認証に電話網を使うのはそろそろやめよう
こんにちは、Azure Identity サポート チームの 高田 です。 本記事は、2020 年 11 月 10 日に米国の Microsoft Entra (Azure AD) Blog で公開された It’s Time to Hang Up on Phone Transports for Authentication の抄訳です。新着記事ではありませんが、以前より繰り返し様々な記事で参照されており、多くのお客様にとって有用であるため抄訳しました。ご不明点等ございましたらサポート チームまでお問い合わせください。 以前のブログ パスワードで攻撃は防げない - Your Pa$$word doesn’t matter では、パスワードに潜む脆弱性を明らかにしました。加えて、「でもパスワード以外の他の認証方法も侵害される可能性あるでしょ」という無数の DM や E メールに対する答えとして
メールアドレスをキーにしてID連携を行う設計の危うさ|ritou
ritouです。このしずかなインターネットにおける初投稿です。 おそらく、このしずかなインターネットのID連携では次のような設計になっていま「した」。問い合わせをさせていただき、対応いただきました。 これまでもQiitaなどで同様の実装例が紹介されていた際にはコメントさせていただいていたものですので、アンチパターンの紹介記事として読んでいただければと思います。 「Googleアカウントでログイン」ではじめると、ユーザーが作成され、Googleから受け取ったメールアドレス([email protected])が設定される 次回から「Googleアカウントでログイン」をすると、Googleから受け取ったメールアドレスでユーザーを参照 試しに、次のような流れで動作を確認してみます。 「Googleアカウントでログイン」でアカウント作成([email protected]) 「メールアドレス変更」
12月4日に新刊『プロフェッショナルTLS&PKI 改題第2版』発売予定
ご来店ありがとうございます。 原書の改題改訂への対応を進めていた『プロフェッショナルSSL/TLS』につきまして、きたる12月4日(月)に新刊『プロフェッショナルTLS&PKI 改題第2版』として当直販サイトから順次発売を開始いたします。長らく当サイトにて「2023年秋予定」とご案内させていただいていましたが、発売開始までもう少しだけお待ちいただければ幸いです。 本書は、Ivan Ristić氏が自著 “Bulletproof SSL/TLS” を2022年に改題改訂して新規発行した “Bulletproof TLS/PKI Second Edition” の日本語全訳版です。旧版である “Bulletproof SSL/TLS” とその翻訳版である『プロフェッショナルSSL/TLS』は、発売以来、大きな構成変更を伴わない追記や修正を施したアップデートを何回か実施しており、電子版については
Dotenv is dead | François Best
This post could have ended here, but I’ll take this opportunity to pass the overtly click-baity title and talk about how I manage environment variables in my Node.js projects. There are several issues with reading directly from process.env: It’s not type safe It’s not validated It’s not immutable Type safety & validation I like to use Zod to parse and validate outside data in my applications, and
三元豚 - Wikipedia
三元豚(さんげんとん)とは、3種類の品種の豚を掛け合わせた1代雑種の豚を言う。 食用に品種改良された豚にはランドレース種、バークシャー種などの品種が存在するが、現在ではこれらの純粋種が単独で食用に供される例は少なく、3種以上の品種を掛け合わせて1代限りの雑種を作って食用とする場合がほとんどである。 これは雑種強勢という現象を利用することにより各品種の長所を強く合わせ持った豚を生産するためであり、あくまで食用に供されるのは1代限りで子孫を残すことはない。 このように3種以上の品種を掛け合わせた豚を「ハイブリッド豚」と呼ぶが、日本の畜産界においては特に3種掛け合わせの豚を「三元豚」と呼び、4種掛け合わせの豚(四元豚)を「ハイブリッド豚」と呼ぶことが多い。 日本国内で生産される食用豚のほとんどは三元豚であり、欧米などでは四元豚が多い。 最近では特定の産地や飼育業者で特定の掛け合わせで生産された豚
「心理的安全性」はなぜ混乱を招き続けるのか | Q by Livesense
心理的安全性という概念がある。ここ十年ほどチームづくりの最重要ファクターであるともてはやされ、他方では粗雑な理解によって批判されてきた。急に人気の出たアイドルの宿命みたいなものを背負っている。 世間的なイメージがどのようなものか、少し羅列してみよう。 なんでも言える。否定されない。安心して働ける。不安がない。感情を大切にしてもらえる。あなたはあなたのままでいいと肯定される。 こうしたイメージを抱いている人もいるかもしれないが、残念ながらこれらは、心理的安全性の正しい姿からは遠くかけ離れている。ただ安心してほしいのは、こうした誤解をしている人は決して少なくないということだ。 手持ちのグーグルで「心理的安全性 誤解」と検索してみると、何ページにもわたって理解を正す記事が並んでいる。NewsPicksも、プレジデントも、朝日新聞も、Qiitaも、東洋経済も、あらゆるメディアが心理的安全性の誤解に
