Puppeteer +Lighthouse +GitHubActionsで認証付きWebアプリのWebperfを定期計測
Puppeteer + Lighthouse + GitHub Actions を使って Web アプリのフロントエンドパフォーマンスを定期計測するプロジェクトを作ってみたら良い感じだったので紹介です。 何を作った? このように GitHub Actions 上で 認証付きの Web アプリに対して Puppeteer 介し Lighthouse を定期実行し、結果を Datadog に送信するプロジェクトを作りました。 実際にそのプロジェクトの計測値を使った Datadog のダッシュボードはこちらです。 Webperf の主要指標をページ別に時系列で表示しています。 サンプルプロジェクトはこちらにあります。 以降で実装について簡単に解説します。 Puppeteer + Lighthouse によるパフォーマンス計測 Puppeteer + Lighthouse によるパフォーマンス計測
一般財団法人日本情報経済社会推進協会(JIPDEC)は11月18日、パスワード付きファイルのメール送信について、誤送信した場合に情報の漏えいを防げないなどとして「以前から推奨していない」とする公式見解を発表した。 パスワード付きファイルをメールに添付する場合、ファイルとパスワードをそれぞれ別メールで送る場合がある。こうした慣習を「Password付きzipファイルを送ります、Passwordを送ります、An号化(暗号化)Protocol(プロトコル)」の頭文字を短縮し、セキュリティの世界ではPPAPと揶揄(やゆ)することが多い。 17日に平井卓也デジタル改革担当相が、霞が関でいわゆるPPAPを廃止する方針を示したことを受け、JIPDECに「zipファイルがダメなのか」などの問い合わせが複数寄せられたという。 JIPDECは事業者の個人情報の取り扱い体制について評価・認証する「プライバシーマ
IDaaSベンダのOkta、月間1万5000アクティブユーザーまで無償の「Okta Starter Developer Edition」提供開始。多要素認証にも対応、開発者向け施策を拡大
IDaaSベンダのOkta、月間1万5000アクティブユーザーまで無償の「Okta Starter Developer Edition」提供開始。多要素認証にも対応、開発者向け施策を拡大 代表的なIDaaSベンダの1つであるOktaは、開発者向け施策拡大の一環として無償利用の範囲を拡大した「Okta Starter Developer Edition」の提供開始を発表しました。 Today at #Oktane21, we announced our new reimagined developer experience. Developers need tools that put security at the forefront while seamlessly integrating with any hybrid, cloud, or multi-cloud environmen
[追記] 2022/8/4 に Twilio がフィッシング攻撃で顧客データを漏洩しました。これが下で説明していたデータを預けるリスクです。 クラウド電話APIサービスのTwilioにフィッシング攻撃で顧客データ漏えい - ITmedia NEWS クラウド電話APIサービスを手掛ける米Twilioは8月7日(現地時間)、4日に「高度なソーシャルエンジニアリング攻撃」を受け、一部の顧客アカウント情報に不正にアクセスされたと発表した。 最近驚いたのですが、どうもセキュリティ・プライバシーを重視する人たちは Twilio Authy から他のワンタイムパスワード(TOTP [Time-based One Time Password])ツールに移行しているようです。 TOTPは多要素認証としてよく使われるようになってきています。Google は2要素認証(2段階認証)によってアカウントへの侵入が
おじいちゃんのスマホ操作を見ながら感じた認証のあり方について - freee Developers Hub
こんにちは。認証認可基盤エンジニアのてららです。 最近好きな言葉はコンフォートゾーンです。好きな食べ物はニンジンです。 猫派です。 経緯 週末、パートナーが祖父母の家に帰るということで付き添いをしてきました。 その1つの目的としてパートナーの祖父(以下、おじいちゃん)がスマートフォンを利用していたのに急にスマホアプリから認証を求められて困っている、とのことでそれの解決をしていました。 「なんとか出来ないかねぇ」ということでパートナーがおじいちゃんのスマホを触りながら操作方法を教えつつ、認証情報を探しておじいちゃんに手解きしている様子を眺めていました。 その時、“ログイン”や“ユーザーID”、知識認証情報を紙に記してその紙の管理をしていたところからこのアプリは何をしたかったのか、おじいちゃんが苦労せずにアプリを触るためにはどうあるべきなのかをずっと考えていました。認証認可基盤のエンジニアとし
