Paypalが、ついに自社の少額決済サービスであるPaypal Micropaymentsを提供開始しました。 残念ながらまだ日本語コンテンツはありませんが、既に円決済には対応しているようです。 通常、Paypalの円決済では手数料が3.6% + 40円ですが、このMicropaymentsを使用するとその手数料が5.0% + 7円となります。 それだけではわかりにくいので、通常手数料とMicropaymentsの手数料をグラフで比べてみることにします。 Paypal通常手数料と少額決済手数料の比較 手数料の分岐点を計算すると、 X * 3.6% + 40 = X * 5.0% + 7 X = 2357.1 すなわち、単価2,357円までの決済であれば、このMicropaymentサービスを使うと手数料が下がると言う事です。 たとえば、単価(ticket price)が1,000円の場合、
アニメGIFに何本か縦線を入れるだけで、アニメGIFを3D化出来ると言う信じられない話が、本日欧米で話題になっておりました。 それでは早速12連発でどうぞ! 1 2 3 4 5 6 7 8 9 10 11 12 縦線の奥行きでの位置(Y)を決めて、その前後に物をはみ出させたり引っ込めたりすることによって、人間の目があたかも本当に奥行きがあるかのように錯覚してしまうんですねぇ。 いやしかし、我々人間の脳と、こんな事を思いつく方が素晴らしい! 普段は欧米の最先端テクノロジー業界情報を配信しておりますので、twitterやFacebookページ、Google+で是非フォローをお待ちしております。 また、記事の買い取り行ってますのでKataribeも是非よろしくお願いします! GIFs: 3D pictures become possible with two straight lines
先日の記事「Paypal新少額決済サービスMicropaymentsの衝撃とは」は、twitterでのツイートでも、はてなブックマークの登録でも、共に1,200件を超えるという大きな反響をいただきました。 実際、理屈抜きに魅力的な決済手数料を用意し、誰でも今日から使い始めることができて、かつ山ほどの開発リソースが公開されているPaypalが、なぜ未だに日本では爆発的に利用されないのでしょうか? どう考えても利用が急増してもおかしくない理由しか見当たらないはずなのです。 もちろんマーケティングや営業上の問題もあるでしょうが、実は皆さんが根本的に見逃されている大きなポイントが一つあります。 それは、Paypalが実はまだ日本に「来ていない」という事実なのです。 Paypalが日本に来ていないという根拠 いったいそれはどういうことなのでしょうか? その証拠を見れば一目瞭然でしょう。これをご覧くだ
普段、視点や環境を変えなければまったく気づかないこともあります。 しかも、その日常に慣れきっていればいるほど、そこに驚きがあるなどとは誰も予想もしていません。 もう何百回も繰り返している、そんな日常の作業の中で、予想もしない感動に出会う。 今日、Facebookを使って日々の業務をこなそうとしていたところ、そんな出来事に遭遇しましたので、皆様と共有させていただきたいと思います。 大げさですみません、しかし、個人的には少し感動しすぎてしまったものですから。。。 事の発端は、こんな事から始まりました。 実は、出張先の韓国のソウルよりSeesmic Desktop Proというアプリケーションで、Facebookアカウントの認証を行おうとしたら、こんなエラーメッセージが表示されたのです。 ここまでは、セキュリティ対策としてはよくあるパターンですので特に何とも思いません。 普段アクセスしているIP
Google+にtwitterとFacebookのタイムラインを取り込み更に同時投稿もできる最強のChrome拡張機能「Start G+」 | Token Spoken
とうとう本日、現時点では最強のChrome拡張機能がリリースされました。(ちなみに、7月28日にFirefoxアドオン版もでました。) それがこのStart G+です。 インストールすると、右上にアイコンが追加されます。そのアイコンをクリックすると、Start G+のメニューが表示されます。 Twitter Loginをクリックしてtwitterアカウントの認証を行い、Facebook Loginで同様にFacebookの認証を行います。 すると、メニューがこのように変わります。 このメニューでは、Google+のストリームにtwitterのタイムラインやFacebookのウォールを含めるかどうかを設定できます。 早速ストリームを見てみますと、 twitterからのツイートと、FacebookからのアップデートがGoogle+のストリームに混ざって表示されていることがわかります。 では、次
あなたの位置情報は承諾なしにインターネット利用端末から690メートル以内の精度で特定できます | Token Spoken
先日、 ボストンにて行われたUsenix Symposium on Networked Systems Design and Implementationというイベントで、位置情報の特定手法に関した恐ろしい研究結果が発表されました。発表者は中国成都にある電子科学技術大学の科学者であるYong Wangさんと、アメリカイリノイ州にあるNorthwestern Universityの研究員達です。 日本でも某企業が提供するようなデータベース形式の位置特定サービスは別として、通常IPアドレスベースの特定法では位置情報の精度は35キロメートル内です。 しかし、なんとこの手法を用いると、あなたの位置情報が、あなたが使用している利用端末から690メートル以内の精度で特定できてしまうというのです。しかも、特別な装置や、GPS位置情報も一切必要なく、現在普通にインターネットを飛び交う公開情報だけから位置を
CSRF 対策はいまだに Token が必須なのか?
