滅びてほしい認証系の実装の話
こんにちは、富士榮です。 ちょっと前に某所でダメダメな認証系の技術実装ってなんだろうねぇ、、という話をしていたことをXで呟いたところ、色々とご意見を頂けましたのでまとめて書いておきます。 考えていると結局のところ、サービス提供側が意図していることとは全然違うことが起きている気がするので、この辺はしっかり考えて実装したいところですね。(実装ミスは問題外として) カテゴリ滅びてほしいもの実装側がやりたいこと利用者が感じること実際に起きていること代替手法認証CAPTCHAbot避けぐにゃぐにゃ文字が読めない バイクと自転車の違いとは?ユーザの離脱、カゴ落ちパスキーの利用 新しいタイプのCAPTCHA(通常は画面に出ない) リスクベース認証との組み合わせによる抑制認証パスワード誰でも使える認証手段の用意忘れる。複雑なパスワードをそれぞれのサービス毎に管理するのは無理パスワードの使い回し。パスワード
言いたいこと最近はCAT6Aでフラットケーブルが登場してるが、あれ全部ゴミだ 30mぐらいまであるけどマジゴミ。 買う価値なし。 ゴミは置いといても、LANケーブルには「準拠」と「対応」があるらしい。区別して使うべし 長い文章(読み飛ばしてよい)CAT6Aで施工指示したのに5Eになってたと言う記事を読んで思い出したので吐き出しておく。 大手OAサプライヤで売っている完成品LANケーブル。これもCAT6Aが標準になってきて久しい。5Eのものはほぼ見られなくなった。 その中でフラットケーブルと言われるものが売られている。 通常LANケーブルというのは、細い線が何本か寄り合わされて、さらに保護用のチューブに入れられた構造だ。なので断面が丸いケーブルが普通である。 それを、丸くまとめるのではなく一直線に横に並べ固めたものがある。これをフラットケーブルという。また見かけから「きしめんケーブル」などと
Intro CSRF という古の攻撃がある。この攻撃を「古(いにしえ)」のものにすることができたプラットフォームの進化の背景を、「Cookie が SameSite Lax by Default になったからだ」という解説を見ることがある。 確かに、現実的にそれによって攻撃の成立は難しくなり、救われているサービスもある。しかし、それはプラットフォームが用意した対策の本質から言うと、解釈が少しずれていると言えるだろう。 今回は、「CSRF がどうして成立していたのか」を振り返ることで、本当にプラットフォームに足りていなかったものと、それを補っていった経緯、本当にすべき対策は何であるかを解説していく。 結果として見えてくるのは、今サービスを実装する上での「ベース」(not ベスト)となるプラクティスだと筆者は考えている。 CSRF 成立の条件 例えば、攻撃者が用意した attack.examp
ブラウザキャッシュの仕組みについてまとめた
Web開発において、ページの読み込み速度は非常に重要になります。 そのためにもブラウザのキャッシュは効率的なWebサイト運営に不可欠な機能です。 ブラウザのキャッシュには次のHTTPヘッダを設定することができます。 Expiresヘッダ Cache-Controlヘッダ Last-Modifiedヘッダ ETagヘッダ これらのキャッシュには強いキャッシュと弱いキャッシュで分類が可能です。 「Expires」「Cache-Control」は強いキャッシュであり、「Last-Modified」「ETag」は弱いキャッシュに分類できます。 強いキャッシュと弱いキャッシュ 強いキャッシュは設定された期間内は完全にローカルキャッシュを利用して、サーバーへのリクエストを行いません。 一方で弱いキャッシュはキャッシュされたリソースの検証が必要であり、ETagやLast-Modifiedヘッダを利用して
2024年4月、偽造されたマイナンバーカードを使用したSIMスワップ事案が発生しました。さらにその後のっとられたSIMを通じて高級腕時計の購入などが行われる被害も発生しています。ここでは関連する情報をまとめます。 SIMのっとられ未遂含め400万円超の被害 SIMスワップの被害を報告したのは、東京都議会議員と大阪府八尾市議会議員の二人。愛知県名古屋市内のソフトバンクショップ(八尾市議会議員の事例ではソフトバンク柴田店)で何者かが契約変更(MNPや最新のiPhoneへの機種変更など)を行い、元々の契約者であった二人が所有するスマートフォンでSIMによる通話・通信ができない被害にあった。 昨日昼頃、スマホにPayPay通知が表示され「1000円チャージしました」と。自動チャージ設定?なんだろうとアプリを確認してもよくわからず放置。(この時にPayPayに確認すべきだった!)午後にメールチェック
