(この記事は、Dropbox社に対してフェアじゃないものになっています。続きの「Dropbox Businessは馬鹿が使うと非常に危険なことを検証しました」も読んでください) 最近、非常に重大な事故を起こしてしまったので報告します。実際の被害は、最高が7だとすると3か4ぐらい、しかし潜在的な危険度からいうと7段階で7、ってくらい重大。Dropboxでファイルを大量に失なってしまったばかりか、個人情報流出の危険をおかしてしまいました。(実際には流出といえるものはありませんでしたが) Dropbox Businessチームに招待され参加して「アカウントを統合」すると、自分では抜けられない状態になる それだけでなく、それまで自分がもっていたファイルもすべてチームのものになる 個人用の契約が勝手に解除されてしまう 私のアカウントを削除すると、管理者は私のファイルを自分のものにすることができる 管
「それがリーダーってもんだよ」 | quipped
同じフレーズを、太平洋を隔てた2つの場所で聞いたので、メモしておく。 @2012年12月東京のなんか洒落たカフェ 隣の席に20代半ばくらいの男女が座っていた。距離感からして友達だろう。女の子はルースフィットの灰色のデザイナーTシャツに橙色のホットパンツという出で立ちで、細長い足は黒いレギンスに包まれ、履いているヒールは恐らくCoachかなんかだろう。1とても趣味よくまとまっており、日本の女の子は綺麗だと再認識させられる。 打って変わって男の方は、よれよれのワイシャツを無造作に安ジーパンに突っ込んでおり、靴は薄汚いNew Balanceで、髪はぼさぼさだ。美女と野獣とは言わないが、美女と醜男には違いないので、面白半分に会話に聞き耳をそばだてた。ずっとNew Balanceの方が話していたのだが、どうやら彼はベンチャー企業で働いているらしい。 いろいろ大変だけど楽しいよ。やっぱね、仕事ってさ、
ソニーネットワークコミュニケーションズのインターネットワークサービス「NURO光」でレンタルされるネットワーク機器について、NURO光側が管理時に使用するアカウントIDとパスワードが特定されました。このアカウントを利用することで、通常はユーザーがアクセスできない機能にアクセスできるほか、root権限によるコマンド実行が可能になります。 GitHub - meh301/HG8045Q: Pwning the Nuro issued Huawei HG8045Q https://github.com/meh301/HG8045Q/ 目次 ◆1:「HG8045Q」の脆弱性の指摘 ◆2:脆弱性を確認してみた ◆3:新たな脆弱性を発見 ◆4:脆弱性の報告とNURO光の対応 ◆1:「HG8045Q」の脆弱性の指摘 研究者のAlex Orsholits氏によって報告された今回の脆弱性は、通信ネットワーク
日々権限設計で頭を抱えてます。この苦悩が終わることは無いと思ってますが、新しい課題にぶつかっていくうちに最初のころの課題を忘れていきそうなので、現時点での自分の中でぐちゃぐちゃになっている情報をまとめようと思い、記事にしました。 所々で「メリット」「デメリット」に関連する情報がありますが、そのときそのときには色々と感じることがあっても、いざ記事にまとめるときに思い出せないものが多々ありました。フィードバックや自分の経験を思い出しながら随時更新する予定です。 TL;DR(長すぎて読みたくない) 想定する読者や前提知識 この記事での権限とは 権限の種類 ACL(Access Control List) RBAC(Role-Based Access Control) ABAC(Attribute-Based Access Control) どの権限モデルを採用するべきか 権限を適用する場面 機能
大前提として客も店も細かいことはゴチャゴチャ言わないし、とりわけ中堅以下の企業化されたファミレス系やファーストフード系に至っては、サービスの水準はかなり低いという問題があるわけです。その点では、日本とは全く別世界で比較の対象にはならないのですが、個別の問題では参考になる点もあると考えて箇条書きにしてみました。 (1)役割分担がハッキリしています。例えば、注文を取るのは「サーバー」、最初に接客して客をテーブルに誘導するのは「ディスパッチャー」などという「専任」ですし、料理を運んだり皿を下げる専門の「アシスタント」など接客だけでも細かく分かれています。厨房の中も役割分担が明確です。 (2)職務内容は契約書で明確になっています。ですからコストカットのために、ある仕事を他の人間にカバーさせるなどということは不可能です。また契約に書いてあることは双方が履行しなくてはなりません。野球の井川慶選手がヤン