DDDにおける認証の実装場所
こんにちは。株式会社プラハCEOの松原です。 DDDに基づいて開発しているアプリケーションの「認証」ってどこで実装するのが良いのだろう? 対象読者 何となくDDDに関する本を読んで理解した気がする 試しにDDDに基づいてアプリケーションを実装し始めた 認証の実装をどこに書くべきかわからず詰まった 結論(オニオンアーキテクチャの場合) 実装はUI層かInfrastructure層 自分ならInfrastructure層 認証後のインターフェースはアプリケーション層 コンテキストは1つにまとめている前提(認証コンテキストを作らない場合の置き場所) UI層って何やねん DDDとの相性の良さからよく併用されるオニオンアーキテクチャの図を見ると、以下3つの層が一番外側に位置しています: UI(User Interface) Infrastructure Tests (図はこちらから引用) UIと言え
スマートフォンが手元にないとGoogleアカウントの2段階認証が行えない? Googleアカウントの2段階認証プロセスでは、スマートフォンに送られてきたセキュリティ通知で[はい、私です]ボタンをタップする必要がある。しかし、スマートフォンが手元にないと、セキュリティ通知に対応できない。スマートフォンが手元になくても、2段階認証プロセスをパスできるようにする方法を紹介しよう。 Googleアカウントでは、セキュリティのため2段階認証を設定することが推奨されている。そのため、Googleアカウントに2段階認証を設定している人も多いのではないだろうか。 Googleアカウントの2段階認証プロセスでは、「新しいデバイスでのログインなど、重要な操作を検知した場合」などに、デフォルトではスマートフォンにGoogleからのメッセージ(セキュリティ通知)が表示され、そこで操作を行わないと、ログインできない
個人情報が渡らない匿名実在認証システムがほしい
マイナポータルハッカソンなるものをデジ庁がやるらしいのだが、それを見ていて思ったやつを一つ。 https://www.digital.go.jp/policies/myna_portal/hackathon/ 個人情報を相手に渡さない個人認証システム、匿名実在認証システム、みたいなの誰か作ってくれないか。 個人情報扱わないOAuthみたいな感じで手軽に使える奴を。 概要アカウントを作るときにマイナポータルでマイナカード認証させるマイナポータルで認証すると、マイナポータル側では任意の一意のトークンを発行する。 このトークンは以下のような性質を持つ。 マイナポータルが発行したことは保証される認証するサービス相手ごとに全く違うトークンになる。故にサービスを跨いでの名寄せはできない。認証が破棄されるまで、同じ人が同じサービス向けに発行すると毎回同じトークンになる 非可逆的で、一方的。トークンから元
稲村勝樹(いなむらまさき) @inage39 広島市立大学大学院情報科学研究科准教授 専門は情報セキュリティ 86乗り、アマチュアクラシックギター演奏者、ウォーキング、その他趣味いろいろ… 発言は個人的見解であり、所属する組織とは関係ありません https://t.co/xRqV0V16b8
「上司から『認証は簡単な仕組みだから自社開発できるでしょ?』『SaaSを使う必要あるの?』と問われ、Auth0(オースゼロ)の導入に苦戦しました」――。NTTドコモの兼岡弘幸氏(サービスデザイン部 クラウドアプリ開発担当 主査)は、Auth0日本法人がこのほど開いたイベント「Auth0 Day 2019」でこう語った。 ドコモは現在、3月にリリースしたドローン管理プラットフォーム「docomo sky」の会員ログイン基盤に「Auth0」を活用している。Auth0は、ログインに必要な認証機能や、二段階認証、不正アクセス検知などのセキュリティ機能を、ベンダーの米Auth0がクラウド経由で提供するサービス。SaaSの一種で、いわゆる「IDaaS」(Identity as a Service)にも該当する。 IDaaSを活用すると、開発の高速化、ID管理の効率化、セキュリティ強化などが見込まれるた
公開鍵認証を悪用、初逮捕 HP改ざん容疑で25歳会社員 | 毎日新聞
「二段階認証…?」と言わないためのMFA入門 --- あるいはIDシステム地獄への案内 - ブログなんだよもん
はじめに さて、7 Payの社長が2段階認証知らなかった問題が良い感じに炎上していますね。 個人的には常に知っておく必要が絶対あるかというと専門分野の問題があるから議論の余地あるとして、セキュリティの問題で会見するなら部下にちゃんとレクさせろよ、とは思う。 7 PayとMFAの話は下記の動画でも話したんですが、7 Pay云々は忘れて「そもそもMFAってなに?」ってところをもう少し整理してまとめていきたいと思います。 www.youtube.com 認証と認可 まずはおきまりの「認証(Authentication)」と「認可(Authorization)」の違いです。 日本語で書いても英語で書いてもややこしいのですが、「認証」とは「Identify」すなわち誰であるかの確認です。対して「認可」は「Access Control」すなわち誰に何をさせる事を許可するか、という事です。 基本的にはM