「Twitter.com」という文字列を入力したはずなのに、Xにポストした瞬間、自動的にその文字列が「X.com」に変換されてしまう――トラブル続きのXで今度はそんな現象が発生し、詐欺に利用されかねないとして一部のユーザーが警戒を呼びかけた。問題は間もなく解消されたものの、Xの混乱ぶりにあきれる声や批判の声が飛び交っている。 米メディアのMashableやKrebs on Securityによると、自動変換はiOS向けのXで4月8日(米国時間)に始まった。この問題は「Twitter.com」が「X.com」に置き換わるだけにとどまらなかった。 例えば「space-twitter.com」というリンクをポストすると、末尾の「twitter.com」の部分の文字列だけが勝手に「x.com」に置き換えられて、Xの画面では「space-x.com」と表示される。一方で、実際のリンク先は変わらないま
Winnyの金子勇さんが考案された機械学習アルゴリズムED法を再現して実装した人がいていま話題になっている。 『Winny』の金子勇さんの失われたED法を求めて…いたら見つかりました https://qiita.com/kanekanekaneko/items/901ee2837401750dfdad いまから書くことは私の記憶頼りなので間違ってたらコメント欄で教えて欲しい。 1998年ごろだと思うのだが、私はWinnyの金子勇さんのホームページの熱心な読者だった。(ページも全部保存してたので私のHDDを漁れば出てくると思うが、すぐには出せない。) Winnyのβ版が発表されたのが2002年なのでそれよりはずいぶん前である。 当時、金子さんはNekoFightという3D格闘ゲームを公開されていた。そのゲームには、自動的に対戦から学習するAIが搭載されていた。 当時の金子さんのホームページの
新築物件の有線LANを勝手にスペックダウンされた方が五ヶ月を経てどうにか問題が解決 しかし問題が発生した理由が杜撰過ぎた「担当者は飛ばされました」」
クラーマ @Kuraama_R 決着つきました。 WiFiも爆速で快適です 結論から言うと 工事監督?責任者が自分のちょんぼを隠したくて無理やりねじ伏せようとしてきたと言うだけでした 裁判寸前まで来て隠せなかったのか支店長も現れ担当変わってすぐ工事にかかってくれましたとさ pic.twitter.com/rIKmUZcGxb x.com/Kuraama_R/stat… 2024-04-21 00:01:55 クラーマ @Kuraama_R 新築の件でバチモメなう インターネット快適にしたいから 各部屋有線で10Gの光回線で使えるように LANカテゴリ6A以上にしてくれってオーダーしたのに全部1G光対応の5Eになってることが発覚 受注業者 差し込み変えたら2.5Gぐらいで使えますけど……💦💦💦💦 コードやり直すなら屋根とか壁剥がさないと…… 施工業者 1Gで十分ですよ! 10Gと大差
サーバーレスの次はなんなんだ
はじめに この記事は、同人誌サークル「めもおきば」から不定期刊行している技術解説本「めもおきばTecReport」に書いたものを公開用に再編集したものです。 ⇒ めもおきばTecReport 2023.12 この記事のほかにも「私もSecHack365に参加したい!」や、「2023年振り返りと2024年技術予想」としてこんなキーワードを取り上げているので、気になったらぽちっとしてください! メガクラウドと特化型クラウド/ハイパーバイザーのSoC化/ライセンスとクラウドベンダー/イベント駆動型API/LLM時代のAIペアプロ力/生活必需品としてのGPU・NPU/Passkey/ウェブアクセシビリティ/リアルイベントの再開 サーバーレスの次はなんなんだ サーバーレスと呼ばれる技術ムーブメントが盛り上がり始めて8年近くが経ちました。各クラウドベンダーのFaaS(Function-as-a-Ser
NTT 社名変更を検討「来年メド」