権限を持つと人は偉そうになってしまう
最近配置転換があり、昇格してさまざまな権限を持つようになった。社内のほぼすべての書類を見ることができ、社員の管理ができ、各社員の給与を見ることのできる権限をもらい、予算の裁可権限までもらった。 権限を持つようになると「○○さんが知ってるよ」という情報をどこかから得てきた人が「お忙しいところすみません」というふうに声をかけてくるようになった。今までもそういう声かけは皆無ではなかったとはいえ、明らかに急増した。これが実に煩わしい。煩わしいので、一時しのぎの雑な対応になる。雑な対応になると「お忙しいところ申し訳ありません」というふうに声をかけられるようになる。権限がない人からすると、権限がある人になるべく早くやってもらわないと仕事が進まないのでどうしてもそうなるのだ。 そして、誰がどういう業務をやっているのかかなりハッキリ見えてくるようになった。これはすごい。まるで王様にでもなったかのような気持
マイクロサービスにおける認証と認可の、一般論としての設計パターンを調べたところ、Web 上の複数の記事で似たようなパターンが登場していた。ここでは、まず認証と認可が実現したい一般的な要件と、そのマイクロサービスでの難しさを整理し、認証と認可に分けて調査したパターンをまとめた。 あくまで “一般論” なので、実際には個々のドメインにあわせてアレンジが必要 往々にしてこの “アレンジ” に価値が宿るものだが、まずはセオリーを知っておきたいというモチベーションで調査した Web 上の記事を読んでまとめただけなので、手を動かしての確認はしておらず、理解が甘い部分はご容赦ください 具体的な通信方式やサービス間通信のセキュリティといった具体論までは踏み込めていない。このへんはサービスメッシュやゼロトラストネットワークといったトピックが登場すると思われる これらは次回以降の Todo としています その
ツイッター社員、トランプ氏のアカウント消す 勤務最終日に
ドナルド・トランプ米大統領のツイッターアカウント「@realDonaldTrump」を検索した結果表示された「申し訳ありません、このページは存在しません」とのメッセージ(2017年11月3日撮影)。(c)AFP/dpa/Henrik Josef Boerger 【11月3日 AFP】ドナルド・トランプ(Donald Trump)大統領のツイッター(Twitter)アカウント「@realDonaldTrump」が2日夜、短時間消えた。ツイッターは当初「社員の人為的ミス」と説明していたが、その後の調査で勤務最終日だった社員が消していたことが分かったと明らかにした。 2日午後7時(日本時間3日午前8時)ごろ、トランプ大統領の書き込みを見ようとすると「すみません、そのページは存在しません!」というメッセージが表示された。 ツイッターは公式アカウントで「@realDonaldTrumpのアカウントは
AWSアカウント作ったらこれだけはやっとけ!IAMユーザーとAuthyを使ったMFAで2段階認証 - Qiita
AWSアカウントを安全に運用したいなら最低限これだけはやっとけというTIPSです。 0.AWSのアカウントの種類 AWSアカウントを作ったときには、AWSのrootアカウントしか存在していません。 このままだと「メールアドレス」「パスワード」で「AWSリソースの操作が何でも」できてしまいます。 そこで管理コンソールへのログインはMFA(Multi-Factor Authentication)を利用したうえで、root以外にIAM Userというアカウントを作成し、限定した権限で利用することが強く推奨されています。 rootアカウント:AWSアカウント作成時に作成される何でもできるユーザー IAMユーザー:権限を限定して設定できるユーザー 1.Authyのセットアップ 2段階認証を導入するためにハードウェア型のMFAデバイスか、ソフトウェア型のVirtual MFAが使用可能です。今回はVi
「しゃぶしゃぶ温野菜」で大学生刺傷事件 なぜブラックバイトは暴力的になるのか(今野晴貴) - エキスパート - Yahoo!ニュース
