元資料が素晴らしいためまとめる必要など全くないのですが、自己の整理のため、箇条書きにて書き起こししているものです Elixirのメリット なぜ流行らないのか? 伝えたいこと 難しいのであれば学ぶことを取捨選択して学習コストを下げる EVMの並行処理について 巷の良い話 巷の悪い話 EVM=OSと似たプロセスの仕組みを持つ プロセスとは どういうことか メリット ネットワーク上の一意な住所を持つとは? 速さはおまけ Elixirの関数型について 巷の良い話 巷の悪い話 Elixirは純粋な関数型ではない 純粋だと言われる条件 オススメの学習方法 プログラミングElixirを読む前に 活用の鍵 Elixirのリスト ※糖衣構文:プログラミング言語において、読み書きのしやすさのために導入される書き方であり、複雑でわかりにくい書き方と全く同じ意味になるものを、よりシンプルでわかりやすい書き方で書く
SMS OTP form best practices Stay organized with collections Save and categorize content based on your preferences. Asking a user to provide the OTP (one time password) delivered via SMS is a common way to confirm a user's phone number. There are a few use cases for SMS OTP: Two-factor authentication. In addition to username and password, SMS OTP can be used as a strong signal that the account is o
生まれては消えるeスポーツ・LOL関連番組の歴史と新番組「QWER」を見ての感想、そして今後の個人的希望|山岡
生まれては消えるeスポーツ・LOL関連番組の歴史と新番組「QWER」を見ての感想、そして今後の個人的希望 何度目かのeスポーツ元年を経て、2019-20でやっと定着した感のある「eスポーツ」。日本では90年代の「スト2」「バーチャ」ブームがあったり、世界チャンプがそこらへんにゴロゴロいたりでメディアなどでも「格ゲー」がまず第一に取り上げられることが多い。「eスポーツとは、最高数億円の~」という前口上でDOTA2を背景で一瞬映したあとに格ゲーを映すのはある種の様式美にすらなりつつある。ちなみに格ゲーの最高峰カプコンカップ賞金は25万ドルくらいです。んんん印象操作ぁ!!(左手をへそくらいの高さで前に出し掌を上に向け、顔をしかめ手を震わせながら)。 「世界じゃ格ゲーはTier3、数年で日本のメディアからも消えるよ」的なこと言ってた某シューター系(FPS/TPS)プロゲーミングチームの代表が、その
2023年のプロダクトセキュリティを振り返る【各業界の開発・セキュリティエンジニア13人に聞く(前編)】 - #FlattSecurityMagazine
プロダクト開発・運用の現場では2023年のセキュリティ関連のトピックをどう受け止めているのか、また、今後のセキュア開発に関する潮流をどう予測しているのか。様々な業界で活躍する開発エンジニア・セキュリティエンジニアの方々13人に見解を伺いました。 今回は、「2023年のプロダクトセキュリティを振り返る」というテーマでお届けします! <13人の方々による「2024年セキュリティトレンド予想」> flatt.tech 今回コメントをいただいた方々 CADDi CTO 小橋昭文さん サイボウズ Cy-PSIRT Finatextホールディングス 取締役CTO/CISO 田島悟史さん Google 小勝純さん グラファー 森田浩平さん IssueHunt 取締役 CTO Junyoung Choiさん カンム 金澤康道さん メルカリ IDP team kokukumaさん メルカリ Product
Google、パスワードに代わる認証方式「パスキー」のアップデートを発表 「4億以上のGoogleアカウントがパスキーで保護」
Googleは2024年5月2日(米国時間)、パスワードに代わる認証方式「パスキー」のアップデートとクロスアカウント保護機能プログラムの拡大を発表した。 Googleによると、2022年5月5日の世界パスワードデーにパスキーを発表して以来、4億を超えるGoogleアカウントで、10億回以上のユーザー認証にパスキーが使用されてきたという。 「パスキーは使いやすく、フィッシングに強く、指紋、顔スキャン、PINのみで認証できるため、パスワードよりも50%高速だ。現在のGoogleアカウント認証には、パスキーが日常的に使用されている。利用数は、SMSワンタイムパスワード(OTP)やアプリケーションベースのOTP(「Google Authenticator」など)といった従来の2SV(2段階認証)の合計よりも多い」とGoogleは述べている。 Googleの発表内容は以下の通り。 クロスアカウント保
