リバースブルートフォース攻撃はパスワードを固定して ID 部分を変えながら認証を繰り返していく不正アクセスを目的とした攻撃です。
![リバースブルートフォース攻撃の概要と Web アプリにおける対策 | yamory Blog](https://cdn-ak-scissors.b.st-hatena.com/image/square/d1f2106d72cf4003ae7c9094b86e6f43476b20e5/height=288;version=1;width=512/https%3A%2F%2Fyamory.io%2Fblog%2Fimages%2Fposts%2Fthumbnail_about-reverse-brute-force-attack.png)
こんにちは,池田(ゆ)です. 今回は,Ruby on Rails で作っている Web アプリケーションの認証管理をについて備忘録を残したいと思います. やりたいことは, アカウント作成をメールよる招待制にしたい Google アカウント (OAuth) で認証したい です! 内輪の Web サービスの認証情報管理を Google (OAuth) に任せたいのですが,誰でもログインできるようにはしたくないので,アカウント作成自体は,メールによる招待制にします. 招待制にすることによって,管理者ユーザが都度アカウントを作る面倒もないので,小さなユルいグループで運用するには便利そうです. イメージは,こんな感じです. 内輪サービスにログイン済みのユーザAさんが,招待機能を使ってメールを送る メールを受け取った Bさんは,メール中のリンクをクリックすることで,Google の認証に飛ばされる 自
ライブ配信を支える技術 2019年10月4日(金)〜6日(日)開催の「水曜どうでしょう祭2019」では<昼の部>の有料ライブ配信を実施。その技術サイドのお話をいたします。社内外の多くの方のご協力があってほぼほぼ内製で構築することができました。今回の構築をざっくりですが、残しておきたいと思います。 全体のざっくり構成図 会場からクラウドにあげるまで Media Services API橋渡し(DRM)(決済・認証) ネットワーク フロントエンド プロジェクト管理 1.会場からクラウドにあげるまで テレビ中継車から会場のビジョンに出しているものを中継します。 今回はHTB本社で放送用に受けた映像を分岐してもらいました。 この映像をSDIからHDMIに変換してLiveShellPro2台を用いてRTMPでAWSであげます。 AWSまではNTT東日本さんのCloudGateway Applipac
こんにちは、Webエンジニアの山本です!好きな食べ物はなんとオムライスです。 スペースマーケットでは先日Twilioを利用したSMS認証機能をリリースしました。導入を検討する上で参考にしていただければ幸いです。 前提 弊社のアプリケーションAPIはRuby on Railsを使用しているため、実装部分はRuby on Rails向けのものとなります。 また、電話番号を利用したログイン機能などは実装せず、既存ユーザーの本人確認を目的とした機能追加の解説記事です。 Twilio 電話やSMSによるメッセージの発着信が可能なAPIサービスです。SMSであれば1通あたり0.08ドルなので約8円ほどで発信することができます。 https://www.twilio.com/ またtrialなら無料でAPIを利用することができるので、気軽にテスト可能です。※trial中に一定の金額分を上回るとアップグレ
最近、テストサイトを社内向けに公開する機会があり、ElasticBeanstalkを使おうと思ったのですが、意外とGemfileのPrivateなリポジトリのアクセスに手間取り(結局、途中で諦め)、こんな時間がかかるならはやりのDockerを使ってRailsを公開してみようと思い立ったのが今回です。 (現在稼働中のものを元に書いたので少し抜けがあるかもしれません。) 今回紹介すること 今回使ったDockerfile rails nginx ECSの設定 注意 今回は、あくまでも社内限定のため 開発環境 のためいろいろとガバガバな部分があると思います。ECSでrailsを動かすことを目標としてます。 また、今回Dockerを触ったのが始めてたので少し設定ファイルに間違いがあるかもしれません。 rails環境に使ったDockerfileの設定 ## amazonlinuxのイメージを落としてく
案外知られていない気がする MachineKey ですが、これを Web.config に書いておかないとフォーム認証でエラーが出て悩まされるんですよね。 今後は時間を無駄にしないためにも MachineKey は最初の方で生成して、Web.config に書くようにすればいいと思います。でも作り方がよくわからないと思うので、簡単にですがまとめておきます。 まずは MachineKey のことを知っておきましょう。最近はちゃんと日本語で説明があるのでありがたいですね。 machineKey 要素 (ASP.NET 設定スキーマ) 要するにクッキーやビューステートの暗号化・復号化に利用されるキーです。レンタルサーバなどで利用する場合には設定しておかないと、何らかのタイミングで値が変わってしまい、クッキーやビューステートの検証に失敗してエラーが表示されるわけです。 MachineKey の生成
おはようございます、ritouです。 今回は、一部で先週話題なりましたOAuth 2.0のImplicit Flowについてのエントリになります。 (2012/2/7 いろいろと修正しました。) 単なる OAuth 2.0 を認証に使うと、車が通れるほどのどでかいセキュリティー・ホールができる | @_Nat Zone Thread Safe: The problem with OAuth for Authentication. 今回は以下の内容について整理したいと思います。 OAuth 2.0のどの機能にセキュリティホールがあるのか 誰が攻撃者になれるのか 対策 OAuth 2.0 Implicit Flowとは OAuth 2.0ではサードパーティーアプリケーションが保護リソースへのアクセス権限を得るためのいくつかのフローが定義されています。 (仕様中ではFlowやGrant Type
