図解 X.509 証明書 - Qiita
はじめに X.509 証明書について解説します。(English version is here → "Illustrated X.509 Certificate") ※ この記事は 2020 年 7 月 1 日にオンラインで開催された Authlete 社主催の『OAuth/OIDC 勉強会【クライアント認証編】』の一部を文書化したものです。勉強会の動画は公開しており、X.509 証明書については『#4 X.509 証明書(1)』と『#5 X.509 証明書(2)』で解説しているので、動画解説のほうがお好みであればそちらをご参照ください。 1. デジタル署名(前提知識) この記事を読んでいただくにあたり、デジタル署名に関する知識が必要となります。つまり、「秘密鍵を用いて生成された署名を公開鍵で検証することにより」、「対象データが改竄されていないこと」や「秘密鍵の保持者が確かに署名したこと
GitHubでhttpsのパスワード認証が廃止された。Please use a personal access token instead. - Qiita
GitHubでhttpsのパスワード認証が廃止された。Please use a personal access token instead.GitGitHub $ git push origin branch名 remote: Support for password authentication was removed on August 13, 2021. Please use a personal access token instead. remote: Please see https://github.blog/2020-12-15-token-authentication-requirements-for-git-operations/ for more information. fatal: unable to access 'https://github.com/名前/リ
OAuth認証とは何か?なぜダメなのか - 2020冬 - r-weblife
こんばんは。ritouです。 Digital Identity技術勉強会 #iddance Advent Calendar 2020 1日めの記事です。 qiita.com 初日なのでゆるふわな話をしましょう。 何の話か もうだいぶ前ですね。9月のお話です。こんなTweetを見かけました。 社内Slackにいる「OAuth認証」と書くと訂正してくれるbotが丁寧な解説をするようになっていた 認証(Authentication)と認可(Authorization)は間違えやすいわりにミスると甚大な被害をもたらしがちなので、常日頃から意識を高めていきたいですね pic.twitter.com/oVQxBgZcHS— greenspa (@greenspa) 2020年9月28日 このbotに対する思うところはもう良いです。 今回は、「OAuthの仕様に沿ってID連携を実装するいわゆる"OAut
同じようで違う「無償SSL」と「有償SSL」
多くの人がインターネットにアクセスしない日はないという昨今、インターネットの安全性は当たり前に求められるものとなっています。そのため、大手有名ウェブサービスは常時SSL化が基本となっていますが、単にSSL化と言っても認証レベルには差があり、サイトに合わせたSSLの選定が必要です。特に近年話題になっている無償SSLは、正しく理解したうえで利用することが推奨されています。 SSLの認証レベル インターネット上の通信を暗号化するSSL(Secure Sockets Layer)サーバ証明書は、大きくドメイン認証(DV:Domain Validation)、企業実在認証(OV:Organization Validation)、EV認証(EV:Extended Validation)の3つのタイプに分類されます。その中でもドメイン認証は更に「有償タイプ」と「無償タイプ」に分かれます。 それぞれの証明
Google 認証システムの仕組み
著者:関 勝寿 公開日:2016年3月26日 - 最終更新日:2022年12月31日 キーワード: security Google アカウントの2段階認証プロセスでは、Google 認証システムをモバイル端末にインストールして、QRコード(バーコード)を読み込ませることで、30秒ごとに変化する6桁の確認コードを生成することができる。通常のパスワード認証に加え、確認コードによる認証をすることで、セキュリティを高めている。Amazon, Microsoft, Facebook, Dropbox, GitHub 等多くのサービスで同じシステムが採用されている。この仕組みについて記す。 概要 Google 認証システムで採用されているRFC 6238の時間ベースのワンタイムパスワード (TOTP)は、サーバーとクライアントで共有する秘密鍵と現在時刻から、確認コードを計算するアルゴリズムである。 G
Apple Developer Programが2/27から2ファクタ認証必須になる件 - backyard of 伊勢的新常識