マジックリンク認証の落とし穴
TL;DR 主にモバイル端末からの利用において、ユーザーが手間取ることが多い エンジニアなど、リテラシーが高いユーザー層を対象にした場合にのみ利用したほうが良さそう マジックリンク認証、使ってますか? マジックリンク認証とは、メール内に記載されたリンクを踏むことで認証が完了する認証方式です。パスワード流出のリスクが無いことから、パスワード認証に比べてセキュアな点が特徴です。 Slackが採用しているため、ユーザーの立場で使ったことがある人は多いと思います。 筆者は一時期Firebaseを多用していたのですが、Firebase Authenticationを使用すると簡単にマジックリンク認証を実装することができ、またパスワード設定/変更/忘れ等を考慮する必要がないことから実装の手間を省けると考え、個人開発のプロダクトで採用しました。 実際開発は短期間で終わり、最小限のコード量で済んだことから
三要素中二要素認証
最近のスマホは指紋や虹彩などの生体認証になっているものが多いが、生体での認証に失敗してもパスワードなどでロックを解除できる。 つまり生体要素と知識要素の二要素認証だね!って、そんなわけがあるまい。 二要素認証は二要素をANDで認証する方式だ。 生体認証と知識認証をORで結んでいるスマホのロックは二要素認証ではなくて「二要素中一要素認証」とでも言うべきだろう。 二要素中一要素認証は、はっきりいって一要素認証より安全性が小さい。 攻撃者は時と場合によりどちらか簡単な方を盗むだけで突破できるからだ。 それならば純粋な一要素認証にした方が遥かにセキュアだろう。 しかしこういう認証にしたくなる気持ちもわかる。 生体認証は便利で強力だが精度が微妙で、本人でも認証できないことがザラにあるからだ。 生体要素、所持要素、知識要素、どれをとってもそれぞれの異なる事情で本人のもとから「失われる」ことがある。 そ
2 段階認証プロセスでの変更について
メディア関係者向けお問い合わせ先 メールでのお問い合わせ: pr-jp@google.com メディア関係者以外からのお問い合わせにはお答えいたしかねます。 その他すべてのお問い合わせにつきましては、ヘルプセンターをご覧ください。
米Twitterを買収したイーロン・マスク氏は11月1日(現地時間)、うわさされていた「青バッジ」とも呼ばれる認証バッジの有償化について構想をツイートした。青バッジを米国などで提供しているサブスクプラン「Twitter Blue」(日本ではまだ提供していない)の1機能とし、このプランの料金を現在の月額4.99ドルから8ドルに引き上げるとしている。 うわさ段階では、月額19.99ドルに引き上げるとされていたが、10月31日に作家のスティーブン・キング氏(フォロワー数は693万人以上)の「青バッジをキープするために月20ドルだと? ばかな話だ。むしろ私に(ギャラを)払うべきだ。本当にそうするならエンロン(2001年に経営破綻した大企業)みたいに消えるぞ」というツイートへのリプライとしてマスク氏は「Twitterは広告だけに依存するわけにいかないのです。8ドルならどうですか?」とツイートし、「実
楽天モバイル(MNO)には、「Rakuten Link」という特徴的なサービスがあります。RCSという国際規格をベースとしたもので、通信回線に依存しない形で、つまりWi-Fiや他社回線経由でも、このアプリを使えば楽天モバイルの電話... しかし、上の記事で紹介した通り、「楽天のSIMが入っていない別のスマホでも設定できる」仕様なので、その自由度ゆえにセキュリティをしっかりと担保してもらわないと「乗っ取り」の危険性があることは想像に難くありません。Linkのログイン時にはSMS認証を求められる(=その電話番号を使える本来のSIMカードが手元にないと設定できない)のでまあ大丈夫、と思っていたのですが……。 なんと恐ろしいことに、セキュリティの要所となるSMS認証にあまりにも分かりやすい抜け穴が作られていることが発覚し、一部のユーザーの間で話題になっています。 まず、Rakuten Linkの設
Twitter、企業向けの金色認証バッジの料金を月額1,000ドルに設定か ー 関連アカウントは月額50ドル/個に | 気になる、記になる…
