はじめに こんにちは、計測プラットフォーム開発本部SREブロックの近藤です。普段はZOZOMATやZOZOGLASS、ZOZOFITなどの計測技術に関わるシステムの開発、運用に携わっています。 計測プラットフォーム開発本部では、複数のプロダクトを運用していますが並行して新しいプロダクトも開発しています。SREチームでは増え続けるプロダクトの運用負荷に対して改善は行っていますが、さらなるプロダクトの拡張に備えてZOZOFITの開発運用を別チームへ移管することになりました。移管作業の中でAWSリソースを別チームが管理するAWSアカウントへ移行する作業が発生することになりました。本記事では移行時に遭遇した課題と、その課題の解決に至るまでの取り組みをご紹介します。 目次 はじめに 目次 背景・課題 調査 ユーザ移行Lambdaの作成 簡易ダイアグラム フローチャート ユーザ移行Lambdaの処理
FIDOアライアンスが仕様を策定した「パスキー」は、パスワードではなく生体情報を用いて認証する「FIDO 2.0」を「Webauthn」標準に基いて利用して得た資格認証情報をデバイス単位で管理運用する技術です。このパスキーが抱える問題点について、Webauthn標準に関わったエンジニアのFirstyearことウィリアム・ブラウン氏が自身のブログで解説しています。 Firstyear's blog-a-log https://fy.blackhats.net.au/blog/2024-04-26-passkeys-a-shattered-dream/ Webauthnがパスワードに代わる認証技術として大きな可能性を秘めていると考えていたブラウン氏は、2019年にオーストラリアからアメリカに渡り、友人と共にWebauthnのRust実装であるwebauthn-rsの開発を始めました。その過程で
ごあいさつ はじめましての人ははじめまして、こんにちは!BASE BANK Divisionのフロントエンドエンジニアのがっちゃん( @gatchan0807 )です。 今回は、ここ数ヶ月の間にOIDC(OpenID Connect)という技術を使った開発を複数行い、この技術の概観を理解することができたので、OIDCの技術概要に触れつつBASE BANKの中でどのように使ったのかをご紹介しようと思います。 OIDCとは何なのか このパートでは、まずOIDCという技術について概要を紹介します。いくつかのWebページに記載されていた内容を参考にしてまとめさせて頂いているので、記事の最後に参照元のリンクを記載しておきます。 また、OIDCをはじめとした認証・認可の仕組みには様々な用語があり、自分自身も「調べれば調べるほど知らない用語が増えて、どんどんわからなくなってきた…」という経験をしたので、
多くの日本企業でセキュリティ被害が増えている昨今、企業や組織はどう対応していくべきなのか。イー・ガーディアングループCISO 兼 EGセキュアソリューションズ取締役CTOである徳丸浩氏が、日本の「セキュリティのイマ」をわかりやすく徹底解説する連載企画第10弾。今回のテーマは「なぜパスワードレスは進まないのか? 普及停滞を打開する認証手法『パスキー』への期待と導入のステップ」です。古くから使われているパスワード認証は便利で使いやすい手法ですが、それゆえの欠点や脅威も多く、パスワードレスへの移行が長いこと求められ続けています。とはいえ、なかなか進んでいないのが現実です。なぜ進まないのか。パスワード認証に代わる手法を1つずつ例に挙げながら、最後には徳丸氏が期待を寄せている「パスキー」が持つ可能性を解説します。 パスワード認証に限界が見えてきた はい、「パスワードレス」というのはもうずいぶん長いこ
[AWS CDK] ALBとCognitoを使ってOktaをIdPとするSAML認証をしてみた | DevelopersIO
サクッとSAML認証を実装したい こんにちは、のんピ(@non____97)です。 皆さんサクッとSAML認証を実装したいなと思ったことはありますか? 私はあります。 自分でSAML認証のService Provider(SP)側の処理を実装するのは大変です。そのような場合はALBとCognitoを使うと簡単に行えます。 ということで実際にやってみました。今回はIdPとしてOktaを使用します。 「SAML認証ってなんやねん」や「OktaのSAMLアプリってどうやって作成すればいいんだ」、「CognitoでSAML認証ってどうやって行えばいいんだ」という方は以下ドキュメントをご覧ください。 初心者向けSAMLガイド SAMLアプリ統合を作成する | Okta ユーザープールへの SAML ID プロバイダーの追加 - Amazon Cognito また、せっかくなので以下アップデートで可能