昨年夏からニュースになっていた「しゃぶしゃぶ温野菜」運営会社でのブラックバイト事件は記憶に新しい。同社では、大学生の4か月連続勤務や数十万円にも及ぶ「自爆営業」の強制が問題となっていた。 この事件について、新たな事実が判明した。「ブラックバイトユニオン」が今月17日に行った記者会見を行ったところによると、同社では学生を過酷に働かせるために暴力で脅し、包丁で刺すなどの傷害事件が発生していたという。 そして今回、当該店舗の元店長らに対して被害学生が、殺人未遂罪・暴行罪・恐喝罪・脅迫罪で告訴状を提出し、「しゃぶしゃぶ温野菜」の運営会社を提訴した。本件はブラックバイト事件初の民事提訴で、また告訴状が受理されれば同時に初の刑事告訴となる。 ただ、ここまでくると、このケースは「特殊な事例」であるように見えるかもしれない。しかし、今回の事件の背景には、どのブラックバイトでも共通の要素がある。それは、職場
インフラチームと開発チームの垣根をなくすためにAWSのCI環境を構築した話 - CARTA TECH BLOG
こんにちは、VOYAGE GROUP システム本部の @s-tajima です。 PHPカンファレンス2016 の「老舗メディアが改善に取り組んでいる話」でもお話した通り、長年オンプレミス環境で稼働してきたECナビを、AWSに移転しようというプロジェクトが進行しています。 そしてなんと先日、約24時間のメンテナンスを経てECナビの本体(Webサーバ, 管理画面サーバの一部, データベースサーバ)がAWSに移転しました! AWS移転において得た知見, 構築したシステム等は数多くありますが、今回はCloudFormationとTravis CIを用いて 生産的 で 安全 で 手軽 なAWSのCI環境を構築したお話です。 背景 ECナビは、500万人を超える会員を抱えたVOYAGE GROUPが運営している中でも特に大きなメディアの1つです。 今回、そんなECナビのインフラ調達期間の削減、検証環
当社アプリ(Android版)においてアプリの権限を求める件について | お知らせ | NEOBANK 住信SBIネット銀行
当社アプリのAndroid版バージョン5.0におきまして起動時にアプリの権限を求めることがございます。こちらは2020年7月31日にリリースを行いました「スマート認証NEO」の仕様によるものとなります。 いずれの権限も当社がお客さまの個人情報や他アプリの情報等を取得するものではございませんので、何とぞご理解賜りますようお願い申し上げます。 「スマート認証NEO」はサービスを利用するスマートフォンのみに保存された本人確認情報を利用して認証を行う方式で、従来のパスワードに変わる新しい認証技術(FIDO※)を用いています。認証に用いるデータがネットワークを経由せず端末のみに保管されているため、IDやパスワードなどの認証情報が漏洩するリスクが低く、より安心安全なお取引が可能となります。 また、当社「スマート認証NEO」ではFIDOの標準仕様に準拠して実装されており、お客さまのスマートフォンに保存さ
「権限要求多すぎ」──セブン-イレブンのTwitterキャンペーンに批判相次ぐ→中止に なぜこうなったかは「確認中」
セブン-イレブン・ジャパンが7月11日に始めたTwitterキャンペーンが波紋を呼んでいる。社名にちなんだ「セブン-イレブンの日」として無料クーポンをプレゼントする企画だったが、応募のためには個人のTwitterアカウントと外部アプリを連携させる必要があった。その際に要求される権限が不適切ではないかという声が上がり、同社は12日午後11時にキャンペーンの新規応募を中止した。 要求の中には「他のアカウントをフォロー、フォロー解除する」「他のアカウントをミュート、ブロック、報告する」「このアカウントでダイレクトメッセージを送信、確認、管理、削除する」など、アカウント情報を閲覧する以上の権限が含まれていた。 この要求を許可すると、セブン-イレブンが管理するサードパーティーアプリからツイートやフォロー、いいね、RT、プロフィール変更などの操作が可能となってしまう。これに対し、立命館大学の上原哲太郎
【続報】当社アプリ(Android版)においてアプリの権限を求める件について | お知らせ | NEOBANK 住信SBIネット銀行