世界113カ国のAndroidデバイスを標的としたサイバー攻撃の実態が明らかになりました。このサイバー攻撃では、Telegramボットを駆使してAndroidデバイスをマルウェアに感染させ、ユーザーがオンラインアカウントで利用しているワンタイムパスワードを盗み出していることが明らかになっています。 Unmasking the SMS Stealer: Targeting Several Countries with Deceptive Apps - Zimperium https://www.zimperium.com/blog/unmasking-the-sms-stealer-targeting-several-countries-with-deceptive-apps/ Massive SMS stealer campaign infects Android devices in 1
おはようございます 自称パスキー👮♂です。 様々なサービスでパスキー対応が進む中で、今回は特定機能の保護を目的とした導入とユーザーへの影響について取り上げます。 きっかけ ここ最近、🚔パスキーに関するパトロール🚔をしている中で、メルカリのパスキー導入についてこんなTweetを見つけました。 まずは1つ目です。 機種変更をしたら、メルカリのビットコインで取り引きできなくなってしまった。 ヘルプとかみて、認証情報を追加するとよさげなことが書いてあったので、試して見たけど、パスキーがないといわれて、登録することができない。つんだ。 事務局に問い合わせ中。#メルカリ #ビットコイン #パスキー pic.twitter.com/NoEKo8Hn5l— よっしー🖊 (@GateYossi) 2023年6月26日 新しいパスキーを追加しようと思ったがパスキーがない。 事務局で認証情報をクリアし
ritouです。 前回は、パスキーやパスワードマネージャーを使う時の認証要素について触れました。 今回は、 同じ要素の認証を重ねる意味 同一端末やパスワードマネージャーだけで完結するMFA あるアカウントに紐づけられて同期されるクレデンシャル管理 についての 基本的な整理 をします。 前回に続き、書いていることは無難な内容だと思います。 (長いので先に)まとめ 単一要素を重ねる意味について、要素の種類によっては有効な場合もある SYK を重ねるケースは決済などでまだ見られるが今後は淘汰されていくのでは? SYH の場合、管理デバイスを分離することで安全性を上げられる。ただし手間は増えるしフィッシング耐性は別途考慮する必要あり。 SYA を重ねる=単一SYAの精度を上げるのと同じ扱いになりそう(顔だけ、指紋だけ -> 顔 + 指紋など) 同一端末やパスワードマネージャー内で完結するMFAやプ
まとめ Erlang/OTP の分散機能利用時のサーバー間通信はデフォルトでは暗号化されていない Erlang/OTP が提供する分散機能の暗号化は TLS を利用する Tailscale で P2P VPN をサーバー間で張って Erlang/OTP の分散機能オススメ Erlang 分散機能 時雨堂で開発しているミドルウェアソフトウェアは Erlang/OTP (以下 Erlang) を利用しています。 Erlang は分散機能が入っています。分散機能を簡単に説明すると、他のサーバーにある Erlang とやりとりができる仕組みです。 このときにサーバ間を利用する際に、暗号化が必要になりますが、Erlang が標準で提供為てる機能はサーバー間通信を TLS にする方法がありますが、Erlang に TLS 処理させるのは CPU も食べるしお勧めはできません。 Erlang -- Us
GitHub - ory/kratos: Next-gen identity server replacing your Auth0, Okta, Firebase with hardened security and PassKeys, SMS, OIDC, Social Sign In, MFA, FIDO, TOTP and OTP, WebAuthn, passwordless and much more. Golang, headless, API-first. Available as a w
The Ory Network is the fastest, most secure and worry-free way to use Ory's Services. Ory Identities is powered by the Ory Kratos open source identity server, and it's fully API-compatible. The Ory Network provides the infrastructure for modern end-to-end security: Identity & credential management scaling to billions of users and devices Registration, Login and Account management flows for passkey