CSRF 対策は One Time Token を form なりに付与して、サーバ側でチェックすれば良い。 それをデフォルトでサポートしてるフレームワークなどもあるし、なくてもライブラリでいくらでも対応できる。 どうせ完全にステートレスなサービスはなかなかないので、サーバ側に redis や memcache を用意するのも別に大変じゃない。 なので、 CSRF 対策として Token を付与するのは、最も安全で推奨できる方式ではある。 っていうのを踏まえた上で、もう SameSite=Lax デフォルトだけど、今でも Token 必須なの?みたいなのがたびたび話に出るので、いい加減まとめる。 前提 この話は、スコープがどこなのかによって話が多少変わるので、そこを絞る。 今回は Passive ではなく Active に対策していく場合を考えるので、前提をこうする。 SameSite=l
twitter APIがホワイトリストの認可を終了 – 今後のサービス開発に大きく影響か? | Token Spoken
なんと、twitter社がAPIのホワイトリスト制度の終了を発表しました。 その内容をまとめると以下の通りです。 2011年2月11日午前6時43分30秒(PST – 太平洋標準時刻)時点にて、ホワイトリストの認可を終了しました。 既に認可を受けているIPアドレスやアカウントはそのまま緩和状態を継続します。 今後は一切の申請・認可を受け付けません。 未返答の物についても、もう審査をすることはありません。すなわち、今後待っていても認可されることはありません。 今後は1時間あたり350アクセスに押さえる独自の方法を考えてください。 もしくは、twitter社よりデータの提供を受けているサービスからデータのアクセスを購入してください。 さて、知らない方のために説明しますと、twitter APIのホワイトリストとは、従来1時間あたり150アクセスしかできなかった物(現在は認証後350)を、有益な
[速報]GitHub、見られてはいけないコード中のアクセストークンを発見し通知してくれる「Token Scanning」発表。GitHub Universe 2018 - Publickey
[速報]GitHub、見られてはいけないコード中のアクセストークンを発見し通知してくれる「Token Scanning」発表。GitHub Universe 2018 クラウドサービスが充実してきたことで、コードからクラウドAPIを呼び出して利用することが一般的になってきました。クラウドAPIを呼び出す際には、適正な呼び出し権限を持つことを示すため、あるいは呼び出す側を特定して課金するなどの目的でアクセストークンを用いることがあります。 アクセストークンは第三者に知られないように安全に管理し利用する必要がありますが、何らかの原因でアクセストークンがコード内にそのまま記述されてそのコードがGitHubなどで公開された結果、悪意のある第三者に使われ、アクセストークン本来の持ち主に膨大な利用料金が請求される、といった事故がしばしば起きています。 GitHubはこうした事故を防ぐため、コード内に記
![[速報]GitHub、見られてはいけないコード中のアクセストークンを発見し通知してくれる「Token Scanning」発表。GitHub Universe 2018 - Publickey](https://cdn-ak-scissors.b.st-hatena.com/image/square/e67868ddab7f4b77b6b5e466131818e428179a1d/height=288;version=1;width=512/https%3A%2F%2Fwww.publickey1.jp%2F2018%2Fgithub_security03.gif)
【注意】艦これなど、DMM のゲームのアプリTokenがフリーWifiなどで簡単に盗聴・ハイジャックされる件 - Windows 2000 Blog
今回の不正ログインについて ・全艦娘を解体or轟沈 ・装備も殆ど廃棄 ・資源やアイテムも使えるだけ使い切る(25万以上⇒ほぼ空に) ・一言コメント欄が「こみけでみえてたぜ」 ・初期家具をセット これだけのことをやる悪質なユーザーがいるようですので要注意です。 #艦これ #拡散希望 2017/8/16 11:15:03 艦これ起動時のパケットキャプチャ。 テキスト平文で トークンが見える 「なんで Windows 2000で 艦これや、Wireshark 2.2.8が動くねん!」ってのはこのブログのお約束なのでスルーで ・ω・ ええ…ここのブログ主は、 2017年もまだ Windows 2000で戦ってるのです (具体的には WannaCry 対策したり、 Firefox 52 を動かしたり、Flash Player 最新版のインストーラーを作ったり、オラクルのバグで本来適用できない Jav