![[AWS CDK] ALBとCognitoを使ってOktaをIdPとするSAML認証をしてみた | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/01997881325332bcbeca491a7a712a5024e39095/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2023%2F08%2Famazon-cognito.png)
英語の「Authentication」を整理する ここからは先ほどの分類で言うところの「ユーザ認証」としての「認証」、つまり英語の「Authentication」に該当する「認証」について、さらに整理を進めていきます。 先ほど、「ユーザ認証」を「システムを利用しようとしているユーザを、システムに登録済みのユーザかどうか識別し、ユーザが主張する身元を検証するプロセス」と説明しました。「ユーザの識別」と「身元の検証」はユーザ認証に欠かせませんが、実際は他にも「ユーザの有効/無効状態の確認」や「検証に成功した場合の身元の保証(アクセストークンの発行等)」などの処理も一般的にユーザ認証のプロセスには含まれます。 ここで冒頭の「○○認証」を振り返りましょう。パスワード認証、SMS認証、指紋認証、顔認証は実はここで言うユーザ認証には該当せず、ユーザ認証中の一処理である「身元の検証」を担っていることがお
滅びてほしい認証系の実装の話
こんにちは、富士榮です。 ちょっと前に某所でダメダメな認証系の技術実装ってなんだろうねぇ、、という話をしていたことをXで呟いたところ、色々とご意見を頂けましたのでまとめて書いておきます。 考えていると結局のところ、サービス提供側が意図していることとは全然違うことが起きている気がするので、この辺はしっかり考えて実装したいところですね。(実装ミスは問題外として) カテゴリ滅びてほしいもの実装側がやりたいこと利用者が感じること実際に起きていること代替手法認証CAPTCHAbot避けぐにゃぐにゃ文字が読めない バイクと自転車の違いとは?ユーザの離脱、カゴ落ちパスキーの利用 新しいタイプのCAPTCHA(通常は画面に出ない) リスクベース認証との組み合わせによる抑制認証パスワード誰でも使える認証手段の用意忘れる。複雑なパスワードをそれぞれのサービス毎に管理するのは無理パスワードの使い回し。パスワード
アイデンティティをやっているなら読むべき本〜『メタバース進化論――仮想現実の荒野に芽吹く「解放」と「創造」の新世界』
まずはじめにアイデンティティ業界の人へ とりあえず、アイデンティティに関心のある人は、本書『メタバース進化論』を読んだほうが良い。メタバース・バ美肉として現実の物理的制限から存在を解き放ち、抽象空間で取り扱うことができるようになることによって、アイデンティティとプライバシー管理の課題や要件がこんなにも明確になるのか!曰く そもそも「アイデンティティ(自己同一性)とは、私たちが私たち自身をどのようなものと捉えるかという「認識」であり、他者や社会からそれが認められているという「感覚」のことです。 物理現実では、基本的に生まれたままの名前・姿・声を受け入れるしかありませんでした。つまり、アイデンティティとは「与えられる」ものでした。 基本的には与えられた固定のものを「受け入れる」しかなかった物理現実時代のそれとは違い、メタバース時代のアイデンティティは自由に「デザインする」ものになり、「なりたい
各サービスで電話番号宛のSMS認証が当然となった現代、携帯電話回線は非常に高い価値を持っています。 そんな電話回線をSIMカードごと奪う「SIMハイジャック(SIMスワップ)」という犯罪手法が海外で報告されていますが、最近は日本でも被害報告をチラホラと聞くようになっています。 そんなSIMハイジャックの魔の手が、なんと日本の政治家にまで及んでいたことがわかりました。 東京都議会議員の風間ゆたか氏が報告したところによると、PayPayの不正利用とパスワードリセットで異変に気付いたとのこと。 スマホで二段階認証を行ってもSMSが届かず、Wi-Fiでしか使えず、アンテナマークが解約を示すマークになっていることが判明。ソフトバンクショップに駆け込んだとのこと。 東京都ではなく名古屋のソフトバンクショップで最新機種を購入した形跡があり、ソフトバンクショップはその時の本人確認をマイナンバーカードのIC
エンジニアというITの専門家でありながら、小賢しいWeb系の詐欺に80%ぐらいはまって死にかけた話 - Qiita