2020年8月18日 住信SBIネット銀行株式会社 【続報】当社アプリ(Android版)において アプリの権限を求める件について 当社アプリのAndroid版バージョン5.0において起動時にアプリの権限を求める件につきまして、多くのお客さまからご意見等をいただいておりますことを真摯に受け止め、当社にて再度検証をした結果、以下のとおりアプリを改修いたします。 「写真と動画の撮影」権限の削除(8月末から9月上旬削除予定) 現在、実装していない機能であるため、権限取得機能を削除いたします。 「電話の発信と管理」権限の削除・「デバイス内の写真やメディアへのアクセス」権限の削除(9月中旬から下旬削除予定) 上記権限は、スマート認証NEOの機能を実装するための権限でしたが、当社内において再検討および検証の結果、セキュリティレベルを維持したまま、権限を求めない方法に変更のうえ、上記スケジュールを目途に
読み取り権限がなく実行権限だけのファイルが実行できるのはなぜ? - カーネルのソースを読む - - 猫型の蓄音機は 1 分間に 45 回にゃあと鳴く
きっかけはこのツイート。 基礎的なことなんだろうけど理解できてないこと。 読み取り権限のない実行権限だけのファイルってどういう扱いになるんだろう。— ゑぬぽい改@電探が出(ん)たん? (@NPoi) March 27, 2014 実際にやってみるとわかるけど、実行権限だけついてるファイルは実行可能です。でも、「読み込めないのに実行できる」というのは直感に反するような気もしますね。だって、実行するためにはプログラムをメモリに読み込む必要がありますから!ではなぜ実行権限だけのファイルが実行できるのか、その仕組みを解説します。 実行とはなにか、どういう仕組みなのか Linux において実行とは「forkしてexecする」です(そのへんの詳しい話は プロセスさん を読もう!)。 fork も exec もシステムコール(正確には execve がシステムコールで exec はそのフロントエンドだけ
サービス終了のお知らせ - NAVER まとめ
サービス終了のお知らせ NAVERまとめは2020年9月30日をもちましてサービス終了いたしました。 約11年間、NAVERまとめをご利用・ご愛顧いただき誠にありがとうございました。
So-net セキュリティ通信
特に断りのない限り、記載の金額はすべて税込金額です。消費税の計算上、実際の請求額と異なる場合があります。 セキュリティ対策ソフトをお申し込み済みの方へ 各セキュリティ対策ソフトをお申し込み後、ご利用にあたって、インストールを行う必要があります。 設定完了していない方は、下記よりお手続きをお願いします。
Steam for LinuxでSteamのデータ保存用ディレクトリを別の場所に移動した結果、ユーザーのファイルがすべて消去されてしまったというバグリポートが出されている(Neowinの記事、 本家/.)。 このユーザーは「~/.local/share/steam」フォルダーを別のドライブに移動し、元の場所にシンボリックリンクを張った。その結果Steamが起動しなくなり、新しい場所を指定しても解決せずにSteamはクラッシュ。再起動すると自動的に再インストールが行われ問題は解決したように見えたが、ルートディレクトリ以下すべての場所(マウントされている外付けドライブも含む)から、このユーザーのファイルが再帰的に消去されてしまっていたという。 同様のトラブルに遭遇した他のユーザーが、Steamのスクリプトで見つかった問題点を指摘している。スクリプトはある時点でデータの保存場所を「$STEAMR
この投稿は 13年 前に公開されました。いまではもう無効になった内容を含んでいるかもしれないことをご了承ください。 ミニコmeのテーマ作成中! 結局買っちゃった 半ば放置ぎみだったミニコme!の開発を再開したことと、4月に控えている破滅派大リニューアルに向けてWordPressの会員制機能を作っているので、それについて情報をまとめておきます。メモなので、である調です。 前提:WordPressデフォルトのユーザーシステム ユーザーの権限と種類を理解する WordPressにはデフォルトで5種類のユーザー種別(管理者・編集者・投稿者・寄稿者・購読者)が存在する。これに「非登録ユーザー」を加えると、デフォルトで6種類のユーザーが存在することになる。 一人の人間がブログとして利用するだけであれば、管理者以外は必要ない。有料ブログなどを展開するのであれば、管理者・購読者・非登録ユーザーとなる。複数