Note: JWT の仕様やそもそも論の話は触れません。どう使うか、何が出来るかしか書いていません。 JSON Web Token? JSON Web Token とは、ざっくりいって署名の出来る JSON を含んだ URL Safe なトークンです。 署名とは、署名時に使った鍵を用いて、JSON が改ざんされていないかをチェック出来るようにすることです。 URL Safe とは、文字通り、URL に含めることの出来ない文字を含まないことです。 これだけだとよくわかりませんが、触り心地としては次のような性質があります。 発行者だけが、鍵を使ってトークンが正しいことを検証出来る。 暗号化ではないので、JSON の中身は誰でも見られる。 仕様的には、暗号化のオプションもあります。 しかしながら、JSON の変更は出来ない。(改ざんをすると、検証時に失敗するので。) 全体的には、なんか変更できな
GitHubでhttpsのパスワード認証が廃止された。Please use a personal access token instead. - Qiita
GitHubでhttpsのパスワード認証が廃止された。Please use a personal access token instead.GitGitHub $ git push origin branch名 remote: Support for password authentication was removed on August 13, 2021. Please use a personal access token instead. remote: Please see https://github.blog/2020-12-15-token-authentication-requirements-for-git-operations/ for more information. fatal: unable to access 'https://github.com/名前/リ
ヤフー株式会社は、2023年10月1日にLINEヤフー株式会社になりました。LINEヤフー株式会社の新しいブログはこちらです。LINEヤフー Tech Blog こんにちは。 IDソリューション本部の都筑です。 新卒2年目で普段はYahoo! ID連携のサーバーサイド、iOSのSDKの開発などを担当しています。 今回は最近ユーザーやデバイスの認証で用いられる”JSON Web Token(JWT)”についての解説と、Yahoo! JAPANと他社の活用事例を紹介したいと思います。 JWTとは? JWTとはJSON Web Tokenの略称であり、属性情報(Claim)をJSONデータ構造で表現したトークンの仕様です。 仕様はRFC7519(外部サイト)で定められています。 特徴として、署名、暗号化ができ、URL-safeであることなどが挙げられます。発音は"ジョット"です。 JWTと関連す
Token CSS
Token CSS is a work-in-progress. Bugs, missing features, and breaking changes are expected! Token CSS is a new tool that seamlessly integrates Design Tokens into your development workflow. Conceptually, it is inspired by tools like Tailwind, Styled System, and many CSS-in-JS libraries that provide tokenized constraints for your styles—but there's one big difference. Token CSS embraces .css files a
特定のクライアントを許可している Twitter ユーザーの Token Credentials を入手する攻撃 - ひだまりソケットは壊れない
怪しいクライアントを許可していないのに勝手に twitter で DM が送信されていた 何やら Twitter で勝手に DM が送られるという事案が発生していた模様。 調査の結果、ある web ページにアクセスしただけで、Twitter の token credentials が攻撃者に知られてしまう *1 ということがわかったらしい。 下記ページにまとめられていたのだけどパッと読んですぐには攻撃手法を理解できなかったので、いろいろ考えたことを書き残しておく。 「ちょっとこれみてくれない」とurlを送るスパムDMの解析と解説 - Togetter 簡潔な解説が以下の記事にあったので、簡潔な説明で理解できる人は下記記事参照。 gist:5053810 (DM踏んだだけでアレな件はTwitterのOAuth実装がク○だと思う) 【拡散希望】twitterの新型ウイルスがヤバい URL踏んだ