みなさんこんにちは!記事を読んでくださりありがとうございます。 Qiitaには初投稿なので、簡単に自己紹介をさせてください。 自己紹介 ・カナダのバンクーバーでWeb/モバイルエンジニアとして働いています ・2024年7月に日本に帰国し、プロダクトオーナーに転身します ・大阪出身です 何が起こったかの概要 タイトルの通り、小賢しいWeb系の詐欺にはまって危うく銀行口座に侵入されかけました。カナダで起こった出来事ですが、日本でも似たようなことが起こり得る事例かと思ったので、よりたくさんの方に注意喚起ができればと思いこちらに投稿致しました。 時系列での解説と違和感ポイント みなさん、Facebookには「マーケットプレイス」という機能があるのをご存知でしょうか?日本で言うジモティーのような機能です。カナダでは不用品の売買でFBのマーケットプレイスが非常によく利用されます。私は2ヶ月後に日本へ引
日本における「マイナンバーカードによる『SIMハイジャック』発生事案」の被害報告。立憲議員が携帯電話を乗っ取られた経緯をツイートする
すまほん!! @sm_hn これ日本における「マイナンバーカードによる『SIMハイジャック』発生事案」なので注目すべき。政府は原則読み取り必須にすべし。 x.com/setagaya_k/sta… 2024-04-19 14:58:54 風間ゆたか 東京都議会議員 立憲民主党 世田谷区選出 @setagaya_k 昨日昼頃、スマホにPayPay通知が表示され「1000円チャージしました」と。自動チャージ設定?なんだろうとアプリを確認してもよくわからず放置。(この時にPayPayに確認すべきだった!)午後にメールチェックをしていると画像のようなメールが突然届き、これはおかしい、とパスワード再設定しようと... pic.twitter.com/z81IF167aP x.com/setagaya_k/sta… 2024-04-18 08:19:56 風間ゆたか 東京都議会議員 立憲民主党 世田谷
MFA認証を使ったAssumeRoleでシンプルにTerraformを実行する(aws configure export-credentials) | DevelopersIO
MFA認証を使ったAssumeRoleでシンプルにTerraformを実行する(aws configure export-credentials) Terraform実行時のMFA認証を使ったAssume Roleを楽にできる方法がないか調べていたら、以下のコメントを見つけました。 Doesn't ask MFA token code when using assume_role with MFA required #2420 どうやらツールや長いコマンドの実行なしで、MFA認証ありでも簡単にAssume Roleができそうです。 便利だったのでブログにしてみました。 TerraformのMFA認証事情は以下のブログをご確認ください。 結論 この方法では、aws-vaultやaws-mfaなどのツールは不要です。 以下のようにProfileを用意して、terraformのコマンドを打つだけ
「Tailscale SSH」が正式版に到達。面倒な鍵管理が不要のSSH、VSCode拡張機能でリモートファイルも編集可能
「Tailscale SSH」が正式版に到達。面倒な鍵管理が不要のSSH、VSCode拡張機能でリモートファイルも編集可能 Tailscale社は、統合的なアイデンティティ管理による鍵管理を不要にした便利なSSHを実現する「Tailscale SSH」が正式版になったことを発表しました。 Tailscale SSH is now out of beta and into general availability! Still juggling SSH keys and managing identities across remote machines? There's a better way: https://t.co/sdvnCckSYg — Tailscale (@Tailscale) March 26, 2024 TailscaleはWireGuardをベースにしたVPN Tai
オープンソースによるFirebase代替を名乗るBaaS(Backend as a Service)「Supabase」が正式サービス化を発表しました。 Supabaseはこれまで約4年間ベータ版としてサービスを提供してきました。現在は100万以上のデータベースをホストし、新規データベースも1日あたり2500以上増加しており、モバイルアプリケーションからエンタープライズ用途まで十分な機能と安定性、スケーラビリティが実証されたとしています。 Supabaseの主な機能はデータベースや認証、ファイルストレージなど SupabaseはBaaSとして主に以下のマネージドサービス群から構成されています。 PostgreSQLによるデータベースサービス 認証サービス ファイルストレージ エッジロケーションにおけるNode.jsDenoベースのサーバレス基盤 マルチプレイヤーゲームなどに対応するリアルタ