Twitterはイーロン・マスク氏がCEOに就任して移行、認証バッジ制度の改革を行っており、青いバッジ(チェックマーク)は「Twitter Blue」の加入者であれば誰でも貰えるようになった他、企業向けの金色バッジや、政府機関や政府関係者、大使館など多国間に関係する主要機関向けに灰色のバッジが導入されましたが、The Informationによると、Twitterは金色の認証バッジを維持する為に、月額1,000ドル(約13万円)を課金することを検討していることが分かりました。 金色の認証バッジは、昨年12月に発表された法人が運用するアカウントに向けの「Twitter Blue for Business」に加入した企業に対して付与されるもので、契約することで、企業はスタッフやブランドなどをいくつでも自分のアカウントに関連付けることも可能になる予定です。 The Informationが閲覧し
Twitter API有料化、アカウント認証には影響なし? 「ブルアカ」「アズレン」のYostarが「Twitter社に確認」
スマートフォンゲーム「ブルーアーカイブ」「アズールレーン」などを手掛けるYostar(東京都千代田区)は2月2日、米Twitterが同日に発表した無料APIの提供停止を巡り、Twitterアカウントを使ったログインには影響がない見通しを示した。「Twitter社と確認し、アカウント連携の仕様について影響がないと回答があった」(Yoster)という。 ただし万が一の事態に備え、アカウントを復旧できる「引継コード」の発行や、同社の独自ID・AppleIDとアカウントとの連携をしておくようプレイヤーに呼び掛けている。 Twitter API無料版の提供は9日に終了する。今後は代わりに有料版を提供するという。詳細は来週発表する予定で、正確な影響範囲はこのタイミングで判明するとみられる。 関連記事 Twitter、APIを有料化へ 無料提供は9日で終了 「詳細は来週発表する」 米Twitterは、T
Goの初心者から上級者までが1年間の学びを共有する勉強会、「GeekGig #1 ~Goと私の一年~」。ここで株式会社Showcase Gigの高橋氏が登壇。マイクロサービスセキュリティの難しい点と、認証認可の実施方法を紹介します。 自己紹介 高橋建太氏(以下:高橋):「認証認可とGo」について説明します。まず自己紹介です。現在Showcase GigのPlatformチームに所属しています。主に認証認可の機能を担当しています。高橋建太です。 週1回会社でGoの知見を共有したり、ドキュメントを読んだり、Goについてみんなで話す緩い勉強会を主催で開催しています。もし合同で勉強会やりたい方がいれば、気軽に連絡してください。ぜひやりましょう。 「O:der」について まず前提知識として、「O:derとは?」について、あらためて説明します。ちょっと内部寄りな説明となり、実際のものは若干スライドの図
陸上自衛隊の「日報」、森友・加計学園の資料、「桜を見る会」の招待者名簿……。安倍政権では公文書のずさんな管理が次々と発覚した。これらを受け、国立公文書館は、公文書管理の専門家である「アーキビスト」の認証制度を創設することを発表した。今年9月末まで申請を受け付け、来年1月に認証アーキビスト1期生約70人が誕生する。行政による不都合な書類やデータの隠蔽を、防ぐことができるのだろうか。(文:ジャーナリスト・岩崎大輔/Yahoo!ニュース 特集編集部)
Auth0 は認証・認可サービスをクラウドで提供している SaaS ベンダーです。 「認証」という機能はどのアプリケーションにも求められる重要な要件ですが、プロダクトの本質的なビジネス価値を持たない場合が多いでしょう。Auth0 を使用することで、この「認証」機能という Undifferentiated Heavy Lifting な作業を排除できます。 本記事では、簡単な React アプリケーションを作成して Auth0 を使用した認証機能を実装します。また、作成したアプリケーションを Vercel(旧 Zeit now)にデプロイする方法を解説します。ユーザのサインアップ後の確認メールなどは SendGrid から送信されます。 以下は、本記事で紹介するアプリケーションの簡単な構成図です。また、本記事で実装されたアプリケーションは Vercel にデプロイしています。こちらからアクセ
1passwordのアイテム編集画面で、フィールドタイプを眺めててふと思った。「ワンタイムパスワードってあるけど、これ、AWSで多要素認証するときの『仮想MFAデバイス』に使えるのでは」と。結論から言えば、使えた。快適。でもこれは多分「人をダメにするナントカ」的な快適さだ。やっちゃいけないやつだ。 AWSでは、AWSアカウントの管理者であるrootユーザー(メールアドレスでログインする人)と、利用者であるIAMユーザー(ユーザーIDでログインする人)のどちらでも、多要素認証(MFA:Multi-Factor Authentication)を設定して認証を強化できる。 認証方法はパスワード認証+ワンタイムパスワード(当人が知っていること+当人が持っているもの) ワンタイムパスワードの生成には、専用のデバイスであるU2FセキュリティキーやハードウェアMFAデバイス、スマホアプリである仮想MFA