注意事項 かなり高度なGASの使い方なのである程度GWS(Googleフォームやスプレッドシート)やGASをわかってる方前提で書いていますので結構省略しているとこも多いです。 あと作った後に手順を書いているのでなにか抜け漏れあったらごめんなさい。 まだ作ってみただけで実際に運用はしてないのでテスト等も不十分かも。運用してからまた追記します。 コードは直接スクリプトエディタでサクッと作ったサンプルです、実際はローカルでLintかけたりするのでインデントおかしかったりしても許してください。 背景 GWSを使う際にマイドライブで外部共有可能にするとやりたい放題なのでセキュアな環境とは言い難くなる。 また組織のファイルをマイドライブにおいてしまうとファイルオーナーが退職したときの扱いに困る。上長に移管したり、退職者アカウントに移管するのが一般的かと思うが、移管するということはマイドライブのファイル
ドナルド・トランプ米大統領のプライベートアカウントである「@realdonaldtrump」が11月1日の夜、約10分間アクセスできなくなり、話題を呼んだ。 この件について、米Twitterは同日、公式アカウントで2回に分けて次のように説明した。 最初のツイートは「本日、@realdonaldtrumpのアカウントがTwitterの従業員の人的エラーにより失効しました。アカウントは11分間ダウンしましたが、復活しました。現在調査中で、今後このようなことが起きないようにします」というもので、その2時間後に「調査の結果、退社した当社のカスタマーサポート担当従業員が最終出社日にこれを行ったことが分かりました。現在内部調査中です」と調査結果をツイートした。 このツイートに対して「その11分間はここ最近で一番幸せな時間でした」「彼は英雄だ」「そのままにしておけばいいのに」など、アカウント失効を歓迎す
広告技術部の toshimaru です。この記事はGunosy Advent Calendarの24日目の記事です。 qiita.com はじめに Gunosyではいくつかの管理画面においてRuby on Rails(以降Rails)を利用しています。具体的には下記の管理画面においてRailsが利用されています。 社内メンバー向け管理画面: 社内の担当者が記事の管理を行ったり、Gunosyアプリのユーザーの管理を行ったりできる管理画面です メディア様向け管理画面: Gunosyに記事を提供していただいているメディア様向け管理画面で、レポート閲覧や記事管理を行うことができます 広告主様向け管理画面: Gunosy Adsに広告を配信していただいている広告様向けの管理画面で、広告出稿やレポート閲覧を行うことができます 今日はそんなGunosy管理画面を支えているRails技術をいくつかピックア
こんにちは。SRE部データ基盤チームの塩崎です。ZOZOテクノロジーズではGCPの管理を各プロジェクトのOwnerに任せていた時期が長く続いていましたが、今期から全社的なGCP管理者を立てることになりました。本記事では新米GCP管理者である僕が全社的なGCPの管理をする上で遭遇した事例を紹介します。時には泥臭い方法で、時にはプログラムの手を借りて自動化をし、数々の難題に対処しました。 GCPのリソース階層について 具体的な事例紹介の前に、GCPのリソース階層を説明します。多くのGCP利用者からは、プロジェクトが最上位のリソースであるように見えますが、実はそれ以上の階層が存在します。以下の図をご覧ください。図の通り、プロジェクトの上位リソースとしてFolder、Organizationという2つのリソースが存在します。 cloud.google.com Folderはプロジェクトの論理的なま
「お金なら出しますから、4ヶ月のところを2ヶ月で作ってくれませんか?」 システム開発で、顧客からこう言われた時、どうするか? SIerの経営者や管理職であれば、飛びついてしまうんじゃないだろうか。私だって飛びつきたい。確かにエンジニアがいるなら、もしくは、集める目処が立つなら、ありがたい話かもしれない。XPでも、「リソース・スコープ・品質・時間」のパラメータで、品質以外は変動可能としている。 ということは、リソースがなんとかなれば、時間を短くする、もしくは、時間を変えずにスコープを増やすことができるのだろうか。人月という単位で考えれば、計算上は出来るかもしれないが、実際には難しいと言わざるを得ない。それはなぜか。ボトルネックは、プログラムを作る速度か、それとも、仕様を決めて受け入れる速度か。 冒頭の台詞は、開発側にこそボトルネックがあり、コストさえかければスピードアップできると考えているか