おはようございます。ritou です。 5月下旬ぐらいにチーム内勉強会としてJSON Web Token(JWT)についてわいわいやりました。 その際に作成した資料に簡単な説明を添えつつ紹介します。 このブログではJWTについて色々と記事を書いてきましたが、その範囲を超えるものではありません。 ちょっとだけ長いですが、ちょっとだけです。お付き合いください。それでは始めましょう。 JSON Web Token boot camp 2020 今回の勉強会では、JWTについて概要、仕様紹介という基本的なところから、業務で使っていくにあたって気をつけるべき点といったあたりまでカバーできると良いなと思っています。 JSON Web Token 概要 まずは概要から紹介していきます。 JSON Web Tokenの定義とはということで、RFC7519のAbstractの文章を引用します。 JSON W
最近、日本でもFacebookはこうだ、twitterはこうだ、その違いはこうだと語っている記事やブログが増えてきました。まさに十人十色です。 皆様もそれぞれ違った見解をお持ちでしょうし、私もそれら個人的な意見を批判したりする気は一切ありません。しかし、中にはいくつか共感できるおもしろい記事があるものの、それらのほとんどが読んでいて違和感を感じたり、「え?」と疑問符が頭に浮かんだりするものばかりです。 それはなぜなのだろうかと考えたところ、それらサービスのルーツを探るための情報が日本語ではあまり見つからない、ということが大きな原因の一つであると気づきました。 まるで、アメリカ人の中にWalkmanがアメリカ製でSonyがアメリカ企業だと思っている人がいるのと同じように、ひょっとすればそろそろtwitterが日本のサービスだと思って使っている方もいるかもしれません。しかし、残念ながらFace
すでにユーザー数2,000万が射程圏内となり、文字の装飾方法やショートカットが判明してきた話題のGoogle+ですが、今日はさらに驚きの事実が発覚しました。 どうやら、Google側では、Googleプロフィールの名前の欄には本名を書き、ハンドル名は「他の名前」欄に書くことを推奨する方向で進んでおり、現段階ではアバター名で利用されているアカウントは、凍結の対象となりうるとのことです。 実際に、ハンドルネームで利用していた「Opensource Obscure」さんのアカウントが凍結され、本人がFlickrにその写真と経緯を投稿しました。 更に、Wagner Jamesさんがその旨をGoogleのスポークスマンであるKatie Watsonさん(Senior Manager of Global Communications & Public Affairs)に問い合わせ、Googleがその方
GitHubで扱うPersonal access tokenの利用方法をセキュアにする - 10X Product Blog
こんにちは、セキュリティチームの@sota1235です。 セキュリティチームでは昨年の夏頃からGitHub上のセキュリティリスクを洗い出し、順に対応や改善を行っています。 そのうちの1つとして、昨年の秋ごろからGitHubのPersonal Access Tokenの取り扱いの改善を行ってきました。 具体的には以下の取り組みを行いました。 CI等で利用されているPersonal Access Tokenの利用廃止 OrganizationにおけるPersonal Access Token(classic)の利用禁止設定 今回はこの2つの取り組みについて、どのような課題設定を行い、どんな手順で完了したのかをお話しします。 以下のような課題感、疑問をお持ちの方に対する1つの回答になりうると思うので該当する方はぜひご一読ください🙏 GitHubにおけるPersonal Access Token
Google Glass狂想曲 – 日本人よ悪徳並行輸入に騙されるな!本当はこんな感じです | Token Spoken
何故か昨日からGoogle Glass関連の話題が熱いと思えば、どうやら並行輸入業者の予約受付を受けて色んなメディアがそれを取り上げてしまったようです。 しかも、その業者がなんとも怪しく、そこの表記をまとめると「先に69,800円払えや。でも商品入らなくてこっちに支払い能力なかったら代金返さないからね。」というどう見ても法規上問題のある免責事項が。 ガジェット好きで、裕福で、更に英語に弱い。そんな日本人を狙った悪徳並行輸入業者だと判断いたしました。 さらにはそこにGoogle Glassに全く縁のない方達が意見を投げ合って、どうも収集がつかない状況になりました。 私もそれを受けて、要注意のツイートなどを配信しておりましたが、本日午後に大元 隆志さんが書いた記事がYahoo!ヘッドラインにシンジケートされ、そこに私の名前も取り上げられていました。 本業で取り上げられたい!という話は別にしてお