10日に決算発表を行ったNTTは、2023年度の連結決算で過去最高益を更新したことを明らかにしました。 会見では今後、社名を変える可能性を示唆しました。 NTTの正式名称は「日本電信電話株式会社」ですが、すでに「電信」のサービスは終了しているためです。 NTT 島田明社長 「仮に変えるとすれば、株主総会に付議しないといけないので、来年ぐらいを目途にしっかり考えていきたい」 (「グッド!モーニング」2024年5月11日放送分より) ▶携帯大手3社が決算発表 NTTドコモとソフトバンクは増収増益 ▶NTTドコモとアマゾンジャパンが協業 Amazonでdポイントがたまる 経済圏拡大が狙い
Google Cloudが、顧客のアカウントを誤って削除し、大規模障害の引き金になる──こんな出来事が海外で起きた。オーストラリアで年金基金を運営するUniSuperは5月8日(現地時間)、自社サービスで起きていた障害について、プライベートクラウドのアカウントが誤って削除されたことが原因だったと発表した。 UniSuperはGoogle Cloudを活用していたが、米Google自身が誤ってアカウントを削除。UniSuperは冗長性を確保するため、別のリージョンにもデータを置いていたが、そちらも無効にされていたという。 アカウントが削除された経緯については「(Google Cloudが)UniSuperのプライベート・クラウド・サービスをプロビジョニングする際の不用意な構成ミスにより生じた」(UniSuper)と説明している。しかし、UniSuperは他社のサービスでもバックアップを確保し
PCで乱発する謎のバグは同一ネットワークに接続されているHiSense製Android TVが原因であることが明らかに
サウンドデザイナーでコンポーザーのプリシラさんが、長期間にわたって苦しんできたPC上で発生する謎のバグが、PCと同じネットワークに接続されているHiSense製Android TVが原因だったと報告しており、「HiSense製TVは買うな」と警告しています。 cohost! - "DO NOT BUY HISENSE TV'S LOL (Or at least keep them offline)" https://cohost.org/ghoulnoise/post/5286766-do-not-buy-hisense-t プリシラさんが自宅で使用しているWindows 11搭載PCは、長らく問題を抱えていたそうです。その問題のひとつが「ディスプレイ設定を開けない」というものでした。そのため、プリシラさんはディスプレイの表示を調整するために、Windows 11のディスプレイ設定ではなく
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 「日本にもチャンスがある」。VPNソフトなどを開発してきた情報処理推進機構(IPA) 産業サイバーセキュリティセンター サイバー技術研究室 室長の登大遊氏は、分散型クラウドコンピューティング時代の到来を予測し、分散型クラウド基盤ソフトウェアを作れるクラウド人材の育成を説く。 日本が海外クラウド事業者に依存するようになったのは、人材育成の方法を間違ったことにある。政府や民間企業が、クラウドやAIの人材育成を推進する発想までは良かったが、単にクラウドやAIを活用する人材の育成に陥ってしまったということ。それがデジタル敗戦につながり、デジタルサービスの支出は赤字になっている。 --登氏は、「クラウド人材」とはクラウド技術やクラウドサービスを設
この記事ですることを3行で Pythonの標準ライブラリでできる並列実行を、あらためて総当たりで速度比較しよう ウォーターフォールチャートで、それぞれの並列処理の処理時間の特徴を可視化しよう boto3の実行をモデルケースにして、どの並列処理が一番早いのかを調べよう この記事の結論を先に Python 3.12から本格的に使えるようになったサブインタープリターは、CPUで実行する処理について言えば、従来のサブプロセスよりも高速 boto3の実行は、サブインタープリターよりも署名付きURLの非同期実行のほうが速い → S3からの10ファイルの取得であれば、実行時間を90%削減できます → Bedrockの3回実行であれば、実行時間を60%削減できます 今回使ったソースコードはこちらに置いています。 お手持ちの環境で再実行できるようにしていますので、気になる方はぜひ。 どうしてこの記事を書くの
【回答】 弊社では、以下の内容として定義しております。 ◇対応 規格で定められている(カテゴリー5、カテゴリー6など)通信速度、材質、寸法・形状など 全ての項目を満たしているもの。 ◇準拠 通信速度は各カテゴリーと同等の品質を持つが、材質、形状・寸法などが規格外となるもの。 準拠品の多くはそれぞれのメーカー独自の形状や機能を持った製品となっています。