昨日は ginza.rb 31回目のミートアップでした。 Ginza.rb 第31回 ユーザの権限管理どうしてます? - Ginza.rb | Doorkeeper @kyuden_ さんに、現状の二大認可 gem である cancancan や pundit、それらの問題点を解決するために作った banken について発表してもらいました。 感想 個人的には pundit のリソースベースでの権限管理は悪くないと思っています。ただスライドで書かれているような、Admin::UsersControlller と UsersController で処理を分けたい時などのエッジケースで回避策を模索しなきゃいけないのはだるいですね。banken だと、コントローラベースなのでコード記述量は増えてしまうのですがその分ハマりどころが減るので、そのトレードオフを考慮しつつ案件によって使い分けるのがいい
MYSQLのユーザ関連コマンドのついて紹介しています。 [toc] ユーザの作成 ユーザ名は半角英数の16文字までです。 構文 GRANT権限 ON *.* TO ユーザ名 IDENTIFIED BY 'パスワード' WITH GRANT OPTION; 全ての権限を与えた場合 ALL PRIVILEGES =全ての権限を与える WITH GRANT OPTION =権限の書き換えを許可する 使用例 mysql> GRANT ALL PRIVILEGES ON *.* TO sasuke IDENTIFIED BY 'aaa' WITH GRANT OPTION; Query OK, 0 rows affected (0.03 sec) 一部権限、SELECT,INSERTのみ与えた場合 使用例 mysql> GRANT INSERT,SELECT ON *.* TO
今日はユーザが意識することなく、接続元 IP アドレスによって IAM 権限を「管理者権限」「参照権限」に切り替える方法を紹介したいと思います。やりたいことを絵にすると、以下のとおりです。 例えば、オフィスやセキュリティエリア内など特定の IP アドレスからアクセスしている場合は、「管理者権限」として利用でき、自宅などパブリックアクセスの場合には「参照権限」のみに権限が変わる想定です。 今回は IAM 管理アカウントでのみ IAM ユーザを発行し、AWS リソースのあるアカウントにはスイッチロールでログインする想定で検証していますが、スイッチロールしない環境でも同じことは出来るかと思います。 IAM ユーザー準備(スイッチ元 AWS アカウント側) IAM 管理アカウントに IAM ユーザを作成します。AWS コンソールにはこのアカウントの IAM ユーザでログインし、各環境にスイッチロー
Jenkinsで特定のプロジェクトだけ閲覧できるユーザを作成するには|TechRacho by BPS株式会社
morimorihogeです.ちょっと前回から間の空いた投稿になってしまいました.今回はJenkinsの話. Jenkinsの概要 JenkinsはTDD,BDDなどを使い,自動テストでCI(Continuous Integration)を回していく際に使えるCIサーバです.同等の物としては,GithubにおけるTravis CIやGitLabにおけるGitLab CIなどが挙げられます,ちなみにJenkinsは昔はHudsonという名前でした. Jenkinsの特徴としては,歴史が長いので動作自体の安定性や導入実績が十分にあること(枯れている),WARコンテナにまとまっているのでインストールが割と楽,プラグインが豊富にあり,機能拡張がやりやすいことなどが挙げられます.Travis CIはGithub専用ですし,GitLab CIは導入実績の面でまだ試行錯誤が必要そうなことや,GitLab