Twitter BOT作るときOAuthのAccess token取得するのがめんどいから簡単に取得できるwebサービスつくった - 方向
Twitter BOT作るときOAuthのAccess token取得するのがめんどいから簡単に取得できるwebサービスつくりました。 http://getaccesstoken.herokuapp.com 使い方は簡単!! 1. http://twitter.com/apps から適当なアプリケーション名を登録。そのときに ここらへんをこんな感じで設定しときます。callback URLはダミーでgetaccesstoken.yayugu.net側で指定するのでなんでもいいです。 2. 作りたいBOTのアカウントでtwitter.comにログイン 3. そしたらGet Access tokenでConsumer key と Consumer Secretを入力すると…… こんなふうにAccess tokenとAcess token secretが表示されます。BOT作るのにOAuthのA
あなたのサイトやブログの画像をPinterestでのピン付けや拡散から守る1行のコード | Token Spoken
余りにも速い成長から、現行のあいまいな著作権法規への防御対策か、それとも押し寄せる著作者からの苦情への対応策か、PinterestがPin防止のためのタグを発表しました。 この1行をあなたのブログやウェブサイトのヘッダーに追加すると、標準のPinterestアプリやブックマークレットからはPinができなくなります: <meta name=”pinterest” content=”nopin” /> このタグを埋め込んでおけば、Pinしようとしたユーザーに以下のようなメッセージが表示されます: 「このサイトはPinterestでのピン付けを許可していません。質問についてはサイトのオーナーに連絡してください。ご訪問ありがとうございました!」 ウェブサーバーにアップされている以上、公開されている画像を守る手段は唯一ユーザーのモラルだけなのですが、Pinterest側で出来るだけの防御対策は用意し
OAuth 2.0のAccess TokenへのJSON Web Token(JSON Web Signature)の適用 - r-weblife
こんばんは、ritouです。 久々の投稿な気がしますが、今回はOAuth 2.0のリソースアクセス時の設計の話です。 ずーっと前から書こうと思いつつ書いてなかったので、ここに書いておきます。 出てくる用語や仕様は、下記の翻訳リンクを参照してください。 The OAuth 2.0 Authorization Framework JSON Web Signature (JWS) 想定する環境 わりとよくある環境を想定しています。 OAuth 2.0で認可サーバーとリソースサーバーがある 認可サーバーがAccess Tokenを発行 リソースサーバーがAPIリクエストに含まれるAccess Tokenを検証する よくある実装とその悩みどころを、JSON Web Token(JSON Web Signature)により軽減できるかもという話です。 よくある実装 : Access Tokenに一見ラ
自らスキミングするという発想はなかった!大量のカードを1枚にまとめるガジェット『Coin』が素晴らしい | Token Spoken
普段あなたも思いませんか?「なんでこんなに何枚もカードを財布に入れて持ち運ばなきゃならないんだよ!」 そんな悩みを解決するガジェットが発売されます。その名も「Coin」。 使い方は簡単で、Squareのようなカードリーダーをスマホのイヤフォンジャックに差し込み、あなたのカードをスワイプします。 そのカードをスマホのカメラで撮影して、次々とカードを読み込み保存していきます。 すると、全てのカードが1枚のカードにまとまるというわけです。 使う際には、カード上のボタンを押して、使いたいカードに切り替えるだけ。 あとは通常のカードのように店舗に渡してサインするだけです。 このCoinは、いわゆるICチップ入りのカードEMV仕様には対応しておりません。ですので、今はまだアメリカが主なマーケットな様です。ただし、通常のICカードでは磁気ストリップで読み込んでサイン利用もできますから、欧州よりはまだPI
Googleアカウントの新規開設時にGmailとGoogle+の利用が必須に – 更にGoogle+の利用が加速 | Token Spoken
本日、Googleアカウントの新規開設プロセスに今までにない大きな変更が加えられました。 今まで利用が任意だったGmailとGoogle+の利用が必須になりました。(ただしまだ旧式登録プロセスも使えます。) 実は、これは思ったよりも大きな変革です。 その説明は後に回して、まずは新しいアカウント開設プロセスを見てみましょう。 新しいGoogleアカウント開設ページは以前よりも更にスッキリしました。(後に以前のページをお目にかけます。): しかし、よくみると今までであれば自由にメールアドレスをユーザー名として入力できていたのが、最初から「@gmail.com」が前提になっているのがわかります。 試しに勝手にgmail.comでないフルのメールアドレスを入力しようとしたらエラーが出て拒否されました。 この時点で、すでにGoogleアカウントの開設が強制的に開設されるGmailアカウントをユーザー