「情シス担当者がいなくなってサーバーやネットワーク機器を管理する人がいないので皆さんで管理しましょう」→斬新すぎる管理方法だった
Shadowhat @shadowhat HAGIWARA Takahiro (仮想化プリセエンジニア) 主にNutanix、最近M365、時々Linux、稀にネットワークな日々 発言は個人の見解であり、所属する企業の見解や意見を代表するものではありません。 Nutanix Technology Champion 2018-2024 infraapp.blogspot.jp Shadowhat @shadowhat 「情シス担当者がいなくなって社内のサーバーやネットワーク機器を管理する人がいないので皆さんで管理しましょう。」 といって、社内全員にAdministrator権限のユーザ名とのパスワードを共有する斬新な管理方法を聞いた。 なお、SIでソフトウェア開発をやっている会社さんだそうで。。。 2024-05-08 09:04:29
グラフニューラルネットワーク - Forkwell Library #50 https://forkwell.connpass.com/event/315577/ での講演スライドです。 サポートサイト:https://github.com/joisino/gnnbook グラフニューラルネットワーク(機械学習プロフェッショナルシリーズ)好評発売中!:https://www.amazon.co.jp/d/4065347823 連絡先: @joisino_ (Twitter) / https://joisino.net/
「Tailscale SSH」が正式版に到達。面倒な鍵管理が不要のSSH、VSCode拡張機能でリモートファイルも編集可能
「Tailscale SSH」が正式版に到達。面倒な鍵管理が不要のSSH、VSCode拡張機能でリモートファイルも編集可能 Tailscale社は、統合的なアイデンティティ管理による鍵管理を不要にした便利なSSHを実現する「Tailscale SSH」が正式版になったことを発表しました。 Tailscale SSH is now out of beta and into general availability! Still juggling SSH keys and managing identities across remote machines? There's a better way: https://t.co/sdvnCckSYg — Tailscale (@Tailscale) March 26, 2024 TailscaleはWireGuardをベースにしたVPN Tai
ではそもそも“1bit”とは何が1bitなのか、どうして1bitになるとGPUが不要になるのか。LLMでGPUが不要になるとどんな世界が訪れるのか。オーダーメイドによるAIソリューション「カスタムAI」の開発・提供を行うLaboro.AIの椎橋徹夫CEOに聞いた。 プロフィール:椎橋徹夫 米国州立テキサス大学理学部卒業後、ボストンコンサルティンググループに参画。消費財や流通など多数のプロジェクトに参画した後、社内のデジタル部門の立ち上げに従事。その後、東大発AI系のスタートアップ企業に創業4人目のメンバーとして参画。AI事業部の立ち上げをリード。東京大学工学系研究科松尾豊研究室にて「産学連携の取り組み」「データサイエンス領域の教育」「企業連携の仕組みづくり」に従事。同時に東大発AIスタートアップの創業に参画。2016年にLaboro.AIを創業し、代表取締役CEOに就任。 ──まず、1bi
次世代通信「6G」のロゴ決まる
AWS、大型トラックでデータセンターのデータを吸い上げる「AWS Snowmobile」がサービス終了に AWSが2016年に発表した、100ペタバイトのストレージを備えたトラックで顧客のデータセンターからデータを吸い上げるAWS Snowmobileのサービスが終了したことが明らかになりました。 米CNBCの取材に対してAWSの広報がサービスが終了したことを認めました。 AWS stops selling Snowmobile truck for cloud migrations - CNBC 現時点でクラウドへのデータ転送を物理デバイスで行う「AWS Snow」ファミリーのサービスには、AWS SnowconeとAWS Snowballの2つのデバイスがリストされていますが、AWS Snowmobileの名前はすでに消えていました。 エクサバイト級のデータ転送のために登場したAWS S