日本時間の2/14の朝、Apple から一つのメールが届いた。 ベッドの中で寝ぼけながら読んでいて、一気に眠気が吹っ飛んだ。2/27 より2ファクタ認証が必須になるという内容が書かれていた。これは大きな問題になるぞ…!と思ってツイートした。 おいおい、Apple Developer Programのログインに「2ファクタ認証」必須化だと?これはマジ勘弁してほしい。 他のところみたくTOTPとかならどんどんやってほしいけど、Appleさんの「2ファクタ認証」は「iCloudログイン済の信頼済Appleデバイス」必須なのがヤバい。— いせ (@iseebi) 2019年2月13日 当初はこいつはマズイと思ったが、いろいろ問い合わせたり、その後出てきた情報を見た限り、杞憂そうだとわかったのでまとめておく。 Apple ID の2ファクタ認証とは いわゆる2要素認証だが、対応するのは 当該のApp
オムニ7(7iD)を退会する方法。個人情報流出や不正利用のリスク大なので、退会前に情報の書き換えを
7pay(セブンペイ)の不正利用が話題になっています。 個人情報の流出というだけなら割とよく聞く話ですが、今回は7pay側のあまりに杜撰すぎるシステムと事後対応が批判の的に。 二段階認証を設定していないため、メールアドレス、生年月日、電話番号さえわかれば第三者でも簡単にパスワード変更ができてしまいます。 さらにはiOS版だと生年月日を登録なしにでき、その場合は2019/1/1が自動入力される仕組み(⇒生年月日を知らなくても突破される可能性すらある)。多少でもITをかじったことのある人間なら、あり得なさすぎて乾いた笑いしか出てこない状態。 第三者であっても「メールアドレス(セブンイレブンアプリに登録したもの)」「生年月日」「電話番号」がわかれば、パスワードを変更できる (中略) なんとiOS版では会員登録時に生年月日を登録なしにでき、その場合は「2019/1/1」が自動入力。つまり未登録の人
「初期対応難しかった」 Azureの多要素認証ダウン、Microsoftが原因を明らかに - ITmedia NEWS
Azureなどで11月19日、多要素認証(MFA)の障害が起きた件で、Microsoftが3つの根本原因を明らかにした。 米Microsoftが運営するクラウドサービス「Microsoft Azure」などで11月19~20日(日本時間)に多要素認証(MFA)の障害が起き、一部のユーザーがログインできなくなった件で、同社はこのほど、原因を明らかにした。「サービスに影響をもたらすさまざまな要因が重なり、個別の問題として把握できなかったため、初期対応が難しかった」と説明している。 MFAは、通常のIDとパスワードに加え、携帯電話のSMSなどで認証することで、セキュリティ対策を強化する仕組み。Azure、クラウド型Officeサービス「Office 365」、CRM(顧客関係管理)サービス「Microsoft Dynamics」で19日午後1時ごろ(日本時間)から約14時間、MFAを利用している
「ゼルダの伝説 ブレス オブ ザ ワイルド」で学ぶ”所有物認証” (1/3) - ITmedia NEWS
小説、漫画、アニメ、映画などの架空世界に登場する「認証的なモノ」を取り上げて解説する連載をITmediaで出張掲載。第2回のテーマは「所有物認証」。 この記事は認証セキュリティ情報サイト「せぐなべ」に掲載された「架空世界 認証セキュリティセミナー 第2回『架空世界で、かざして認証』」(2017年7月27日掲載)を、ITmedia NEWS編集部で一部編集し、転載したものです。当時未発売だった製品やサービスの記述などは、本記事掲載時の状況に合わせて編集しています。 「所有物認証」とは「鍵と錠前」である ……それでは講義を始める。 今回は「所有物認証」について、架空世界の事例と絡めて紹介してゆく。まずは前回のおさらいから。 「認証」とは、「『誰か』あるいは『何か』が、特定のものであることを確認する行為や仕組み」のことだった。最も使われている認証方法の「IDとパスワード」は「知識認証」であり、前
パスワード不要、生体認証でヤフーにログイン 「FIDO 2」対応 Androidスマホ+Chromeで - ITmedia NEWS
パスワード不要、生体認証でヤフーにログイン 「FIDO 2」対応 Androidスマホ+Chromeで Androidスマホ+Chromeからヤフーにログインする際、生体認証が使用できるように。生体認証デバイスなどを利用して安全なログインを実現する規格「FIDO 2」に対応した。 ヤフーは10月23日、AndroidスマートフォンのWebブラウザ・Chromeから同社のサービスにログインする際、生体認証を使用できるようにしたと発表した。指紋認証や顔認証でログインでき、パスワード入力が不要になる。9月に国内企業で唯一認定を取得した、生体認証デバイスなどを利用して安全なログインを実現する規格「FIDO 2」に対応した。 従来、同社の各サービスにログインするには、パスワードを入力するか、SMS・メールに送信される確認コードを入力する作業が必要だった。今回、Yahoo! JAPAN IDにログイン
「のばら」には脆弱性がある? 「ファイナルファンタジー」で学ぶ知識認証 (1/3) - ITmedia NEWS
この記事は認証セキュリティ情報サイト「せぐなべ」に掲載された「架空世界 認証セキュリティセミナー 第1回「架空世界の合言葉」」(2017年7月14日掲載)を、ITmedia NEWS編集部で一部編集し、転載したものです。当時未発売だった製品やサービスの記述などは、本記事掲載時の状況に合わせて編集しています。 「合言葉」がカギだ ……それでは講義を始める。 諸君はこの講義には初めての参加だろうか。この講義では、小説やマンガや映画やアニメやゲームといった「架空の世界に現れる、認証的なモノ」を考察していく。 どうだ、面白そうだろう? ピンとこない? そうか、そもそも「認証」とは何かが分からない人も多いのかな。 では今回は特別に、初歩的なところから解説していこうか。 さて、「認証」とは何か。 定義としては「『誰か』あるいは『何か』が、特定のそのものであることを確認する行為や仕組み」となる。 一番分