2024年4月25日紙版発売 2024年4月25日電子版発売 市原創,板倉広明 著 A5判/456ページ 定価3,740円(本体3,400円+税10%) ISBN 978-4-297-14178-3 Gihyo Direct Amazon 楽天ブックス ヨドバシ.com 電子版 Gihyo Digital Publishing Amazon Kindle 楽天kobo honto この本の概要 SSL/TLSは,通信の秘密を守るために利用されている通信プロトコルです。HTTPSやHTTP/3にも利用されており,今日のWebでは利用が一般的になっています。本書では,その最新バージョンであるTLS 1.3のしくみと,その使い方を解説します。SSL/TLSは公開されている実装例などを真似すれば基本的な動作はさせられますが,それを応用していくには技術に関する理論の理解が必須になります。しかしSSL
身分証の検証を用いた身元確認/当人認証を意識してみよう
(4/14 表記揺れなどのコメントいただいたので、少し修正、追記しました。) ritouです。 私のタイムラインによく出てくる、この辺りの話っていつになってもしっくりこない人が多いと思います。 OAuth認証👮 : アプリケーションがユーザー情報取得を提供するAPIを叩いて受け取ったユーザー識別子を使って新規登録やログインさせてはいけない。OIDCのIDTokenを使え ユーザーIDが取得できればログインさせていいのではないか IDTokenはユーザーIDを含むJWTだが、どうしてこれは良いのか デジタル庁が進めるマイナンバーカードを用いた個人向け認証アプリケーション(以下、認証スーパーアプリ)の用途 マイナンバーカードを用いた本人確認は既にいくつかの民間サービスで使われているが、ログインに使えるとはどういう事なのか デジタル庁からは スマホ用電子証明書搭載サービス という物も出ているが
小学生でも多要素認証の今、企業の認証/ID管理は使いにくい、不自由にもほどがある 未来は変容するのか:ITmedia Security Week 2024 冬 2024年2月27日、アイティメディアが主催するセミナー「ITmedia Security Week 2024 冬」の「多要素認証から始めるID管理・統制」ゾーンで、パロンゴ 取締役 兼 最高技術責任者 林達也氏が「デジタルアイデンティティー時代のID管理・認証/認可の変容と社会受容」と題して講演した。産官学でデジタルアイデンティティーをウオッチし、策定にまで関わる同氏が、ゼロトラスト時代に重要な認証、認可の現在を、「社会受容」というキーワードを絡めて解説するセッションだ。
はじめに ◆この記事は何? IPA高度資格「情報処理安全確保支援士」のシラバスに掲載されている用語の備忘録です ◆対象は? 情報処理安全確保支援士の試験勉強をされる方 ◆この記事のねらい 試験範囲の用語の階層を整理します 試験勉強の一助となれば幸いです ◆この記事について シラバスの用語を参考書等を読みながら自分なりに整理した私の暗記用のノートです 試験に向けて高頻度で更新しています ご助言、誤り等あればご指摘いただけると幸いです 試験範囲全体 試験範囲の分解 暗号 認証 ネットワークセキュリティ データベースセキュリティ クライアントセキュリティ httpセキュリティ メールセキュリティ 攻撃と対策 注目技術 ※参考文献の目次をベースに、試験範囲を分解 暗号技術 共通鍵暗号方式 ブロック暗号 ECBモード CBCモード CTRモード(Counterモード) ストリーム暗号 公開鍵暗号方式
ritouです。 こちらの記事の続きです。 前回の記事の振り返り 3行でまとめると まずは単一アプリケーションのID管理について解像度を上げてみよう Webアプリケーションフレームワークを使って新規登録から退会までざっくり動作確認してから、色々いじったり調べてみるのが良いよ セキュリティ関連の機能とか、新規登録時の身元確認、ログイン方法を拡張してみよう といったところです。個人的にはこれは全エンジニア向けの研修であってもいいぐらいのものだと思います。 今回の内容 タイトルにある通り、複数のアプリケーションが関わる部分に入っていきましょう。 というか、OAuthとOIDCやりたいんですよね?え?SAML? まずはID連携のベーシックな部分に触れていきましょう。 プロトコルは混ざっちゃっていますが、順番としてはこんなのはどうでしょう。 OAuth 2.0のClientとしての機能を設計/実装す