多要素認証を私物スマホでやっていいのか問題
Hello,World! gonowayです。 弊社がご支援するお客様とお話するなかで、多要素認証のためにIDaaSが提供しているアプリケーション(以降、認証アプリ)を私物モバイル端末にいれていいのか?という疑問に、わたしたちが普段お客様にご案内していることをざっくりまとめてみました。 3行まとめ 現代では外部の不正ログインから守るために多要素認証が必須になってきている。 多要素認証の実現のため、会社モバイル端末であれ私物モバイル端末であれ認証アプリはインストールしてほしい。 私物モバイル端末にインストールしてもらう場合、エンドユーザーへの説明を行うことが必要。また、ガラケーしか持っていないような例外措置への対処を考えることも必要。 前提 認証要素について 認証要素は下記の3種類です。NIST SP800-63を参考にしています。 記憶によるもの:記憶(Something you know
Bun 1.0 | Bun Blog
Bun is an all-in-one toolkitWe love JavaScript. It's mature, it moves fast, and its developer community is vibrant and passionate. It's awesome. However, since Node.js debuted 14 years ago, layers and layers of tooling have accumulated on top of each other. And like any system that grows and evolves without centralized planning, JavaScript tooling has become slow and complex. Why Bun existsBun's g
元給食営業マンが「ホーユー」の学校・警察での給食提供停止騒動の原因をざっくり解説してみた。 - Everything you've ever Dreamed
mainichi.jp 西日本を中心に学校や寮で食事の提供が停止する事態が起きている。運営会社は広島市に本店のある給食会社ホーユー。ホーユーの名はコンペで何回か見かけたことがある。詳しくは知らない。 給食事業はリターンも少ないけれどもリスクも少ないビジネスだ。給食設備や用具や食器をクライアント側の負担で事業が行えるからだ。ひとことでいってしまえば経費負担が軽いのだ。食材費は実費、人件費も委託費でカバーできる。「莫大な利益が出せるか?」といわれると案件次第だが、一事業所当たりで赤字になるリスクはとても少ない事業である。 そのため、近く破産申告するとみられるホーユーの社長が人件費や食材費の高騰を理由に上げているのを知って「妙だな…」とコナン君のように疑ったのがこの文章を書いた表向きの理由である。なお裏向きの理由は奥様からの「あなたの会社は大丈夫なのか」という不安を取り除くためである。 一般的に
Lean community
Lean and its Mathematical Library # The Lean theorem prover is a proof assistant developed principally by Leonardo de Moura. The community recently switched from using Lean 3 to using Lean 4. This website is still being updated, and some pages have outdated information about Lean 3 (these pages are marked with a prominent banner). The old Lean 3 community website has been archived. The Lean mathem
5年いた富士通を退職した理由
5年エンジニアとして務めた富士通を一昨年退職した。そろそろほとぼりも冷めたと思うので、書く。 真面目に書いている増田もいるが、僕は自分の半径5m以内で起こった幼稚な理由にフォーカスを当てる。 開発環境がだめまずこれがトップにくる。 本当にだめだった。多分開発させる気なんてなかったんだろうなあ。ニートでももうちょっといい環境を使っていると思う。 メモリ4GBのセレロン使ってた。もちろんSSDじゃなくてHDD。PCは富士通製のミドルクラスのノートPCしか支給されなかった。 Macなんか認めん!iOSアプリも富士通PCで作れ!(本当にあった話)。 机上環境もだめいろんな環境にいたが、その中でもひどかったのは、もともと生産ラインがあった場所に机を置いて事務所として使っていた場所だ。机もせまかったし、気温も暑いか寒いかのどちらかだった。 そこに協力会社を大量に押し込んで、ソフトウェアの生産ラインを作
大正製薬がリポD新商品に三浦知良選手を継続起用するも拒否され裁判で敗訴→サントリーと裁判所を批判する文章を発表