1月4日、ビットコインが9歳の誕生日を迎えました。紆余曲折を経ながら、止まることなく動き続けるビットコインは、昨年2017年も様々なドラマを生み出しました。これを読んで下さっている皆様には、その勢いがいかに凄まじいものであったかは、説明の必要さえないことでしょう。 おかげさまで、テックビューロ株式会社が運営する仮想通貨取引所Zaifは、昨年10月1日に無事近畿財務局に登録を完了し、晴れて公認の交換所となりました。その代表を務める傍ら、ブロックチェーン推進協会BCCCの副代表理事や、日本仮想通貨事業者協会JCBAの理事を務めさせていただくほか、NEM財団の理事にも就任させていただき、私の発言が採る立場によって各所に少なからずとも影響がでる状況になって参りました。そのため、あえて弊社やサービスのウェブサイトではなく、この個人ブログを復活させて、少しばかり遅くなってしまいましたが、私の2018年
Atariが独自のトークンを発行する計画を明らかにし、仮想通貨ベースのカジノプラットフォームを開発する可能性を示唆した。 「Asteroids」「Pac-Man」「Space Invaders」「Pong」など往年のアーケードゲームで一般的に知られるAtariは、仮想通貨によってカジノ業界に新風を吹き込むことができると考えているようだ。 Atariは先週、独自の仮想通貨「Atari Token」を発行する計画を発表した。「エンタテインメント分野のブロックチェーンプラットフォームに関する」ものになるという。 このプロジェクトを前に進めるために、Atariはジブラルタルを拠点とするInfinity Networksの少数株式を取得した。株式取得の条件は現金投資ではなく、Infinity Networksは長期的なライセンス契約の下でAtariブランドを使用することを認められる。 「同社(Inf
I am mitsuruog | JWT(Json Web Token)を利用したWebAPIでのCredentialの受け渡しについて
AngularJS への改宗が完了した「mitsuruog」です。 AngularJS に限らず Single page application(以下、SPA)を構築した場合、認証(Authenticate)とその後の WebAPI での証明情報(Credential)の受け渡し方法について最近悩んでいます。 調べていたら Json Web Token(以下、JWT)を利用した方法がCookies vs Tokens. Getting auth right with Angular.JSで紹介されていて、試してみると結構使えそうでしたので紹介してみます。 目次 1.WebAPI での証明情報の受け渡しの重要性 2.Token を利用した証明情報の受け渡し 3.実現するためのコア技術、JWT(Json Web Token)とは 4.Token を利用した場合の課題など 秘密鍵の管理 リフレッ
BLOG Getting Unlimited Scalability with Okta Fine Grained Authorization
Facebookやtwitterのログイン情報は簡単に盗まれてしまうので要注意! – 現在できる限りの対策を | Token Spoken
Facebookやtwitterが普及する中、今そのログイン情報が常に漏洩の危険にさらされています。 以前、FiresheepというWi-Fiネットワークを飛び交うFacebookやTwitterのログイン情報(ユーザー名とパスワード)を抽出するアドオンが公開された際には、そのことが話題になりました。 ところが、今度はさらに強力なFaceniffというアプリケーションが公開されたのです。 このFaceniffは、Facebookとtwitterだけではなく、なんとAmazonやYouTubeのアカウントまでをも自動的に抽出します。 しかも、このアプリケーションはPC用ではなく、Androidスマートフォン用なのです。 前者は、PCを持ち歩かなければ飛び交うログイン情報を収集できなかったのですが、このFaceniffでは、普段持ち歩くAndroidスマートフォンにインストールして持ち歩くだけ