Welcome to Wildebeest: the Fediverse on Cloudflare02/08/2023 This post is also available in 简体中文 and 繁體中文. The Fediverse has been a hot topic of discussion lately, with thousands, if not millions, of new users creating accounts on platforms like Mastodon to either move entirely to "the other side" or experiment and learn about this new social network. Today we're introducing Wildebeest, an open-so
公星くろは🐹🙌折紙講師Vtuber @kinboshikuroha 苗字の読みは「きんぼし」です 🐹 史上初、そして唯一の折紙講師Vtuber 🐹 日本折紙協会公認の折紙講師 🐹 クロハラハムスターの女の子 🐹 折り紙歴23年 🐹 お母さん(絵師さん):@la_C41 🍨 お父さん(モデリング師さん):@hashi_doko 🦉 APEX ランパートOTP 🔧 https://t.co/ONFujFDwKR
ビジネスソフトウェア構築プラットフォームを提供する Retool がスピア型のフィッシング攻撃を受けたのだが、Google Authenticator によりその被害が大きくなったそうだ (Retool のブログ記事、 Ars Technica の記事、 Bleeping Computer の記事)。 複数の Retool 従業員は 8 月 27 日、ユーザーアカウントの問題で健康保険関連の登録が妨げられているといった内容のフィッシング SMS を受信する。社内ログインシステムの Okta への変更が告知された直後であり、社内ポータルに似せた偽の URL が添付されていたそうだ。一人だけ騙された従業員が多要素認証 (MFA) フォームを含む偽ポータルにログインすると、ディープフェイクボイスで社員になりすました偽の IT スタッフから電話がかかってくる。話をする間に従業員は疑いを深めていった
Chrome 93で実装されたCross Device WebOTPフローを試してみた - r-weblife
おはようございます ritou です。 8月ですよ。お仕事の進捗大丈夫ですか? 最近、Google方面からDecoupled AuthNの香りがしたので追ってみました。 何の話? この話です。 developer.chrome.com WebOTPとは? Webアプリケーションがモバイル端末でSMS経由のOTP認証をしようと思った時、画面に「認証コードを送信しました」なんて出た後にSMSを確認できるアプリを起動して確認してまたブラウザに...とかをやったことがある人は多いでしょう。 WebOTPとは、モバイル端末上のブラウザであればアプリの切り替えをせずにワンタップでSMSで受け取ったOTPの値を読み込んで検証リクエストに繋げられる、しかもSMSを発信したWebアプリを特定できるフォーマットになっていることでフィッシングサイトからはこのフローを使えなくするような仕組みのことです。 web.
お客様のアカウントからの異常なアクティビティが見つかりました。とAmazonを偽る架空請求業者から届いた迷惑メールに登録しました
迷惑メールの設定をしていますが相変わらず毎日のように架空請求業者から詐欺メールがたくさん届きウンザリしています。 今回はAmazon(アマゾン)を名乗る架空請求業者から お客様のアカウントからの異常なアクティビティが見つかりました。 という詐欺メールが来たので、実際にメールが来た時の対処方法とフィッシングサイトに登録するとどうなるのか?実験してみました。 この実験は十分なウイルス対策をしてWindowsやLinux上でVMwareと言う仮想ドライブで別のOSを動かしてステアカウントを使い実験をしています。 Amazon(アマゾン)を名乗る迷惑メールの内容こちらが迷惑Amazon(アマゾン)を名乗る架空請求業者から届いた迷惑メールの内容です。 件名:お客様のアカウントからの異常なアクティビティが見つかりました From:no-reply@accounts.google.com 発信元:mie
When MFA isn't actually MFA