このコマンドはコンテナ内のroot権限だけでなく、ホスト側のroot権限も与えてしまうので簡単にバックドアを設置できてしまうのです。(設置するコマンドは調べればすぐに出てきますが流石にコピペできるように書くのはやばいので) また他にもコンテナを--privileged付きで起動しホストの/をマウントしてchrootするというもっと凶悪な手もあります。 元々sudoが使えるのに、何が問題なの? 問題はユーザーが意図的にdockerコマンドを実行した時には発生しません。問題は悪意のあるプログラムがサーバなどに混入した時や、怪しいDockerfileを使用した場合です。 大抵の悪意のあるプログラムは何らかの手段でroot権限を取得しようとしますが、それはゼロデイ脆弱性であったりそもそもの権限のミスであったりしますが、dockerがインストールされている条件下ならばこの方法で権限昇格を狙ってくる場
2024年になりました。 さて今年はどんな年になるのやら・・・。 久しぶりの書き込みですが、やはりブログの方が個人的なことなどは発信しやすいと思い、こちらに戻ってきました。 日頃の小ネタとか備忘録とか、ちょろちょろと書いていきますので、あらためてよろしくお願いします。
よく訓練されたアップル信者、都元です。AWSにはIAMという権限管理のサービスがあります。AWSを専門としている我々にとっては当たり前の知識なのですが、皆さんはこの機能を上手く使えているでしょうか。 AWSにおけるクレデンシャルとプリンシパル まず、AWSにおけるクレデンシャルは大きく2種類 *1に分かれます。 Sign-In Credential:Management Consoleログインのためのクレデンシャル(要するにパスワード) Access Credentials:APIアクセスのためのクレデンシャル(要するにAPIキー) また、プリンシパル(ログインする主体、ユーザ名等)にも大きく2種類 *2があります。 AWSアカウント IAMユーザ これらの組み合わせとして「AWSアカウントのパスワード」「AWSアカウントのAPIキー」「IAMユーザのパスワード」「IAMユーザのAPIキー
RBACの基礎 業務システムの権限制御の基本形はロールベースアクセスコントロール(RBAC)です。簡単化すると、以下のようなモデルです。 Subject(システムユーザ)は、複数のRole(ロール)を持っている。 Role(ロール)は、Permission(権限)のセットからなる。 Permission(権限)は、オペレーション(許可される操作)のセットからなる 具体的に、Redmineでの例をみてみましょう。 ユーザにはデフォルトで「管理者」「開発者」「報告者」のロールが割当可能である。 「報告者」ロールは、「Add Issues」の権限をもつ。 「Add Issues」の権限をもつユーザは、「Issueの新規作成」ができる。 このモデルをRedmineでは、以下のように表現しています。 Redmineは1人のユーザを、複数のプロジェクトに異なるロールでアサインすることができるので、上記
書いてってリクエストされたので、書きます 2020.07.29 神々からいろんなお知恵を授かったので一部修正しています 主な修正点はOIDCのグルーピングと権限周りについてです。こちらできないと書きましたが、OIDCのclaimとして存在しているのでSP側で対応していれば可能なようです。できるかどうかはSP(サービスの対応次第) 最初に言いたいこのnoteはSSOから始まり、SAMLとかIdPだとかOIDC・OAuthだとか最終的にはProvisioningまでと用語はたくさん出てきますが、技術的な部分はほぼ削ってます。そして、情シス目線でコンシューマーサービスを利用したい・制御したいという立場で書いてます。tCサービスではまた違う角度でみる必要があるので、気をつけてください。あくまでこれは情シス目線 Tech寄りの要素が知りたくなったら他で調べてみてください。このnoteは、認証認可って
Windowsのサービスで使用される「System」「Local Service」「Network Service」アカウントとは?
Windowsのサービスで使用される「System」「Local Service」「Network Service」アカウントとは?:Tech TIPS Windows OSでは、アクセス権の設定画面や実行中のプロセス/サービス一覧で、「System」「Local Service」「Network Service」という作った覚えのないアカウントを見かけることはないだろうか。これらの正体や指定方法、注意点を解説する。
chmod [-cfvR] [--recursive] [--changes] [--silent] [--quiet] [--verbose] [--help] mode file...