この記事は、先ほど書いたこちらの記事の訂正版です。 記事に入る前に、まずは全シンガポールにお詫び申し上げますm m さて、Covert Redirect についての説明は…超絶取り消し線はいりまくってる前の記事を読んでください、でいいでしょうか? で、訂正分だけ以下に。 Fragment Handling in Redirect 宮川さんが記事にしてますね。 英語だけど。 で、まぁ要するに、(Modern Browser は) 30x リダイレクト時にリダイレクト元に付いてた URL fragment をリダイレクト先にも引っ付ける、と。 fragment は server-side には送られないけど、クライアントサイドではリダイレクト先に引き継がれる、と。 試しに http://www.idcon.org/#foobar にアクセスすると、http://idcon.org/#fooba
現在Google+では、Gmailのスター機能のように、後で見るために好きな投稿にメモをつけておくといったような機能が用意されていません。 以下の方法を使うと、Google+で任意の投稿をEvernoteに簡単に保存することができます。 まず、Evernoteの「アカウント情報」を見ます。 すると、アカウント情報が表示されますので、「ノートのメール先」にあるメールアドレスをコピーします。 次に、Google+のサークル画面へ行き、「新しいサークル」をクリックします。(カーソルを合わせると下のように「サークルを作成」と表記が変わりますのでそこをクリックします。) 次に表示されるサークル作成画面に、好きなサークル名(たとえば「Evernote」)を入力し、「新しいユーザー」をクリックして、先ほどのEvernote送信用メールアドレスを貼り付けます。 メールアドレスを貼り付けると、「メールで『*
Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article?
RFC 8725 JSON Web Token Best Current Practices をざっくり解説する - Qiita
ritou です。 今回は RFC 8725 JSON Web Token Best Current Practices を紹介します。 みんな大好き JWT (JSON Web Token) の BCP ときたらチェックせずにはいられないでしょう。 概要 JWTは 署名/暗号化が可能な一連のクレームを含む、URLセーフなJSONベースのセキュリティトークン です JWTは、デジタルアイデンティティの分野および他のアプリケーション分野の両方の多数のプロトコルおよびアプリケーションにて、シンプルなセキュリティトークンフォーマットとして広く使用/展開されています このBCPの目的は、JWTの確実な導入と展開につながる実行可能なガイダンスを提供することです ということで、何かのフレームワークでもプロトコルでもなければJWTを使ったユースケース考えたよって話でもなく、JWTを導入する上で基本的な部
GoogleがGoogle+と密接に連動するソーシャル検索機能『Search plus your world』を公開 – トラフィック・マーケティングは人を中心とした次のフェイズへ | Token Spoken
GoogleがGoogle+と密接に連動するソーシャル検索機能『Search plus your world』を公開 – トラフィック・マーケティングは人を中心とした次のフェイズへ 本日、Googleが新しいソーシャル検索機能「Search plus your world」の公開を発表しました。 ついに、Google+のソーシャルグラフを中心としたGoogleの新しいソーシャル検索が世に出る日が来たようです。 昨年から、Googleは検索結果にGoogle+上のコンテンツを表示するようになっただけではなく、検索結果にコンテンツの著作者情報を表示する「Google authorship」や、Google+ページとして登録されたブランドを検索できる「ダイレクトコネクト」など、次々と実験的なソーシャル検索の実装を行ってきました。 残念ながらそれら先進的なテスト機能は、日本語版のGoogleではほ
スクリプトの実行はできない(XSS対策されている)し、tokenは導入されている(CSRF対策されている)のに、tokenを奪取され、不本意な操作をされてしまう例というのを1つ、やってみたいと思います! 実証だニャン! http://d.hatena.ne.jp/kinugawamasanyan/20101012/nyan 原理 こういうフォームがあったら、submitボタンを押下した時にtokenの値がA、Bどっちにポストされるでしょうか。 <form action="A" method="post"> <form action="B" method="post"> <input type="hidden" name="token" value="123123123"> <input type="submit"> </form> 答えはAです。 つまり本来設置されたフォームより前に別のf
Upload your creations for people to see, favourite, and share.