モニクル社内3分LTで発表しました。技術職以外の人向けに話したので、抽象度高めにしてあります。
こんにちは、サーバーサイドエンジニアのmitaniです。先月、B/43を構成するシステムのうち、3つのRailsリポジトリの7.1バージョンアップが完了しました! 大きな躓きポイントはなかったのですが、参考までに手順やRails 7.1の内容を紹介しようと思います。 B/43のアーキテクチャ https://smartbank.co.jp/recruit/engineer-summary B/43は、上の図のように複数のサービスから構成されています。そのうちRailsで作られているサービスが3つあります(core-api / auth-api / aml-api)。バージョンアップする際には3つまとめて行う運用をとっているため、今回も3つバージョンアップしました。 各リポジトリは全てDocker化されています。各リポジトリのDockerfileは、共通してruby等をインストールしているベ
こんにちは、富士榮です。 政府とデジタルウォレットに関するOIX(Open Identity Exchange)のレポートをご存知でしょうか?昨年の秋口に出ているもので、簡単にいうと「政府が発行するクレデンシャルを政府が管理するウォレットに入れるのがいいのか、民間のウォレットにも入れていいのか」についての現状をまとめたレポートです。 Governments and Digital Walletshttps://openidentityexchange.org/networks/87/item.html?id=706 ということで読んでいきます。今回はエグゼクティブ・サマリー部分です。ここだけ読めば最低限の論点と結論はわかります。ウォレット提供者の選択肢冒頭の課題提起の部分にはこんなことが書いてあります。Governments around the globe are tracking th
ritou です。 これについての話です。 この辺りずっとやってると「認証認可について詳しくなりたいです!」「OIDCに興味があります!」みたいなところから「何をやればいいですか!?」みたいなことを聞かれたりします。(やりたいことやればいいじゃんと思いつつ) 昔は 年に一回ぐらいIdPを作りましょう なんて言っていた時期がありますが、まぁそう簡単にできるものでもありません。ふじえさんの記事をdisっているわけではないですが、OIDCのところから始めても他にやることが多すぎて結構つらいのです。 何から始めたら良いか 現状のおすすめとしては、 Webアプリケーションフレームワークを使って単一アプリケーションを動かして、既存コードを追ったり拡張できるならやってみて色々細かい部分を理解するところから始めましょうというところです。 なんと、ひと昔前にQiitaに溢れたようなやり方ですが どのフレーム
パスキーについて今日時点の僕が知っていること / What I Know About Passkeys as of Today
Niigata 5分 Tech #6で話しました https://niigata-5min-tech.connpass.com/event/312817/
Amazonがアメリカを中心に展開している手のひら認識サービス「Amazon One」で、スマートフォンから手のひらを簡単に登録できるようになったことが発表されました。これまでは店頭で手のひらの登録作業を行う必要があったのですが、今後は自宅で簡単に登録できるようになります。 Amazon One launches app for easy sign-up to palm-recognition service https://www.aboutamazon.com/news/retail/amazon-one-app Amazon Oneは、2020年9月にAmazonが発表した手のひら認証システムで、手のひらの画像から個人を特定し、Amazonのアカウントとクレジットカード情報に紐付けることで、手のひらをかざすだけで支払いを可能にします。 Amazonが手をかざすだけで料金を支払えるデバ
関連記事 サンワ、Windows Hello対応指紋センサーを備えた3ボタンマウス サンワサプライは、指紋認証センサーを標準搭載した3ボタン有線マウス「400-MAFP001」の販売を開始した。 テック、Windows Hello対応のUSBポート直挿し型指紋認証センサー テックは、USBポートに直接挿して利用できる指紋認証センサー「TE-FPA2」を発表した。 Microsoft、指紋認証センサー付きBluetoothキーボード発売 129.99ドル 米Microsoftが、指紋認証センサー付きBluetoothキーボードとマウスを米国、カナダ、中国のMicrosoftストアで発売した。 Thermaltakeから指紋認証センサーを内蔵したUSBゲーミングマウスが発売 アスクは、Thermaltake製となるUSBゲーミングマウス「BLACK FP」の取り扱いを開始する。 関連リンク 製