On August 29, 2023, Retool notified 27 cloud customers that there had been unauthorized access to their accounts. If you’re reading this and you were not notified, don’t worry – your account was not impacted. There was no access to on-prem or managed accounts. Nevertheless, here’s what happened, with the hope that this will help apply the lessons we’ve learned and prevent more attacks across the i
こんにちは。サーバーサイドエンジニアの伊藤です。 この記事は Enigmo Advent Calendar 2020 の 5 日目の記事です。 さっそくですが、みなさん 2 段階認証(2FA) のワンタイムパスワードの発行には何を利用していますか? 私は普段 Authy という 2 段階認証アプリを利用しています。ただ、AWS をコマンドラインから操作する時などわざわざターミナルからアプリに移動してワンタイムパスワードをコピーして貼り付けるのが面倒だと思うことがありました。 ということで、OATHTOOL と peco を利用して CLI からワンタイムパスワード(TOTP)を取得するラッパーコマンドを作成しました。 今回は折角なので 2 段階認証(2FA) についてと 2 段階認証アプリで利用されるワンタイムパスワード(TOTP) についても調査したのでまとめました。 最後に作成したラッ
Mercari, Inc. offers C2C marketplace services as well as online and mobile payment solutions. Users can sell items on the marketplace, and make purchases in physical stores. Mercari is actively working on preventing phishing attacks. This is the driving force behind the adoption of passkey authentication. To enhance phishing resistance, several factors need to be considered, leading to the introdu
こんにちは。チャージ式プリペイドカードと家計簿アプリがセットになったサービス、B/43のサーバサイド開発をしている@ohbaryeです。 はじめに 唐突な問ですが、読者諸兄はECサイトでカード決済を行う際に本人認証を求められたことはあるでしょうか?弊社のようなカード会社のブログを読まれる方であれば人生で一度は経験しているのではないかと推察します。 この仕組みは3Dセキュアと呼ばれる本人認証サービスで、カードの盗用やなりすましなどの不正利用の防止を目的としてつくられたものです。近年では不正利用防止だけでなく消費者の利便性向上に寄与するシーンも増え*1、B/43にも多くのユーザーさんから3Dセキュア対応の要望がありました。B/43はその要望にお応えして2022年の6月に3Dセキュアに対応したカードをリリースしました。 本記事では筆者が3Dセキュアの開発・運用を通じて学んだ、3Dセキュアの仕組み
▲これはあくまで例であり、リージョンや使用量によって変わることに注意してください マストドンインスタンス作成の事前準備 基本的には用意された CloudFormation テンプレートをデプロイするだけなのですが、先行して行っておく準備があります。 ドメインの確保 ローカルの Docker 実行環境によるシークレットキー等の生成 SES のサンドボックスからの移動 ドメインの確保 ここで決めたドメイン名でマストドンに接続することになります。 今回わたしは Freenom というサイトでchibayuki.tkというドメインを取得しておきました。詳細な手順は以下エントリが参考になります。 ローカルの Docker 実行環境によるシークレットキー等の生成 Docker コンテナをローカルで実行しシークレットキーやキーを生成しておきます。これが CloudFormation スタック作成時にパラ
フィッシング対策観点でメールでリンクが送られない世界を目指すために我々は何ができるか - r-weblife