オンプレミスからクラウドへの移行をはじめ、ハイブリッドクラウド環境をシームレスに保護しながら、クラウドの利点を実現します。 詳しくはこちら
MySQLでは細かいレベルの権限付与が可能ですが、大抵の場合そこまで細かいレベルの権限付与は必要ないですよね? マニュアルを読まないか、もしくはちょっとしたメモ書きを見る程度でおおよそ使い方が理解できるくらいならいいのに、といつも思います。 そこで今回は、MySQLのユーザ権限付与の中でも、とりわけよく行われる手順だけを簡単にまとめてみました。 【まず知っておいたほうが良いこと】 ユーザはmysqlデータベース内のuserテーブルに作られます。 次に例えば以下のユーザの情報を見てみると「_priv」系のカラム値が全部「Y」であることがわかります。この場合はグローバルレベル権限として全部「Y」なので、全てのテーブルに対して接続が可能となります。 mysql> select * from user where User='adminuser' \G **********************
フリーアナウンサーの長谷川豊氏が2月6日、千葉市内で記者会見を開き、日本維新の会の公認候補として次の衆院議員選挙に立候補することを発表した。 長谷川氏は2016年9月、「自業自得の人工透析患者なんて、全員実費負担にさせよ!無理だと泣くならそのまま殺せ!」などとしたタイトルのブログを投稿。その後、批判を受けて、ブログの「殺せ」という文言などについては削除し謝罪した。また、当時出演していた全番組を降板した。
チーム力向上のためのエトセトラ - Qiita
この半年間、久しぶりに開発チームのマネージャ的な立場もやることになったので、「ふつうの受託開発チームのつくりかた」以来、工夫したことをまとめておきます。「ふつうの受託開発チームのつくりかた」未見のかたはぜひそちらも見てみてください! チームに名前を付ける 私の受け持つチームは伝統的に「ラスカル」の名を付けるようにし、チームのアイデンティティを保つようにしています。チームメンバも本当は出来るだけ長く担当してもらいたいのですが、大きなSIerだとそれが難しいこともあります。 通常のプロジェクトチームだと、サブシステム名くらいで呼ばれることでしょう。これは、そのプロジェクトが終わったらチームも終わり、で帰る場所も無くなることを意味しますし、愛着をもって働くことは難しくなります。 メンバが多少入れ替わっても、チームは継続する"モーニング娘。方式"であれば、またいつか戻ってくることもできるし、OBと
ユーザーに設定できる権限の種類と一覧
ユーザーが MySQL に接続したあとデータベースやテーブルを作成したり、テーブルからデータを取得するにはその操作に対する権限が設定されている必要があります。ここでは MySQL における権限の種類と権限の一覧について解説します。 グローバルレベル(G) グローバルレベル権限は全てのデータベースに適用される権限です。この権限は mysql.user テーブルに格納されます。 データベースレベル(D) データベースレベル権限は特定のデータベース内の全てのオブジェクトに適用される権限です。この権限は mysql.db テーブル内に格納されます。 テーブルレベル(T) テーブルレベル権限は特定のテーブル内の全てのカラムに適用される権限です。この権限は mysql.tables_priv テーブル内に格納されています。 カラムレベル(C) カラムレベル権限は特定テーブル内の単一カラムに適用される権
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Dropbox Businessは非常に危険です | 江口某の不如意研究室
NURO光で使用する管理者アカウントが特定される、見えてはいけない画面がまる見え&root権限も奪取可能
アプリケーションにおける権限設計の課題 - kenfdev’s blog
アメリカの外食産業に過労死がない理由とは?
Microservices における認証と認可の設計パターン
Steam for Linuxのバグ、予期せぬ「rm -rf "/"*」 | スラド Linux
WordPressで会員制サイトを作るときの勘所 | 高橋文樹.com
GoogleフォームとGASを使って利便性高くセキュアな共有ドライブ運用を作る
Twitter従業員、退職日にトランプ大統領のアカウントを失効させて英雄扱い
Gunosy管理画面を支えるRails技術 - Gunosy Tech Blog
GCPの秩序を取り戻すための試み 〜新米GCP管理者の奮闘記〜 - ZOZO TECH BLOG
アジャイル開発のボトルネック | Social Change!
権限管理のgemで良いのはどれ? - おもしろwebサービス開発日記
MySQL - ユーザの操作(作成、パスワード変更、削除)
接続元 IP アドレスに基づいて IAM 権限を変更をしたい | DevelopersIO
Dockerでユーザーをdockerグループに追加することの危険性を理解しよう - Qiita
プリンタの設定を保存して戻すのがエラーになってしまうよー。 今日もなんだかいい天気♪/ウェブリブログ
IAMによるAWS権限管理運用ベストプラクティス (1) | DevelopersIO
業務システムにおけるロールベースアクセス制御 - Qiita
情シスがなんで社内システムにIdPというかSAMLを導入した方がいいのか【一部訂正しました】|kobaso
【 chmod 】 ファイルやディレクトリのアクセス権を変更する
Dockerコンテナを特権モードで実行することが危険な理由
急いでいる人のためのMySQLのユーザ権限付与講座 - sanonosa システム管理コラム集
長谷川豊氏、衆院選出馬を表明 「殺せ」撤回も「『自業自得』の線引きをするのが政治だ」