こんにちは。エンジニアリンググループの武井です。 私は現在、デジカルチームに所属し、クラウド電子カルテ、エムスリーデジカルの開発に携わっています。 昨年夏にエムスリーに入社し、早くも半年が経過しました。 digikar.co.jp この記事では、私が入社してから4ヶ月目に取り組んだ、バッチ処理の運用改善について振り返ります。 特に、新しくチームに加わったメンバーとして意識した点に焦点を当ててみたいと思います。 これから新しいチームに参加する方の参考になれば幸いです。 改善したバッチ 現状の正確な理解 現状に馴染む技術選定 自分なりの+αを加える 改善の結果 We're hiring 改善したバッチ 今回の改善対象は、特定の医療機関に紐づく全患者の全カルテをPDFファイルとして出力する、というバッチです。 デジカルのデータを医療機関側にエクスポートする用途で使われています。 移行前のアーキテ
フルスクラッチして理解するOpenID Connect (4) stateとnonce編 - エムスリーテックブログ
こんにちは。デジカルチームの末永(asmsuechan)です。この記事は「フルスクラッチして理解するOpenID Connect」の4記事目です。前回はこちら。 www.m3tech.blog 13 state の実装 14 nonce の実装 15 まとめ 16 参考 Wre're hiring! 今回は全4回中の第4回目です。 (1) 認可エンドポイント編 (2) トークンエンドポイント編 (3) JWT編 (4) stateとnonce編 13 state の実装 https://openid-foundation-japan.github.io/rfc6819.ja.html#anchor15 https://openid-foundation-japan.github.io/rfc6749.ja.html#CSRF state は OAuth 由来の仕様です。つまりアクセストーク
はてなへのログインがパスキーと多要素認証に対応し、よりセキュアになりました - はてなの告知
2024/3/25 17:37 追記 Firefox と1Password の組み合わせを利用していた場合、パスキーの生成が失敗する不具合が発生しておりました。現在は修正済みです。ご不便おかけし申し訳ございませんでした。 本文 平素よりはてなをご利用いただきありがとうございます。 はてなIDが「パスキー」「多要素認証」を利用した認証に対応しましたことをお知らせいたします。 また、本対応に合わせてアカウント関連の画面デザインをリニューアルいたしました。 パスキーとは パスキーとはお持ちのスマートフォン・PC・タブレット端末等に搭載されているロック機能を使用してウェブサイトやアプリにログインできる仕組みです。パスキーをご利用いただくことにより、パスワード認証時における第三者からの不正ログインやフィッシングなどのリスクの低減が期待できます。 パスキーの設定方法はこちらをご参照ください パスキーの
NEC、顔認証セキュリティソフト「NeoFace Monitor」新バージョンを発売 仮想デスクトップ環境への対応強化
NECは3月22日、同社が提供する顔認証セキュリティソフト「NeoFace Monitor」の最新版「NeoFace Monitor V7.1」を発表、販売を開始した。ソフトウェア価格は1000円、ライセンス価格は1万4500円/台、保守パックが2600円/台だ(いずれも税別)。 今回のバージョンでは仮想デスクトップ環境への対応力を強化しており、従来サポートしていたMicrosoftリモートデスクトップに加えVMware Horizon/Citrix Virtual Apps and Desktopsの利用環境でも、手元のPCカメラを用いて仮想デスクトップOSへの顔認証ログインを利用可能となった。合わせてネットワーク通信上の認証データ軽量化を実現し、多数の利用者が同時接続する大規模環境などでの利便性を向上している。 セキュリティ運用機能も強化されており、利用環境に合わせたセキュリティ強度の
Google、PDF論文を劇的に読みやすくするChrome拡張「Google Scholar PDF Reader」