9月12日(現地時間)、米Appleは新製品発表イベントを開催、「iPhone 15」シリーズをはじめとした製品群を発表した。筆者は今年も米国のApple本社を訪れ、取材を続けている。
Windows 10の「ライセンス認証」とは Windows 10の「ライセンス認証」は、使用中のWindows 10が正規品であり、ライセンス条項で許可されているデバイス数を超えて使われていないことを確認するための手続きです。Windows 10のライセンス認証方式には、プロダクトキーとデジタルライセンスの2種類があります。どちらもMicrosoftアカウントと紐付ける(リンクさせる)ことで、ライセンスを管理しやすくなります。 ライセンス認証されているか確認する方法 まずは自分のPCがライセンス認証されているか、状態を確認する方法を紹介します。以下、検証にはWindows 10 バージョン21H1(May 2021 Update)を用いています。 【1】①「スタート」メニューを開き、②「設定」をクリックします 【2】Windows 10の設定画面が表示されるので、①「更新とセキュリティ」
今後、Webサービスから「パスワード」がなくなるかもしれない。というのは、ここ2年ほどで「パスキー」と呼ばれる、スマホやPCのセキュリティ領域に保存した暗号鍵を用いた、より簡単かつ安全な認証方式が普及しつつあるからだ。 「パスキー」を採用したWebサイトが急激に増加している。暗号鍵とスマホやPCの生体認証ロックを用いた認証方式で、脆弱(ぜいじゃく)性が問題となっているパスワードの置き換えを目指す 例えばドコモ利用者なら、dアカウントでパスキーを使い始めた人もいるだろう。また、「生体認証」という名称でauやメルカリ、Yahoo!JAPANなどのログイン時にもう利用しているかもしれない。 ここ2年でパスキーに注目が集まったのは理由がある。2022年5月にApple、Google、Microsoftの3社が、FIDOアライアンスとW3Cが策定した「パスキー(Passkeys)」への対応を発表した
[図解] Laravel の認証周りのややこしいあれこれ。
Laravel のログイン認証周りのカスタマイズをする度、 「この場合どこをいじればいいんだっけ・・・」と混乱するので、 図にまとめてみました。 全体感を掴んでいただくことが目的ですので、 この記事では、具体的なカスタマイズのコードは紹介しません。 ご了承ください。 まずは登場人物一覧 ガード (guard) Laravel では「認証」と呼ぶことが多いです。 ログイン機構の種類を表します。 たとえば、ECサイトの「管理者」と「会員」など。 ログイン画面の数だけガードがある、というイメージです。 provider (認証方法) と driver (認証状態の管理方法) で構成されています。 config/auth.php に定義されており、追加・変更ができます。 ガードドライバ (driver) ログインの認証状態をどうやって管理するか。 多くの場合はセッション認証 (session) で
![[図解] Laravel の認証周りのややこしいあれこれ。](https://cdn-ak-scissors.b.st-hatena.com/image/square/952f1220532c94d01f9a6b79fede14e6c928a00b/height=288;version=1;width=512/https%3A%2F%2Fres.cloudinary.com%2Fzenn%2Fimage%2Fupload%2Fs--VyzU06gV--%2Fc_fit%252Cg_north_west%252Cl_text%3Anotosansjp-medium.otf_55%3A%25255B%2525E5%25259B%2525B3%2525E8%2525A7%2525A3%25255D%252520%252520Laravel%252520%2525E3%252581%2525AE%2525E8%2525AA%25258D%2525E8%2525A8%2525BC%2525E5%252591%2525A8%2525E3%252582%25258A%2525E3%252581%2525AE%2525E3%252582%252584%2525E3%252582%252584%2525E3%252581%252593%2525E3%252581%252597%2525E3%252581%252584%2525E3%252581%252582%2525E3%252582%25258C%2525E3%252581%252593%2525E3%252582%25258C%2525E3%252580%252582%252Cw_1010%252Cx_90%252Cy_100%2Fg_south_west%252Cl_text%3Anotosansjp-medium.otf_37%3ARoku%252Cx_203%252Cy_121%2Fg_south_west%252Ch_90%252Cl_fetch%3AaHR0cHM6Ly9zdG9yYWdlLmdvb2dsZWFwaXMuY29tL3plbm4tdXNlci11cGxvYWQvYXZhdGFyLzAzMmUzNjRjMTUuanBlZw%3D%3D%252Cr_max%252Cw_90%252Cx_87%252Cy_95%2Fv1627283836%2Fdefault%2Fog-base-w1200-v2.png)
