[2023-01-31 12:00 JST 更新] JWTのシークレットポイズニングに関する問題
By Artur Oleyarsh January 10, 2023 at 12:33 AM Category: Cloud, Vulnerability Tags: CVE-2022-23529, exploit, open source, Prisma Cloud, remote code execution, Vulnerability Exploitation 2019年1月30日 PST 本脆弱性の悪用シナリオの前提条件に関するコミュニティからのフィードバックを受け、私たちはAuth0と協力してCVE-2022-23529を撤回することを決定しました。 本稿で解説したセキュリティの問題はJsonWebTokenライブラリが安全でない方法で使用された場合には依然として懸念されるものです。そのシナリオでは、すべての前提条件を満たせばこの問題を悪用できる可能性があります。私たちは、その
![[2023-01-31 12:00 JST 更新] JWTのシークレットポイズニングに関する問題](https://cdn-ak-scissors.b.st-hatena.com/image/square/d5fd8fbb78690994f0d69b816752b350c4fdb30b/height=288;version=1;width=512/https%3A%2F%2Funit42.paloaltonetworks.jp%2Fwp-content%2Fuploads%2F2023%2F01%2FCloud-providers.png)
はじめに NearMeでは最近、相乗り配車サービスのための外部向けAPIプラットフォームを構築しました。 これにより、他アプリからシームレスに注文したり、Lineミニアプリのような新しいチャネルのUIを独自に構築することを可能にしました。 その設計においては様々な考慮が必要でしたので、ここにまとめたいと思います。 提供方法 APIを利用するにはまず、外部連携先の"組織"を作成し、登録した"組織"で「〇〇 地域シャトル」「〇〇スクール送迎」などの"サービス"を作成します。これにより、ユーザー管理、車両管理、注文管理などが管理画面から利用できるようになります。マルチテナント方式なので専用の"サービス"が構築されます。 次に、API連携に関する基本情報を格納する"アプリケーション"という項目を作成します。 認証情報やWebhookのURLなどもここで設定します。 この"アプリケーション"のIDが
送信ドメイン認証の現状
2019/09/07 DNS温泉6 in 下呂 で利用したスライドです。 内容的にマズい部分は改変してあります。 時間的に古いものですので、現在と相違がある部分もあります。
質問をすることでしか得られない、回答やアドバイスがある。15分調べてもわからないことは、質問しよう!新規登録して質問してみよう
『1Password』が刷新! Apple製品の最強パスワードマネージャーである8つの理由 | ライフハッカー・ジャパン
サンディスクのmicroSDカード 512GBが40%OFF。写真や動画のデータ置き場はこれで良くない?【Amazonセール】
IT(情報技術)システムの認証からパスワードをなくす動きが広がっている。新型コロナウイルス下で在宅勤務が進む中、漏洩リスクが高いという見方が強まったためだ。米マイクロソフトはメール「アウトルック」やチャット「チームズ」といった自社アプリで顔認証などを標準とした。導入コストも下がり始め、多くの企業が脱パスワードを検討すべき時期を迎えた。スマートフォンに指をのせると、傍らのパソコンの画面が切り替わ
IETFのOAuth WGでは、今あるOAuth2.0関連の仕様を整理し、一つの仕様としてまとめなおし OAuth2.1 として標準化するとりくみが進められています。 今回は、簡単にOAuth2.1について紹介します。 OAuth 2.0 OAuth 2.0は2012年10月に「RFC6749 The OAuth 2.0 Authorization Framework」として標準化されています。その後、OAuth2.0の改善は続けられ、セキュリティ向上のために利用すべき機能(PKCE)などが追加されているほか、逆に非推奨になっている機能(Implicit Grant)などがあります。 IETFのOAuth WGではOAuth2.0を安全に利用するためのベストカレントプラクティスを「OAuth 2.0 Security Best Current Practice」としてまとめています。 この
AWS IAM セキュア化の取り組み
鍵がいっぱいあるよこの記事は Eureka Advent Calendar 2021 の 13日目の記事です。 はじめにこんにちは、エウレカ SREチーム のハラダです! 2020年頃から今年にかけて、 エウレカのSREチームとSecurityチームではAWS IAMのセキュア化を注力ポイントのひとつとして、継続的に取り組んできました。 本記事では、その実践から学んできたIAM管理で守るべき大原則および、具体的にどうやってセキュアな理想像に近づけてきたか、今後の方向性などを話したいと思います。 Why “IAM” so important ?そもそもなんでIAMが注力ポイントなの?と疑問に思われる方もいるでしょう。 クラウドの大きな強みである「すべてをAPI経由で操作できる」という性質ゆえに、IAMは大きなAttack Surfaceでもあります。 Gartner社の予測によると、2023
米Twitterが2月に発表した、SMSを使った2要素認証をサブスクリプションサービス「Twitter Blue」ユーザー限定にする措置。同社は無料ユーザーに対し設定を削除するようにアプリ内で案内していたが、その期限が迫っている。 Twitterは設定を削除していない無料ユーザーに数日前から再び告知を始めている。3月19日までを期限としており、まだ設定解除していないユーザーは急いだほうが良いだろう。同社は「Twitterにアクセスできなくなることを防ぐために」と案内しており、おそらく再ログインする際にSMSで送られてくるはずのコードが受け取れず、ログインができなくなるものと思われる。 2要素認証を今後も使いたいなら認証アプリを使おう なお、認証アプリやセキュリティキーなど、SMS以外の2要素認証については引き続き対応しており、今後も無料アカウントで2要素認証を利用したい場合は、「Googl