Google、PDF論文を劇的に読みやすくするChrome拡張「Google Scholar PDF Reader」 米Googleが「Google Scholar PDF Reader」というPDF形式の論文を読みやすくするChromeブラウザ拡張機能の提供を開始した。 プラットフォームやOSに依存せず、クリーンで、文章の構造が一貫しているPDFは、学術文書の標準的なフォーマットとして広く利用されている。しかし、一方で、引用されている他の文献にジャンプするのが難しかったり、あるいは特定のセクションを閲覧したくても、PDFの構造上、簡単に移動できないなど、閲覧性に関して不便と感じる面もある。Googleは「Google Scholar」という学術論文の検索エンジンを提供している。シンプルで分かりやすい画面構成で、良質な学術文書を効率的に見つけられるサービスである。Scholar PDF R
インターネットのあらゆるところに現れている「フィッシングサイト(詐欺サイト)」。大手企業になりすましたものから、個人店のホームページになりすましたものまで、種類はさまざま存在しています。 これまで偽イオンサイト、偽ETCサイトなど紹介してきましたが、今回はフィッシングメールが大量にばらまかれている「偽アマゾン(偽Amazon)」について調べてみました。 ■ 明らかにヤバいサイトへの誘導 フィッシングサイトに誘導する入り口はいくつかあります。代表的なものがインターネット広告ですが、今回はもっとも古典的なEメールからであります。 差出人はアマゾンと名乗る何者か。送信アドレスはアマゾン公式が実際に使っているものではなく、別ドメインからのものとなっていました。 ― ― ― 【Amazon】お客様のアカウント認証に関する重要なお知らせ Amazonをご利用いただき誠にありがとうございます。システムに
4月1日からGmail宛の大量送信者がブロックされる可能性、いますぐ対応を | Forbes JAPAN 公式サイト(フォーブス ジャパン)
テック業界では、4月1日に確信犯的ないたずらをするのが恒例だ。しかし、今年のエイプリルフールにGmailアカウントに送られるメールが一括拒否されるというニュースはジョークではない。 今から約2週間後、グーグルの新ルールが本格的に始動し、大量の受信メールがブロックされるかもしれない。この差し迫った重要な変更について、知っておくべきことを以下に述べる。 大量メール送信者は4月1日までの対応が必要 グーグルは2023年10月以降、新たなメール送信者認証ルールによって、Gmailアカウント宛メールの一部が拒否され、まとめて送信者に送り返されることを明確に宣言している。 グーグルのGmailセキュリティ・トラスト担当グループトマネージャーのニール・クマランは、「2024年から、大量メールの送信者は送信メールを認証すること、受信者がメールの配信登録を容易に解除できるようにすることおよび許容されるスパム
おじいちゃんのスマホ操作を見ながら感じた認証のあり方について - freee Developers Hub
こんにちは。認証認可基盤エンジニアのてららです。 最近好きな言葉はコンフォートゾーンです。好きな食べ物はニンジンです。 猫派です。 経緯 週末、パートナーが祖父母の家に帰るということで付き添いをしてきました。 その1つの目的としてパートナーの祖父(以下、おじいちゃん)がスマートフォンを利用していたのに急にスマホアプリから認証を求められて困っている、とのことでそれの解決をしていました。 「なんとか出来ないかねぇ」ということでパートナーがおじいちゃんのスマホを触りながら操作方法を教えつつ、認証情報を探しておじいちゃんに手解きしている様子を眺めていました。 その時、“ログイン”や“ユーザーID”、知識認証情報を紙に記してその紙の管理をしていたところからこのアプリは何をしたかったのか、おじいちゃんが苦労せずにアプリを触るためにはどうあるべきなのかをずっと考えていました。認証認可基盤のエンジニアとし
Firebase Authのリダイレクトログインを使っている人は今年の6月までに対応しないと大変ですよという注意喚起
公式ドキュメントに書いてあり、Firebaseからもメールなどで通知されていることではあるのですが、意外と見落としたままになっているかもしれない情報なので、啓蒙の意味も込めて記事にします。 結論 Firebase AuthのJavaScript SDKを使っている場合、今年6月までに以下のドキュメントに従った対応をしないとChrome/Edgeでリダイレクトログインが動かなくなります。 サードパーティのストレージ アクセスをブロックするブラウザで signInWithRedirect を使用する場合のベスト プラクティス 必要な対応 公式ドキュメントにある対応選択肢を、補足や注意点も含めた形で以下に焼き直してみます。 ポップアップ形式のログインでもいい場合 同一タブ内でリダイレクトしてログインする形式から、ポップアップウインドウを開いてログインする形式に切り替えましょう。 (公式ドキュメン