「指紋認証するだけ」高額課金アプリに注意 キャンセルする方法は (1/2) - ITmedia NEWS
高額課金を自動で継続するiOSアプリが問題になっている。指紋認証を使うと一瞬で課金登録されてしまうため、契約したことに気付かないユーザーもいたようだ。 先日、少々悩ましいスマートフォンアプリが話題になっていました。それは、ダウンロード自体は無料だが、初回起動時に「課金の自動継続」を促す画面が表示されるというもの。 その課金が月100円程度であればまだいいのですが、話題になっていたのは毎週2800円の課金が行われるなどの高額なアプリです。広告ブロックアプリを提供する「280blocker」によると、YouTubeの動画広告を投下していたためか、一時期はこうした高額課金アプリなどがApp Storeの無料アプリランキング上位を占め、確かに悪目立ちしていました(筆者が確認した9月24日時点では順位をかなり下げていました)。 高額課金が自動継続するアプリの問題(280blocker) 補足記事:高
SAML認証を使用したシングルサインオンを設定する
Security Assertion Markup Language(SAML)とは、異なるセキュリティドメイン間で認証情報を連携するための、XMLベースの標準仕様です。 SAML認証を設定すると、社内のIdentity Provider(IdP)に登録されたユーザーアカウントで、cybozu.comにシングルサインオン(SSO)できます。 cybozu.comはSAML 2.0に対応し、Service Provider(SP)として動作します。 ここではSAML認証を使用したSSOの流れ、およびcybozu.comの設定手順を説明します。 SAML認証を使用したSSOの流れ SAML認証を有効にすると、cybozu.comはSP InitiatedなSSOを行います。SAMLリクエストとSAMLレスポンスには、次のバインディングを使用します。 SAMLリクエスト:HTTP Redirec
なんとなく「はい」を押したらアウト! プッシュ通知認証でアカウントを乗っ取られそうになった話
私、いま“標的型攻撃”を受けてるんです――といったら、信じてもらえるでしょうか? 標的型攻撃とは、簡単にいうと「明確な意思と目的を持った攻撃者が特定の組織や情報を狙って行うサイバー攻撃」のことです。ですから一般的には、重要な機密を扱う国家組織や、世界に名前の知られた大企業、特許をたくさん持つ中堅企業などがそのターゲットになると思われがちですが、実際は皆さんに身近なところでも起きているのです。 ブラジルからの“攻撃”再び? この連載をずいぶん前から読んでいただいている皆さんならピンとくるかもしれません。私にその“標的型攻撃”を仕掛けているのは、悪意や攻撃の意図が全くない、「ブラジルのマリオさん」。 (参考) 「一体どういうことなの?」と思う方に詳しく事情を説明すると、私のGmailアカウント名「mtakeshi」と非常に似たアカウント名「m.takeshi」の持ち主――ここではマリオ・タケシ
よくわかる認証と認可 | DevelopersIO
よく訓練されたアップル信者、都元です。「認証 認可」でググると保育園の話が山程出て来ます。が、今日は保育園の話ではありません。そちらを期待した方はごめんなさい。こちらからお帰りください。 さて、先日のDevelopers.IO 2016において、マイクロWebアプリケーションというテーマでお話させて頂きました。一言で言うと OAuth 2.0 と OpenID Connect 1.0 のお話だったのですが、これらを理解するにあたっては「認証」と「認可」をはっきりと別のものとしてクッキリと認識する必要があります。 まず、ざっくりとした理解 認証と認可は密接に絡み合っている一方で全く別の概念です。正直、理解は簡単ではないと思います。 まず「認証」は英語では Authentication と言います。長いので略して AuthN と書いたりすることもあります。意味としては 通信の相手が誰(何)であ
RESTの認証 - Railsなど技術系覚え書き
RESTは、URLにメソッドとパラメータを与えて直接値を得る方法。 http://サーバー/メソッド/パラメータ とアクセスすると、XMLやJSONなどで値が返ってくる方法。 Stateless、つまり状態のない方法でサーバーから値を得る方法としてはシンプルな方法。 ただ誰でも値を得るのはセキュリティ上まずいことが多いので、認証が必要である。Cookieかsession idを使って認証したいが、もともとStatelessなのでどうしようか迷っていた。 Basic認証かDigest認証を使う方法が良いといわれているが、 Basic認証は、HTTPのヘッダーでIDとパスワードを与える点では、URL内に埋め込むのとさして違いはない。だけどユーザーごとにURLが違うのはまずいので、Basic認証はよし。 SSLで暗号化しているときはBasic認証でもいいかなと思ったが、そもそもSSLの通信は暗号
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
http://www.machu.jp/posts/20051101/p01/
Engadget | Technology News & Reviews