ritou です 急に寒くなりましたね。 この記事は何の話か 最近のメール経由のフィッシングの話で、 その辺のユーザーにとって、メールの送信元が正規のものかどうかの確認は容易ではない さらに、メール本文に含まれるURLの確認が容易ではない という現状があります。 前者がうまいこと解決されると一番良いんでしょうけれども、そうもいかないのでしょう? 後者のところでよく「メールに含まれる怪しいリンクをクリックしないでください」と言うのがあります。 そもそも怪しいかどうかがわからないからクリックするわけなので、「怪しい」部分を説明するのも大事なことですが、細けーことは一般ピーポーには無理なので、「メールに含まれるリンクをクリックしないでください」まで振り切る方がいい気がしてます。 しかし、これはこれで サービスはユーザーとのコミュニケーションツールとしてリンクを送る(クリックして欲しい) ユーザー
地銀数行の口座からドコモ口座へ不正送金被害が発生した件、まだ広がりを見せていますが、単純な事件要因ではなさそうなので、少し調べてみました。 mainichi.jp NTTドコモの電子マネー決済サービス「ドコモ口座」を利用し、地方銀行口座から不正に預金を引き出される被害が相次いでいる。各行はそれぞれの口座とドコモ口座を連携させるための新規登録を停止。被害件数や被害総額は調査中だが、今後拡大する可能性もある。 8日までに被害が確認されたのは、七十七銀行(仙台市)、中国銀行(岡山市)、東邦銀行(福島市)、滋賀銀行(大津市)、鳥取銀行(鳥取市)の5行。このほか、大垣共立銀行(岐阜県大垣市)でも不正の疑いのある取引があった。 ドコモ口座は、開設時に登録した銀行口座から入金することで、ウェブ上で買い物や送金などができる。ドコモの顧客ID「dアカウント」と、銀行口座の情報があれば簡単に作れるため利用者は
ミトコンドリアMLMボディプロの報酬プランは初心者向き? - 田舎暮らしでも在宅ネットワークビジネスで大成功〜MLMはインターネット集客時代〜
ボディストロングにはクルクミン、マカ、植物由来のシリカなどが含まれているサプリメントです。 主要成分に期待される効果は以下のとおりです。 クルクミン 最適な健康をサポートする強力な抗酸化物 マカ 体力、持久力、エネルギーをサポート シリカ 健康的な肌、爪、髪の維持 1日1包が摂取目安となっており、24包入り1箱で価格が60ドルとなっています。 Bodē HAPPY(ボディ ハッピー) ボディハッピーは強力な向知性があり、精神的明瞭さ、生産性、集中力、覚醒、気分向上、認知機能の改善をサポートします。 主要成分に期待される効果は以下のとおりです。 6つの主要ビタミン 抗酸化ビタミンA, C, D3, E- 健康維持と精神の安定 L-テアニン 精神的な注意力と集中力をサポート L-アラニン 身体的持久力をサポート 天然カフェイン エネルギーレベルの向上 サフラン 気分を和らげリラクゼーションをサ
Adrian Kingsley-Hughes (Special to ZDNET.com) 翻訳校正: 編集部 2024-05-03 10:27 5月の第1木曜日は世界パスワードデーだが、Googleは、パスワードの時代が終わりつつあることを知ってほしいようだ。 パスキーは、オンラインサービスやアプリに登録される公開鍵と、スマートフォンやコンピューターのようなデバイスに保存されている秘密鍵という2つの暗号鍵で構成される。難しく聞こえるかもしれないが、パスキーは、使いやすさを念頭に設計されている。事実、パスキーを使ってのログインには、スマートフォンのロック解除と同様に顔や指紋、暗証番号を使用する。 Googleのセキュリティエンジニアリング担当バイスプレジデントであるHeather Adkin氏は米国時間5月2日、同社がパスキーの提供を2022年の世界パスワードデーに開始して以来、4億以上の
aws コマンドなど CLI でも簡単かつセキュアに AssumeRole したいですね。 今回は moznion/sesstok と 1password を利用して CLI から AssumeRole する方法をまとめます。 - nao blog
はじめに 先日、AWS Organizations を利用して AssumeRole できる環境を構築するという記事の中で AWS コンソールから AssumeRole する環境構築の方法をまとめました。 aws コマンドなど CLI でも簡単かつセキュアに AssumeRole したいですね。 今回は moznion/sesstok と 1password を利用して CLI から AssumeRole する方法をまとめます。 moznion.hatenadiary.com sesstok sesstok は MFA に対応した AWS の一時トークンを取得することのできる Go で書かれた CLI ツールです。 読み方は某ショートムービーSNS的な感じですかね。 一定時間で失効する一時トークンを都度発行して Organizations から AssumeRole するので、Organi
