように社内勉強会での発表内容が記事化された 「Frontend Weekly LT(社内勉強会)で「Vite」について LT しました」の記事もぜひどうぞ) 元々、BASEのどこかに使えないかなぁと思って個人的に調べていた内容を社内共有用にまとめたものなので一部 web.dev の記事をなぞっただけの部分もあるのですが、その内容と共にBASEでのOTPの使い方やWebOTPの利用状況についてのシェアしていければと思います。 イントロ Chrome 93から新機能が追加され、Andr
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Google、2段階認証のログインがより簡単に
図解 DPoP (OAuth アクセストークンのセキュリティ向上策の一つ) - Qiita
請求管理ロボにAuth0を導入しました - ROBOT PAYMENT TECH-BLOG
ID周りをやりたいエンジニアにすすめたい学習ステップ(2) : 複数アプリケーションが絡むID管理
GCP の Compute Metadata Credentials について
Spring Security 5.4〜6.0でセキュリティ設定の書き方が大幅に変わる件 - Qiita
websocket-client-simpleをruby-jpに移管した - 橋本商会
https://jp.techcrunch.com/2021/07/27/2021-07-26-court-orders-us-capitol-rioter-to-unlock-his-laptop-with-his-face/
多要素認証(MFA)を回避するサイバー攻撃が流行、Microsoftが警告
パスワードのないログインを目指して 〜 ヤフーのFIDO標準化活動
携帯契約時の本人確認、対面なら免許証や在留カードもOK デジタル庁が明言 マイナカード以外のICも対応
Apple、2ファクタ認証機能でフィッシング攻撃のSMS自動入力をブロック - iPhone Mania
How does Google Authenticator work? (Part 1)
The beginning of the end of the password
iOS 15、2段階認証のコード自動生成機能が内蔵されました #WWDC21
OAuth2 のよくあるフローを何回も書きたくない #Go - 詩と創作・思索のひろば
Help users change passwords easily by adding a well-known URL for changing passwords | Articles | web.dev
GitHub ActionsとGoogle CloudのOIDCの仕組みを理解する
Twitterの二段階認証に「TOTP認証(モバイル認証アプリ)」を設定する方法。 - すまほん!!
PostfixでMTA間のSMTP認証をしてみた | IIJ Engineers Blog
www.dailyshincho.jp
www.wakakoukai.or.jp
ameblo.jp/prettycurer
prtimes.jp
puchitori.com
search.app