スマホアプリから会員の新規登録、ログインが両方できるようにAPIを作成中。ようやく自前でアクセストークンを作ってOAuth認証が出来たのでまとめておく。 まず何がしたいか? スマホアプリでAPI認証ができるように、OAuthを自前で作成したい。 -> スマホアプリ側ではユーザ名とパスワードを入力すればトークンが取って来れて、そのトークンで各APIにアクセスすればユーザ固有の情報が取って来れるようになる仕組みを作る。 スマホアプリ側でユーザ作成も出来るようにしたい。 -> APIでユーザが作れるようにする。もちろんhttps前提。 環境 gemfile ruby '2.0.0' gem 'rails', '4.0.0' gem 'rails-api' gem 'active_model_serializers' gem 'mongoid', '4.0.0.alpha1' gem "moped
ログイン機能は当然ながら、Webサービスで必須の機能の1つです。しかし、自前で認証機能を持つと面倒だったり、ユーザに対して壁を与えてしまう場合があるかもしれません。そんな時は、omniauthを使ってTwitter, Facebook認証を実装すると良いと思います。いわゆる「Twitterでログイン」ボタンみたいなやつです。 omniauthによって、例えばTwitterで認証を行いたいときは、http://yourapp.com/auth/twittterにリンクすればtwitter認証ページに飛び、認証が成功すればhttp://yourapp.com/auth/twitter/callbackがコールバックされます。規約の力ってすごいですね! 尚、対象とするRailsのバージョンは3です。 1) omniauthのインストール Gemfileの末尾に、 gem "omniauth" と
Webサービスのログイン方法の一つに「Twitterログイン」が最近多く見られるようになってきました。 サイト上でのユーザー登録無しでTwitterアカウントを引き回すことも工夫によってはできますので、 ユーザーや開発者にとって手間が省けるという利点があるのではないでしょうか。 今回はアニメ「イカ娘」を題材とした簡単なWebアプリを作りつつTwitterのOAuth認証の流れと実装を見ていきましょう。 Twitter OAuth認証の流れ Twitter OAuthでは主にキーと鍵のペアの値がいくつかでてきて混乱しがちなのでイカ、おっと間違えた、以下にまとめておきます。 「コンシューマトークン、コンシューマシークレット」 アプリケーション固有のキーと鍵。Twitter Developerのページで発行される。アプリケーション開発者以外に知らせてはいけず、通常は設定ファイルなどに記載してアプ
250: ゼロから作る認証機能 (view original Railscast) Other translations: Other formats: Written by Naomi Fujimoto ほとんどすべてのRailsアプリケーションは、なんらかの認証機能を必要とします。パスワード認証機能を提供するライブラリとしてもっともよく使われるのが、Authlogic、Devise、 Restful Authentication、Clearanceの4つですが、どれを使うのがいいのでしょうか?AuthlogicとResful Authenticationはここ数ヶ月更新されていないので、残るのはDeviseかClearanceです。どちらもRailsのengineという仕組みによって、いくつかのコントローラとビューをアプリケーションに付加し認証機能を提供するものです。認証のような重
第12回: ユーザー認証(1) - Ruby on Rails 3.0 日記 - Ruby on Rails with OIAX 第13回: ユーザー認証(2) - Ruby on Rails 3.0 日記 - Ruby on Rails with OIAX ここの記事参考にRails3にユーザ認証機能を追加したので、メモしておきます。 Deviseのインストール〜準備 Gemfileに下記の一行を追加しました。 gem "devise" , ‘1,1,5’ 必要なスクリプトを実行しました。 $ bundle install # Deviseをインストール $ rails g devise:install # Deviseをアプリに組み込み $ rails g controller welcome index # トップページを作成 $ rails g d
2009年10月15日00:40 カテゴリWeb開発 Railsの認証プラグインを使う:restful_authentication 普段はPHPとJavaでWebアプリを開発する機会が多いのですが、最近は勉強がてらRuby on Railsの検証も行っています。Webアプリと言えば認証機能が必要になることが多いと思いますが、Railsには標準で認証フレームワークが付属していないため、プラグインとして後から機能追加することが一般的のようです。今回の記事では、比較的多くの導入事例が見られるrestful_authenticationの導入手順を備忘録も兼ねて紹介します。 今回作業を行ったシステム環境: Mac OS X (Snow Leopard) + MacPorts + Rails 2.2.4 + MySQL 5.0.86 参考サイト: http://github.com/tec
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く