はじめに このページは、プロトアウトスタジオのAPIにつなげる授業に関連して、よりAPIの多様さ、広がりを深掘りします。 まだ、JavaScriptに慣れていなくても「なるべくシンプルにAPIを体験する」ことを目指して、 public-apis というフリーで使えるAPIを集めてリストにしているサイトから、手順が少なくAPIにつなげられるシンプルに取得できるものを中心に、直接取得できるURL・Node.js axios await/async ソースコードを一つ一つトライしています。 慣れてきたら、自分で public-apis のサイトを直接読んでみて、巡ってみましょう! APIピックアップ数 最終更新日 2020/6/8 104 個のAPIをピックアップ中! 参考資料 public-apis の豊富なAPIリストをベースにAPIつなげていきます。 ピックアップルール 手順が少なくAPI
ウクライナ政府機関を狙う破壊的なマルウェアをMicrosoftが特定、ランサムウェアのような見た目で身代金回収メカニズムなし
ウクライナ政府の関連機関を集中的に狙って破壊的な工作を行うマルウェア操作の証拠を、Microsoft脅威インテリジェンスセンター(MSTIC)がつかみました。MSTICが「DEV-0586」と名付けたこの攻撃は、PC内のファイルを暗号化して人質に取り、復号用キーと引き換えに身代金を要求するランサムウェアのような動きを偽装しつつ、実際には身代金を回収するメカニズムが搭載されておらず、デバイスを動作不能にすることを目的としているとのことです。 Malware attacks targeting Ukraine government - Microsoft On the Issues https://blogs.microsoft.com/on-the-issues/2022/01/15/mstic-malware-cyberattacks-ukraine-government/ Destruc
本記事は Digital Identity技術勉強会 #iddance Advent Calendar 2022 の11日目の記事です。 最近いろいろ盛り上がってきているパスキーについて、実際にサービスに導入するときに気になりそうなポイントをまとめてみようと思います。 あくまでパスキー調べてる個人の意見です!それはちがくね?みたいなのあったら、コメントください 背景 既存の状況・問題点 今までのFIDO認証は、基本的にCredentialはAuthenticatorの外にはでない、Single-Device Credentialと呼ばれるものでした。そのため、セキュアではあるものの、Authenticatorを紛失した場合のリカバリが難しく、サービスの利用にあたってFIDO認証の利用を必須化することは難しい状態でした。 特にコンシューマー領域では、「Authenticatorを複数台持って
昨今、ドコモ口座サービスを不正に利用した銀行預金の不正引き出しが話題になっているので調べた事をメモ。 TL;DR ・一部銀行でのWeb口座振替サービスでの本人認証が不十分。 (口座番号+暗証番号+生年月日の組み合わせで口座振替サービスに登録可) 大手銀行のWeb口座振替サービスの認証方法について いずれの銀行もインターネットバンキング(IB)のID・パスワード・OTP(ワンタイムパスワード)を用いたログインに対応していますが、IBの利用開始手続きを行っていない場合の認証方法は下記の通りになります。 銀行名 認証方法 備考 三菱UFJ銀行 口座番号+暗証番号+生年月日+OTP 公式ページ OTP未発行の場合手続き不可。 みずほ銀行 口座番号+暗証番号+生年月日 +口座の残高 公式ページ 三井住友銀行 口座番号+暗証番号+OTP 公式ページ OTP未発行の場合手続き不可。 一部取引を除きSMB
ドコモ口座の問題に対するドコモの会見はクソだったけど次は銀行の番じゃないですかね? - novtanの日常
僕の最近のトレンドは「フロント側の企業を信用するな」ですね。ヤのつく人たちの話ではないですよ(似たようなもんな気がしなくもない)。 今までのシステムが信頼ベースで成り立っていたのは、なんだかんだ言ってその信頼を担保するための手段(あっち側での確認であったり、ちゃんとわかってて偽造したとかじゃない限り手間に見合ったリターンがない印影だったり、そもそも手続きに時間がかかること自体がセキュリティーだったり)があってこそなんですよね。だから、「システムで接続する」場合に責任を取れる自社内でのことであればともかく、相手先のシステムが脆弱であった場合に起きる問題はすべてリスクとして捉えて対応をしなければならない。 だから、Web口振受付の「本人認証」の問題はあまりにも甘すぎる、というのが妥当な評価だと思いますね。事情があってこれしかできない?じゃあやるな(断罪する音)。 もう一度、本人確認 犯罪収益移