まことぴ @makotopic 大正製薬に同情して読み始めたんだけど、このトラブルについて司法に判断を仰いだ結果「裁判で負けた」と書かれていて、どういう気持ちで読んだらいいのかわからなくなった。 twitter.com/kanpo_blog/sta… 2023-08-05 19:22:52 アロハぱいせん(´・_・`) @aloha0000000 なんか感情が暴走している。 裁判では負けたんだとすると、契約書の書き方に問題があったんだろう。 契約書よりお気持ちを優先して、「互いに配慮するべき」みたいな論理のタガが外れた文章を外に向けて発信してしまうことのマイナス効果をよく考えた方がよいと思う。法務のミスですよ、これは。 twitter.com/kanpo_blog/sta… 2023-08-05 19:53:52
バーベンハイマーの原爆ミームへの抗議は、アメリカ人側となぜ全く噛み合っていなかったのか|THE MAINSTREAM(沢田太陽)
どうも。 なんか日本で話題になってましたね。 このブログでも7月20日の週あたりから報じていました「バーベンハイマー」。「バービー」と「オッペンハイマー」、この2つの批評的評価の高い映画で、アヴェンジャーズの「エンドゲーム」以来の興行的大成功を得たという話。続編映画しか当たらないハリウッドの状況に一石を投じるすごくポジティヴなものとして世界の映画ファンの間ではかなり好意的な感じで受け止められてました。 ところが こうした原爆を茶化しているのかと思えるミームが出回りまして、これに対してワーナーの「バービー」の公式が「忘れられない夏になる」、あるいはキノコ雲を髪型にして「いかしたスタイリスト」なるレスをやっちゃったんですね。 これが日本人の逆鱗に触れて猛抗議が起きまして、「バービー」の公式が日本人の投稿で荒れまして、日本の公式、さらにアメリカのワーナー本社が謝罪するという事態に出て、 こういう
コミュニティノートがTwitterを壊している - きしだのHatena
コミュニティノート、案の定暴走している。 どんな改悪、利用制限よりも大きくTwitter*1を壊してるんじゃなかろうか。 ※ 2024/3/12追記 コミュニティノートの、「追加の背景情報が必要ない理由を説明するノート」がうまくまわって、初期に見られた正義の暴走のようなノートは表示されないようになってきています。 コミュニティノートは、多数派に有利な仕組みです。 「コミュニティノートでは、さまざまな視点を持つユーザーにとって役に立つノートが特定されます」 となっていますが、多数派であればさまざまな視点を持つユーザーが確保しやすく、逆に少数派は視点が収束する傾向があるので不利になります。 そのため、なんらかの不満をもっているけどその不満を表明して言葉にするとだいたい間違っているという層には非常に居づらくなっています。 「間違ったツイートをしなければいい」のような発言をみかけるけど、裏を返せば
ビッグモーター “LINEアカウント削除 すべての社員に指示” | NHK
中古車販売会社、「ビッグモーター」が社員への連絡に使っていたLINEのアカウントを削除するようすべての社員に指示したことが明らかになりました。26日付けで就任した和泉伸二社長は、社員の負担軽減が目的だと説明しています。 保険金の不正請求問題が発覚した「ビッグモーター」をめぐっては一連の問題の責任をとって25日に辞任を表明した兼重宏行前社長が社員に対し、LINEのグループで直接メッセージを送るなど、社内の連絡手段として使っていたことが分かっています。 これに関連し、26日付けで就任した和泉伸二社長は、国土交通省の聴取のあと、記者団の取材に応じ、LINEのアカウントを削除するよう、すべての社員に指示したことを明らかにしました。 この中で、和泉社長は「実は100ぐらいのグループLINEが作成され、店長などの役職になると、ほぼすべてに参加していて休日でも連絡が来ていた。休日でもLINEが鳴れば、精
大学教員になってずいぶん経つまで「相手が話し終わる前にさえぎって話を始める」が世間的に蛇蝎のごとく嫌われる所業だという自覚がほとんどなかった
Toru Oga🐣 @toru_oga (おそらく大学教員勢そういうのがめっちゃ多いと思うのだが…)就職してずいぶん経つまで、「相手が話し終わる前にさえぎって話を始める」ということが世間では蛇蝎のごとく嫌われる悪の所業なのだという自覚がほとんどなかった…。 2023-07-21 22:57:48
何年も前に書かれたソースコードを読むときの頭の中 - Mitsuyuki.Shiiba
コードを書く仕事をしてると、読むことも多い。読んでる時間のほうが多いかもしれない。いま書かれてるコードを読むことも、もちろん多いし、何年も前に書かれたコードを読む機会も割とよくある。 コードを読むと、そのコードを書いた人の考えや、そのときの状況が感じられて、おもしろい。特に、何年も前に書かれたコードを読むときは、コーヒーを片手に(そのときはこんな感じだったんだろうなぁ)って想像しながら読んで楽しい。 ふと、どういうコードから、自分がどういうことを想像するのかを書いてみようと思った。 前提 今、目の前で書かれているコードを読んでレビューしてるときの話じゃなくて、何年も前に書かれたコードを読むときの話をしようと思う。だから、そのコードが良いとか良くないとか、こうするべき「だった」とかは考えない。今後の自分がどう書きたいかなぁ?くらい。 また、そのコードを書いた人が良いとか良くないとかでもない。
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
一家に1枚|科学技術週間 SCIENCE & TECHNOLOGY WEEK
ドイツのこの広告、SNSに子供の写真を載せてる人全員に見て欲しい「デジタルタトゥーよりヤバイ」
Type-C 危機一発 | ProtoPedia