琉球銀行は3月13日、顧客情報3719件が滅失したと発表した。システムのメンテナンスを委託していたコアモバイル(東京都台東区)による作業ミスが原因という。 データが滅失したのは2月2日。2020年6月22日から24年2月1日にかけ、法人向けのキャッシュレス決済導入サービス「りゅうぎんキャッシュレスサービス」に申し込んだ加盟店の代表者もしくは担当者の氏名、生年月日、住所などが対象という。データは本人確認資料として画像で保存していた。データの持ち出しや漏えいではないため、二次被害の可能性はないとしている。 関連記事 「GPT-4超え」とうわさのAI「Claude 3」を試す 仕事は任せられる? 若手記者の所感 「ようやく本物の“GPT-4超え”が出てきた」と話題の「Claude 3」。その文章力を見てみる。 Anthropic、AIチャット「Claude 3」を3サイズで 日本語力も向上 An
世田谷区が、職員用のチャットツールを使ってChatGPTに質問できるbot「Hideki」(ヒデキ)を内製で開発し、1月から全職員に提供している。非エンジニアの職員チームが、ローコードツールなどを駆使して3カ月で完成させたという。生成AI活用の支援などを手掛けるクラウドネイティブが3月12日に発表した。 Microsoft Azure OpenAI Serviceを活用。職員が普段から使っているTeamsのチャットツールでヒデキに質問でき、ChatGPTを業務に活用できる。 文章校正やWord/Excel操作に関する疑問の解消、アイデアの壁打ちなどに活用されているという。利用した職員127人に聞いたところ、「生産性の向上を実感した」人が73%に上り、通常業務で1日平均約34分削減、アイデアや企画の素案作成は、1回当たり平均約77分削減できたいう。 非エンジニアチームが兼務で開発、3カ月で完
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
MFA設定必須のCognitoのクロスアカウントマイグレーションについて - ZOZO TECH BLOG
パスワード不要の認証技術「パスキー」はパスワードよりもエクスペリエンスが悪いという批判
OIDCって何なんだー?から、実際に使うまで - BASEプロダクトチームブログ
Oktaがパスワードレス認証のパスキーを解説、「セキュリティと利便性の高い機能」
パスワードレス化が進まないのはなぜ? 普及停滞を打開する認証手法「パスキー」への期待と導入のストーリー
「認証」を整理する | IIJ Engineers Blog
日本でもSIMハイジャック発生、ついに政治家が携帯電話番号を乗っ取られる事態に - すまほん!!
オープンソースによるFirebase代替を名乗るBaaS「Supabase」が正式サービスとして提供開始
SSL/TLS実践入門 ──Webの安全性を支える暗号化技術の設計思想
小学生でも多要素認証の今、企業の認証/ID管理は使いにくい、不自由にもほどがある 未来は変容するのか
IPA高度資格「情報処理安全確保支援士」暗記すべき用語を体系整理 - Qiita
ID周りをやりたいエンジニアにすすめたい学習ステップ(2) : 複数アプリケーションが絡むID管理
次世代Web認証「パスキー」 / mo-zatsudan-passkey
Rails 7.1にバージョンアップしました - inSmartBank
政府とデジタルウォレットのあり方に関するOIXのレポートを読む(1)
ID周りをやりたいエンジニアにすすめたい学習ステップ(1) : 単一アプリケーションとID管理
Amazonの手のひら認証システム「Amazon One」がスマホから登録可能に
サンワ、Windows Helloに対応したUSB Type-C指紋認証センサー
「povo2.0 データ専用」が登場、基本料0円でデータトッピング
入社4ヶ月目で73時間かかるバッチ処理を7倍以上高速化した話 - エムスリーテックブログ
「はてなID」が「パスキー」と多要素認証の「TOTP」に対応/従来よりも安全にアカウントを運用できるように
大量にばらまかれている「偽アマゾン」メール リンクの先には何がある?調べてみた | おたくま経済新聞
顧客情報4000件弱が滅失 委託先が誤ってデータ削除 琉球銀行が謝罪
世田谷区がAI botを内製 非エンジニア職員がローコードで開発 ChatGPT活用「ヒデキ」