二段階認証を突破?Amazonアカウントに不正アクセスされギフトカード大量購入&注文を非表示にされる被害の報告がさらに増える
Fire丸山@Boost 4.0 @fireroadster ロドスタ、カブ、KLX125、KX100、温泉、キャンプ、焚火、酒、ツーリング、サーキット、モトクロス、お風呂ード、など。NikonとFUJIFILMで写真撮ったり。 スーパーキャリイ生えました。 ジムニー欲しい。現場猫とニョロニョロが好き。六四天安門事件 予備垢はこちら↓ twitter.com/fireroadster_2 Fire丸山@Boost 4.0 @fireroadster 【拡散希望】 アマゾン不正アクセスによるギフトカードの大量購入詐欺が発生してるようで、オレ氏のアカウントもやられました。実に巧妙で気が付いてないヒトもいるかと思います。ヤバいっす その件についてサポートの担当様とのやり取りなども含めて成り行きを連投します。1/n pic.twitter.com/wyTh9UKurM 2023-09-13 16:
二段階認証の仕組みと導入時におさえておきたい対策 - RAKUS Developers Blog | ラクス エンジニアブログ
はじめに こんにちはこんばんは! 昨今、セキュリティへの関心が非常に高まっています。 二段階認証を取り入れる企業が多くなってきました。 最近の例で言うと、Githubが2023年3月ごろに二段階認証を義務化したのは記憶に新しいと思います。 そこで、今回は認証の基礎知識をおさらいした上でTOTPを使った二段階認証の仕組みと導入時の注意点について解説します! ※本記事の内容は、ビアバッシュ(社内の技術共有会)にて登壇発表した内容です。 ビアバッシュの取り組みについては以下の記事を読んでみてください! tech-blog.rakus.co.jp はじめに 基礎知識 二要素認証とは? 二段階認証とは? 二要素認証と二段階認証の違い ワンタイムパスワードとは? HOTPとTOTPについて HOTPとは? TOTPとは? TOTPの時刻ズレ対策 導入編 TOTPの時刻ズレ対策の実装 TOTPの注意点
小説、漫画、アニメ、映画などの架空世界に登場する「認証的なモノ」を取り上げて解説する連載をITmediaで出張掲載。第22回のテーマは「ドラゴンクエスト」。 この記事は認証セキュリティ情報サイト「せぐなべ」に掲載された「架空世界 認証セキュリティセミナー 第24回『ふっかつのじゅもんが ちがいます【ドラゴンクエスト】」(2018年6月28日掲載)を、ITmedia NEWS編集部で一部編集し、転載したものです。当時未発売だった製品やサービスの記述などは、本記事掲載時の状況に合わせて編集しています。 定期連載としては最終講義 ……それでは講義を始める。今回が定期講義としては最終講義である。最後まで心して読むように。 前回は「ルパン三世」を題材に「人脈認証」などについて解説した。筆者としてはおバカな「脳力認証」ネタの方も好きなのだが……。「ルパン三世PART5」も、気になる諸君は見てみると良い
ritouです。 Digital Identity技術勉強会 #iddance Advent Calendar 2020 19日目の投稿です。 急に穴が空いたのでアカウントリカバリーとかの話でリカバリーしましょう。 今年は認証やら本人確認などが騒がしい年でありました。 大きな問題の話はおいといて、自分のブログ記事に書いたぐらいの話を用いて振り返ります。 1. 一般的なパスワード認証 - パスワード = メール/SMSを用いたパスワードレス認証? bosyuがTwitter/Facebookのソーシャルログインに加え、メールでリンクや認証コード的な文字列を送信、それを検証することでログイン状態とするパスワードレスな認証機能を実装されていました。 bosyuが実装したメールアドレスでの登録/ログイン機能とは!? - r-weblife (追記: ころちゃん氏が関連する記事を書いてました。パスワ