1Password CLIでバイオメトリクス認証(Touch ID)を使ってAWSのワンタイムパスワードを取得する | DevelopersIO
こんにちは、CX事業本部 IoT事業部の若槻です。 今日見かけたこちらのエントリを読んですごく便利そうだったので、MacのTouch ID認証による1Password CLIでのAWSのワンタイムパスワード(OTP)取得を自分自身でも試してみました。 1PasswordのCLIフロントエンド opでTouchID 認証が可能になりました | DevelopersIO 前提 Touch IDが利用可能なMacBookを使用します。 $ sw_vers ProductName: macOS ProductVersion: 11.6 BuildVersion: 20G165 AWSのMFAデバイスのOTPはすでに設定済みです。 1Passwordには、AWSダッシュボードへのサインインでMFAコード含む情報が自動入力できるアイテムを登録済みです。 セットアップ 1Password CLIのインス
キーウの電撃訪問後、列車内でサリバン米大統領補佐官(左)と机に向かうバイデン氏/Evan Vucci/AFP/Getty Images (CNN) ウクライナ鉄道のトップは22日までに、バイデン米大統領が20日にウクライナを訪問した影響で定時運行率が90%に下がったことを明らかにし、冗談交じりに謝罪した。 トップのオレクサンドル・カミシン氏はツイッターで、バイデン氏が長時間の旅に使った列車を「レールフォースワン(大統領専用鉄道)」と名付け、「歴史的な瞬間」になったと振り返った。 「どうしてこうなったのか実は覚えていないが、プーチン(ロシア大統領)の想定では『キーウを3日で奪取する』はずだったのに、侵攻362日目のキーウでバイデン大統領が我が国のゼレンスキー大統領と並んで歩いている」 「だから、ウクライナ鉄道が今回の訪問に対応できたのは名誉であり、光栄なことだった。複雑な仕事だったと言わねば
煽り運転のBMW、3日間の約束で貸りた代車だった 20日間返却せず事件翌日代理人が返却 1 名前:パルサー(東京都) [CN]:2019/08/15(木) 14:58:58.52 ID:3Yu1e34e0 高速道路で男があおり運転の末、相手の男性を殴った事件で、男は代車として借りた車を返却せず、ディーラーとトラブルになっていたことがわかった。 この事件は、茨城県の常磐自動車道で8月10日、男性が車を運転中に外国製の高級SUVにあおられたうえ、運転手の男に5発殴られたもの。 関係者によると、男は、7月21日に神奈川県内のディーラーで自分の車の修理にともなう代車として、 このSUVを3日間借りた。 しかし、男は「この車が気に入った。購入を検討している」などと言って、およそ20日間にわたって返却せず、事件の翌日になって代理人が返しに来たという。 車が貸し出された2日後の7月23日には、静岡県と愛
MITMフィッシングによる2要素認証の回避 Nov 9, 2020 国内のオンラインサービスになりすまして正規の2要素認証を回避するフィッシングサイトが確認されている¹。このようなフィッシングサイトは被害者と正規サイトの間に介入し、被害者によって入力された認証情報やワンタイムパスワード(OTP)を即時に正規サイトへ入力することで認証を回避する。MITM(Man-in-the-middle)フィッシングと呼ばれるこの手法を理解するため、フィッシングフレームワーク「Evilginx2」を使用して2要素認証の回避を検証した。 MITMフィッシングの仕組み OTPによる2要素認証はパスワード認証の補強手段として活用されているが、パスワードと同様にOTPも被害者によってフィッシングサイトに入力されてしまえば攻撃者の手に渡る。つまり、攻撃者は被害者と正規サイトの間に介入し、被害者になりすまして正規の認
κeenです。最近Yubikeyを買ったので色々試しています。今回はそのうちのPGP回です。 Yubikeyについて Yubikeyは米瑞企業のYubico社が販売している認証デバイスです。FIDOやらWebAuthnやらの文脈で耳にした方も多いんじゃないしょうか。Yubikeyは日本ではソフト技研社が販売代理店をしています。 Yubikeyはラインナップがいくつかありますが私が買ったのはYubikey 5 NFCです。 Yubikeyでできることは色々あります。 FIDO U2F FIDO/WebAuthn Challenge and Response OATH-TOTP / OATH-HOTP Yubico OTP PIV OpenPGP 静的パスワード 参考:Yubikey 5をArchLinuxで使う - Qiita このうち今回はOpenPGPサポートの機能を使います。 Open
GitHub - zitadel/zitadel: ZITADEL - Identity infrastructure, simplified for you.