楽天モバイルがeSIMの不正乗っ取りについて注意喚起――安心安全に使えるeSIM環境を業界を挙げて取り組むべき
この記事について この記事は、毎週土曜日に配信されているメールマガジン「石川温のスマホ業界新聞」から、一部を転載したものです。今回の記事は2024年4月27日に配信されたものです。メールマガジン購読(税込み月額550円)の申し込みはこちらから。 第三者がフィッシングサイトなどを通じて入手した楽天IDとパスワードによって、My 楽天モバイルでeSIMの再発行を実施。モバイル通信サービスを乗っ取ってしまうという。 SMS認証で本人確認を行う他のサービスなども乗っ取られていくなど、さらなる犯罪に利用されてしまうことも予想される。 そもそも、楽天モバイルの仕組みは楽天IDとパスワードによって、eSIM再発行ができるなど、他社に比べてセキュリティが低いというのが以前から指摘されていた。 他社であれば、切り替えたい回線にSMSを飛ばす、あるいはeSIMを再発行する際、端末の紛失などでSMSを飛ばせない
SIMフリーのホームルーターで「楽天固定回線計画」が完成した2024.04.21 16:35165,268 小暮ひさのり 2023年2月27日の記事を編集して再掲載しています。 こんなに簡単なら、もっと早くやればよかった。 僕、実家には固定回線代わりに「Rakuten UN-LIMIT」のモバイルルータを設置していました。 どれだけ使っても月額3,278円。通信速度はモバイル回線なので遅めですけど、両親はたまにiPadでのWeb検索や動画を見るくらいのカジュアルユーザーなので、安く最低限のインターネットを整えられてめでたしめでたし…。 だったのですが、遊びに行って気がついたのが、Wi-Fiエリア狭すぎ問題。 ルータのある部屋から、1部屋でも離れると急激にWi-Fiが弱くなるのです。モバイルルータって一軒家規模だとやっぱり力不足なのね。 Photo: 小暮ひさのりこの問題に頭を抱えていたので
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
CAT6A準拠を名乗るフラットLANケーブル←こいつゴミです
Gmailにメールが届かなくなる!? 5月中にやるべき対応策をマンガで教えてください!WACUL安藤健作さんに聞いてきた | Webのコト、教えてホシイの!
令和時代の API 実装のベースプラクティスと CSRF 対策 | blog.jxck.io
偽造マイナンバーカードを使用したSIMスワップについてまとめてみた - piyolog
「Twitter.com」を「X.com」に自動変換 Xが仕様変更も、批判相次ぎすぐ撤回 ネット失笑
Winnyの金子さんのED法について | やねうら王 公式サイト
Google Cloud、豪年金基金のアカウントを誤削除 予備も誤削除 他社でのバックアップでなんとか復旧
IPAの登氏に聞く、「分散型クラウド基盤ソフトを作れるクラウド人材育成」
Python 3.12で増えた並列処理と、これまでの並列処理の挙動を比べてみる - Qiita
【LANケーブル】「対応」と「準拠」の違いはなんでしょうか?
中高生600万人に無償でサーバー環境を提供、Xserver
シスコ製のネットワーク構成図の作成・管理ツール「Network Sketcher」v2.2.0 ほか ~16件を掲載(4月22日のダイジェストニュース)【ダイジェストニュース】
僕たちがグラフニューラルネットワークを学ぶ理由
日本が飛び越してしまった技術? メタル線で高速通信を実現する「G.hn」へ至る道(その1)【ネット新技術】
生成AIでGPUがいらなくなる? 業界を揺るがす「1ビットLLM」とは何か、識者に聞いた
AWS、大型トラックでデータセンターのデータを吸い上げる「AWS Snowmobile」がサービス終了に
管理放棄状態のルーターが多いのは個人? 法人? 「NOTICE」で浮かび上がってきた他人まかせの惨状【イニシャルB】
NTT、世界で初めて多様な光ファイバーを通信断なく分岐・合流できる技術を実証。柔軟なネットワーク構築が可能に
SIMフリーのホームルーターで「楽天固定回線計画」が完成した