先日、サイバー攻撃を受けたセブン・ペイのモバイル決済の会見で、社長が「知らない」という趣旨の発言をしたことでも話題になった二段階認証。あの後、「知らないなんて!」と驚くネットユーザーが多かった通り、二段階認証はすっかりセキュリティの象徴となっているようです。 2019年7月26日、NTTドコモの吉澤和弘社長は決算会見で「当社は(ユーザー本人が)セキュリティコードを入れないとログインできないよう、二段階認証を採用している」と発言しました。読者の皆さんもぜひ、「安全を保つための自衛策」として、二段階認証の利用へ前向きに取り組んでください。確かに面倒なのですが、少なくとも「全てのWebサービスで完全に違ったIDとパスワードを使い、しかも定期的に変更する」よりは、現実的な解のはずでしょう? 吉澤社長は、「お客さまにはIDとパスワードを見直してほしい」とも発言しました。これは、同社の会員アカウント「
米Googleは5月6日(現地時間)、Googleアカウントへのログインで推奨している2段階認証(一般には「2要素認証」)を、“間もなく”自動登録にすると発表した。つまり、デフォルトを2段階認証にするということだ(ただし、オプトアウトは可能)。 2段階認証プロセスは、アカウントへのログインの際、パスワードなどの情報とスマートフォンやセキュリティキーなどの2つの要素を使うことで、セキュリティを強化するもの。 現在は[Googleへのログイン]→[2段階認証プロセス]→[使ってみる]でオプトインする必要がある。 具体的な日程は不明だが、2段階認証をデフォルトにし、ログインの際に2つ目の要素を設定するよう促す計画だ。Googleは米Viceに対し、一部のユーザーに対して自動登録を開始しており、向こう数カ月で対象を拡大していく予定だと語った。 自分のGoogleアカウントが2段階認証になっているか
はじめに 私は新卒1年目で神戸のSIerに勤めています。 この度AWSキーを流出してしまうという、 初心者であるもののエンジニアとして恥ずべき行為をしてしまったので 2度とこのような失態を踏まないように再発防止の意味を兼ねてここに記そうかと思います。 また今後AWSキーを流出してしまうことを完全に防ぐことは難しいかと思いますが、 今までAWSキーを無意識に扱っていた方の認識を改める記事になればと思います。 何をしたのか ことが起こったのは2020年6月24日。 Github Actionsを利用して、CI機能を実装しようとしていた時のこと。 やろうとしていたことはGithubのリモートリポジトリにpushされたときに、 AWS S3に公開ファイルをデプロイするというものでした。 Actionsにはワークフローとして、AWS認証キーを設定する処理が含まれていたので、 アクセスキーとシークレッ
Office 365のアカウントを多要素認証すら回避して乗っ取るAiTMフィッシング攻撃が1万以上の組織を標的にしていたとMicrosoftが公表
Microsoftのセキュリティ研究チームが、HTTPSプロキシ技術を使ってOffice 365アカウントを乗っ取る大規模なフィッシング攻撃キャンペーンである「Adversary-in-the-Middle(AiTM)」が確認できたと発表しました。この攻撃は多要素認証を回避することが可能で、2021年9月以来1万以上の組織が標的になっているとのことです。 From cookie theft to BEC: Attackers use AiTM phishing sites as entry point to further financial fraud - Microsoft Security Blog https://www.microsoft.com/security/blog/2022/07/12/from-cookie-theft-to-bec-attackers-use-ait
技術書典8で頒布予定でした。 ## 概要 ユーザーのIDを管理するのはWebサービスを展開する上で必要になりますが、独自で実装するにはハードルが高いです。外部のサービスを利用することでユーザーのサインアップとサインインを比較的簡単に実現できます。この本ではCognito User Pools、Auth0、Firebase Authenticationを中心にサービスの紹介と比較をします。 ## 本書の目的 「認証サービスCognito Auth0 Firebaseを比べる」を手にとっていただき、ありがとうございます。筆者はこれまで、CognitoUserPoolsを利用してオンプレミスで実装されていた認証システムの移行や、Keycloakを利用したシステムの構築を担当してきました。そのなかで、認証の機能を提供するサービスは数多くあるにもかかわらず、サービスを比較するような情報があまりないと
社内勉強会での発表資料です。
一年ほど前から、爪を伸ばしている。 念のため言うと、一年間ずっと切ってないわけではない。調節しつつ長めをキープしているということだ。(ちなみに爪きりで切ると割れるのでヤスリで削る) ネイルをやっている人にとっては日常のことだろうけど、そうでない人、特に男性にとってはあまり爪を伸ばす機会はない。僕も長いこと生きてきて初めてのことである。 爪が長いと生活がどう変わるのか、ここで共有させていただければ幸いです。 インターネットユーザー。電子工作でオリジナルの処刑器具を作ったり、辺境の国の変わった音楽を集めたりしています。「技術力の低い人限定ロボコン(通称:ヘボコン)」主催者。1980年岐阜県生まれ。 本『雑に作る ―電子工作で好きなものを作る近道集』(共著)がオライリーから出ました! 前の記事:ロボットで殴りあうニュージーランドの新競技 “Stupid Robot Fighting League