Are you searching for a user management tool that is quickly set up like Auth0 and open source like Keycloak? Do you have a project that requires multi-tenant user management with self-service for your customers? Look no further — ZITADEL is the identity infrastructure, simplified for you. We provide you with a wide range of out-of-the-box features to accelerate your project, including: ✅ Multi-te
大変お待たせいたしました。 8月5日(月)15時より、新バージョン「帰ってきたニコニコ」として、「ニコニコ」サービスを再開いたしました。 バージョン名の詳細などについては下記お知らせをご確認ください。 8/5ニコニコサービスの再開と新バージョン「帰ってきたニコニコ」のお知らせ いつもニコニコをご利用いただきありがとうございます。 2024年7月26日(金)にこちらの記事でご案内しておりましたとおり、8月5日(月)15時頃よりニコニコ動画・ニコニコ生放送をはじめとする「ニコニコ」サービスを再開いたします。 サービス再開時に「ニコニコ」は新バージョンとなり、臨時サービスとして提供している「ニコニコ動画(Re:仮)」「ニコニコ生放送(Re:仮)」「ニコニ・コモンズ(Re:仮)」「ニコニコ広場(Re:仮)」「ニコニコ実況(Re:仮)」は終了いたします。 サービス再開を記念して、ニコニコでは8月5日
JSer.info #526 - npm 7が正式リリースされました。 npm install --global npm で npm 7がインストールされるようになっています。 npm 7がNode.jsに同梱されるのは、Node.js 15からになります。 npm 7 is now generally available! - The GitHub Blog Presenting v7.0.0 of the npm CLI - The GitHub Blog npm 7ではpackage-lock.jsonのフォーマットが変更されています。 あわせてyarn.lockファイルのサポートが追加されています。 その他の破壊的として、peerDependenciesが自動インストール、npxコマンドの変更、npm auditの出力形式変更などが含まれています。 機能追加としては、acceptD
パスワードだけでは危ないとして、2要素認証を導入する企業が次第に増えている。代表的な2要素認証の1つは、パスワードとワンタイムパスワード(OTP)を使う方法だ。だが、ワンタイムパスワードを高確率で破れるとするサービスが出現している。一体、どんなサービスなのだろうか。知識情報と所持情報の組み合わせパスワードだけのユーザー認証では容易に破られてしまうとして、認証時に複数の情報(認証要素)を使う多
Why Elixir Is the Best Language for Building a Bootstrapped, B2B SaaS in 2024 | SleepEasy Website Monitor
Why Elixir Is the Best Language for Building a Bootstrapped, B2B SaaS in 2024 [This article is the companion to my presentation for CodeBEAM America 2024, Elixir is the One-Person Stack for Building a Software Startup. You can download the slides as a PDF or view them in Google Slides.] I’d like to share why I chose Elixir as the programming language (and really, as we’ll discuss, the full stack)
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
【メモ】私が愛する Elixir/Erlang の楽しさと辛さ - Taku’s Teckブログ
SMS OTP form best practices | Articles | web.dev
世界113カ国のAndroidデバイスがSMS経由でワンタイムパスワードを盗み出すマルウェアに感染していることが発覚
認証レベルの概念を取り入れたパスキー導入とユーザーへの影響 - r-weblife
パスキー時代の"認証要素"の考え方 ~単一要素の組み合わせ、おまとめMFAと同期~
サーバー間通信の暗号化を Tailscale に丸投げする
Welcome to Wildebeest: the Fediverse on Cloudflare
「CPUクーラーと似たようなもん」冷凍したお肉を解凍したいときは大きめの鍋で挟むとすぐに解凍できるよ
Google Authenticatorの同期機能がフィッシング詐欺の被害を拡大したという話 | スラド IT
2 段階認証のワンタイムパスワードってよく使うけどどういう仕組みなの??? - エニグモ開発者ブログ
Mercari’s passkey adoption | Mercari Engineering
3Dセキュア入門 -B/43の3Dセキュア開発・運用の裏側- - inSmartBank
マストドン(Mastodon)のインスタンスを AWS でホストしてみた | DevelopersIO
ドコモ口座の不正送金はドコモダケが悪い訳ではない - Fox on Security
「Google アカウント」、パスキーで保護が4億以上に--導入から2年で
すぐにAPIを体験!public-apis 100以上のJavaScript axiosサンプル集
パスキー導入時のRelying Party側の考慮事項的なもの - Qiita
ドコモ口座とWeb口座振替サービスについて調べてみた - メモ代わりのブログ
ウクライナ鉄道、バイデン氏利用で定時運行率9割に低下 冗談交じりに謝罪
煽り運転のBMW、3日間の約束で貸りた代車だった 20日間返却せず事件翌日代理人が返却 : 痛いニュース(ノ∀`)
MITMフィッシングによる2要素認証の回避
YubikeyでOpenPGP鍵をセキュアに使う | κeenのHappy Hacκing Blog
8/5ニコニコサービスの再開状況と8月開催のイベント情報について|ニコニコインフォ
2021-02-09のJS: npm 7正式リリース、Vuex v4.0.0、Puppeteer v6.0.0
ワンタイムパスワードも突破 成功率8割うたう偽電話 - 日本経済新聞