@novです。 個人的に最近OAuth 2.0よりJWT (というかJWS) を利用するシーンが多く、毎回同じ説明するのもめんどくさいのでブログにまとめるかと思い、どうせならOAuth.jpに書くかということで、こんな記事を書いております。 (そろそろJWTとJWSは、OpenID Foundation Japanの翻訳WGで翻訳するべき?) JSON Web Token (JWT) とは、JSONをトークン化する仕組み。 元々はJSONデータにSignatureをつけたりEncryptionする仕組みとして考えられたものの、Signature部分がJSON Web Signatue (JWS)、Encryption部分がJSON Web Encryption (JWE) という仕様に分割された。 それぞれ2012年10月26日現在の最新仕様はこちら。 (JWTとJWSは既にだいぶ仕様が固
GitHub Actionsに「強い」AWSの権限を渡したい ~作戦3 - AssumeRole with Google ID Token ~ - KAYAC engineers' blog
こんにちは。技術部の池田です。 この記事では、Github Actions上に「強い」AWSの権限を渡すために以下のことを行います。 App Runnerでお手軽にGoogle ID Token 取得するためのWeb Applicationを動かす。 Web Applicationから取得できるGoogle ID Tokenを信頼するIAM RoleにAssumeRoleする。 AssumeRoleによって得られた一時的な強い権限で、強い権限を要求する作業(Deploy, Terraform Apply)をGithub Actionsで行う。 これにより、Github Actions上にAWSのアクセスキーを置かずに、ある程度安全な方法でAWS上での強い権限を要求する操作を実行できます。 そのため、例えばGithub Repositoryに不正アクセスされてしまったとしても、AWSの本番環
本日、2011年6月26日日本時刻午前1時に、皆様が楽しんで使っていたTurntable.fmが米国外からのアクセスを遮断しました。以下はその告知画面です。 メッセージを翻訳すると: 「誠に申し訳ございませんが、皆様に私たちと共にノり続けて欲しいにもかかわらず、ライセンス上の成約によりアクセスを米国からのみに制限することとなりました。 またあなたにもご利用いただけるよう努力しております。 もし何らかの間違いで、(この画面を見ているにもかかわらず、)あなたが米国にいらっしゃる場合はhelpアットturntableドットfmまでメールをお願いします。 再度、お詫びを申し上げると共に、近くまたお目にかかるのを楽しみにしています。 Billy Chasen CEO」 とのことで、現在日本からTurntable.fmにアクセスするとこの画面が表示されます。 実際、同日1:00を超えても、既にサービス
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Paypal新少額決済サービスMicropaymentsの衝撃とは | Token Spoken
アニメGIFに縦線2本を入れるだけで3D化できることが話題に | Token Spoken
Paypalは実はまだ日本に『来ていない』 – その根拠と裏事情とは | Token Spoken
なんとFacebookは不正ログイン防止の仕組みまでが感動的にソーシャルだった | Token Spoken
JSON Web Token の効用 - Qiita
JSON Web Token(JWT)の紹介とYahoo! JAPANにおけるJWTの活用
2020年版 チーム内勉強会資料その1 : JSON Web Token - r-weblife
Facebookは壁でtwitterは流れ-ルーツを知ってこそわかる違いとは | Token Spoken
Google+も実名アカウント以外は凍結の方向か?実際に凍結された匿名アカウントが発覚 | Token Spoken
2018年、テックビューロ代表朝山貴生より新年のご挨拶 | Token Spoken
ゲーム会社Atari、仮想通貨「Atari Token」を発行へ
Auth0: Single Sign On & Token Based Authentication
Implicit Flow では Covert Redirect で Token 漏れるね - OAuth.jp
Google+から任意の投稿をEvernoteに保存する方法 | Token Spoken
Google APIのAccess Tokenをお手軽に取得する - Qiita
formタグを利用したtoken奪取 - ma<s>atokinugawa's blog
Token by brsev on DeviantArt
JSON Web Token (JWT) - OAuth.jp
Turntable.fmが米国外からのアクセス遮断を開始 – 回避方法あり | Token Spoken