インターネットやAIを駆使しながら、領域に捉われずにさらなる挑戦を行うDeNAの取り組みを紹介する「DeNA TechCon 2023」。ここで認証認可システムのリノベーションチームの岸直輝氏が登壇。Shift Leftの考え方を基に実践している静的解析や自動テスト、挙動の差分を自動で発見するための取り組みについて紹介します。全2回。前半は、開発において大事にしている「Shift Left」という考え方について。 認証認可システムのリノベーションチームに所属する岸直輝氏 岸直輝氏:それでは「リライトプロジェクトを安全・効率よく進めるための取り組み」というタイトルで発表いたします。よろしくお願いします。 初めに簡単に自己紹介したいと思います。名前は岸といいます。インターネット上では「p1ass」というIDで活動しています。DeNAには2021年に新卒で入社しました。現在は、認証認可システムの
汚職の履歴を顔認証で紐づけ。情報の「身体化」で実現したブラジル発のアプリ | Forbes JAPAN 公式サイト(フォーブス ジャパン)
どこの国でも政治家にまつわる汚職の問題は絶えない。日本の場合、それが発覚するのは、週刊誌の報道がきっかけとなることが多い。とはいえ、記事となって私たちの目に触れることになるのは、実はごく一部かもしれない。 南米のブラジルでも、政治家の汚職は蔓延しているという。しかも、それら「腐敗した政治家」の経歴隠蔽には、凄まじいものがあるようだ。 2018年10月に行われたブラジルの総選挙では、なんと4万人以上もの人間が立候補の意向を示したが(日本の2017年10月の総選挙の立候補者数は1063人)、そのなかには、過去に不正や汚職で問題を起こしたことのある人物が多数含まれていた。 とはいえ、それらの候補者の履歴は、わざわざ裁判所に行って記録を確かめないと明らかにならないのだという。 自社の姿勢の明確化をはかる このような現実に対して、徹底したデータ整備とテクノロジーを活用して、不正の記録を人々にわかりや
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
“Pマーク”認証団体が見解 パスワード付きファイルのメール送信は「以前から推奨していない」
認証アプリ「Authy」の安全性を危惧する声。何が問題なのか。Authyに登録したトークンをエクスポートして移行する方法
「スマホが手元にない!」でGoogleアカウントの2段階認証に詰まない方法
大学の情報セキュリティ応用の授業で准教授が2要素認証の説明に使った指示棒がこちら「わかる人には一発でよくわかる」
ドコモの「IDaaS」導入秘話 「認証の仕組みは簡単」「自社開発できるでしょ?」と説く上司との戦い
Twitterの青認証バッジは「月額8ドルでどう?」とマスク氏 サブスク機能の1つとして
「Rakuten Link」のSMS認証に潜む重大な欠陥 - elibom
マイクロサービスセキュリティの「7つの難しさ」とその対応策 Open ID ConnectとSDKの実装で認証認可の安全性を担保
隠蔽、廃棄……繰り返されたずさんな扱い 「認証アーキビスト」で公文書管理は変わるのか - Yahoo!ニュース
React アプリに Auth0 でシュッと認証を組み込んで Vercel に爆速デプロイする - Qiita
AWSの多要素認証に1passwordが使えたけど使っちゃダメだと思った話 - Qiita
アップルが“脱Lightning”をここまで引っ張った理由 iPhoneのUSB-Cは「MFi認証なし」に
Windows 10のライセンス認証、その仕組みと方法を解説
スマホの新認証方式「パスキー」を徹底解説 今後は“パスワードレス”が当たり前に?
ドラゴンクエストの「ふっかつのじゅもん」で味わう認証の奥深さ
パスワードレスな認証方式やアカウントリカバリーについての振り返り2020
「二段階認証を入れたから、オレのデータは安全」と思っているユーザーに伝えたいこと
Googleアカウント、間もなく自動的に2段階認証に(オプトアウト可能)
【反省】新卒1年目がAWSの認証キーを流出させてしまった話 - Qiita
認証サービスCognito・Auth0・Firebaseを比べる - s-takayanagi - BOOTH
認証認可の情報の追い方みたいな(2020/01/10 FFTT#381)
爪を伸ばすと何が起きるのか~缶が開けられず指紋認証も通らない世界へようこそ
35万行以上のコードで作られたPerlの認証認可基盤をJavaで刷新 “安全かつ効率のよい”改修に必要な「Shift Left」という考え方