デジタル庁は9月26日、同庁が運用する事業者向け共通認証サービス「GビズID」のメール中継サーバーが不正アクセスを受け、「gbiz-id.go.jp」ドメインから迷惑メールが1万3000件送信される問題が発生したと発表した。 GビズIDヘルプデスクのメール中継サーバーが、海外からとみられる不正アクセスを受け、24日午後4時半から5時までに迷惑メールが送られたという。 同庁は異常を検知してすぐ問題の通信を遮断し、被害の拡大を防いだとしている。個人情報の流出は確認していない。 GビズIDは、法人・個人事業主向け共通認証システム。IT導入補助金やe-Gov、ISMAPポータルサイトといった行政システムに、1つのID・パスワードでログインできる。 関連記事 2日連続のe-Gov障害、原因は別だった KILLNETの関与は“言及しない” 河野太郎デジタル大臣はe-Govで6日と7日に発生した接続障害
Amazon の 2段階認証 突破の噂についての仮説 と 2段階認証で意識すること【2FA/2SV/MFA】 - Qiita
Amazon の 2段階認証(2SV)が突破された? Amazon の 2段階認証(2SV) が突破されたのではないかという件が話題になっています。 私もこれについてはとても気になっており、できるだけ早く真相が解明されることを願っています。 そこで、ふと疑問に感じたことが、2SV は何をどの程度防いでくれるのかということです。 ここでは、Amazon を例に、いろんなことを考えていきたいと思います。 フィッシングの前には無力 まず、2SVの突破と言っても様々な手口があります。 徳丸先生の動画が示す通り、中継型フィッシングであれば、自ら正しい認証情報を入力することになるので、2SVを設定していようがいまいが突破されてしまいます。 フィッシングではなく、かつ、TOTPでも突破されたケースも 今回の被害者には、中間者攻撃やフィッシングを受ける状態になかったと仰っている方がいました。 なので、何か
Twitterがサービス終了したらTwitter連携ログインしてるサービスが使えなくなる可能性があるので対策しておきましょう
noon🐥 @noonworks Twitterが死んだらどこに行くかもあるかもだけどまずはTwitter連携ログインしてるサービスをTwitter連携以外でログイン出来るように設定しておきましょうね 2022-11-18 13:07:04
2001年に発売されたWindows XPは動作が安定していることや低スペックのPCでも動作可能なことから2014年にサポートが終了した後も根強い人気を誇っており、発売開始から20年後の時点でも約0.6%のシェアを保っています。Windows XPは正規の需要に比例して海賊版の需要も高く、長年にわたって認証システムが攻略されてきました。2022年に完全オフラインで認証を突破できるようになるまでの流れをtinyappsがブログにまとめています。 Windows XP Activation: GAME OVER https://tinyapps.org/blog/202304230700_xp_wpa.html Windows XPのアクティベーションプロセスは、まずプロダクトキーを元にプロダクトIDを生成し、その後プロダクトIDとハードウェアハッシュを元にインストールIDを計算。そしてインス
Amazonは、人の手のひらを端末にかざすだけで「店舗での支払い」や「個人の認証」などが可能になる非接触型のデバイス「Amazon One」を2020年9月29日(火)に発表しました。Amazon Oneはすでに実店舗への導入が始まっており、一般ユーザーが実際に使用することも可能になっています。 Introducing Amazon One—a new innovation to make everyday activities effortless https://blog.aboutamazon.com/innovation/introducing-amazon-one-a-new-innovation-to-make-everyday-activities-effortless 以下の画像がAmazon One端末。Amazon Oneは独自のアルゴリズムによってユーザーの手のひらを
AWSがDocker Hubの代替サービスを発表予告。パブリックにコンテナイメージを公開可能で50GBまで無料、AWSからなら何度でもプルし放題に
Amazon Web Services(AWS)は、数週間以内にDockerコンテナイメージをパブリックに公開できる新たなコンテナレジストリサービスを発表すると明らかにしました。 Docker Hubの無料プランはプル回数を制限へ 現在、Dockerコンテナイメージのパブリックなレジストリとして事実上の標準となっているのは、Docker社が運営するDocker Hubでしょう。 Docker Hubは誰でもコンテナイメージを公開でき、また、誰でも公開されたイメージを取得(プル)できます。しかしDocker社は今年夏の時点で15ペタバイトにまで膨れ上がったDocker Hubのサービスの無料プランをこのまま続けていくのは難しいと判断し、無料プランに対しては以下の制限を加えることを発表しました。 6カ月以上使われなかったコンテナイメージは削除する アノニマスユーザーからのプルは6時間で100回
こんにちは、アルダグラムのSREエンジニアの okenak です 今回は AWS ClientVPN を導入したことで、社内の運用業務の効率化とセキュリティの強化を達成した事例を紹介したいと思います。 背景 2019年の段階では社員数が12名程度だったこともあり、社内システムのアクセス制御にAWSのセキュリティグループを利用してオフィスIPやリモート接続先IPを解放することで対応を行っておりました。 2023年には社員数が80名になっており、インバウンドルールが40を超えセキュリティグループが穴だらけという状態になっており、社員数増加に伴うIP制限更新作業による管理コストの増大とセキュリティ上のリスクが問題になってきたため、AWS ClientVPNを導入することに踏み切りました。 AWS ClientVPNについて VPNに関して他社のサービスとも比較しましたが以下の点が推しポイントでし
Twitter、旧「認証マーク」は本人確認なしで誰でも購入可能に。著名人は新設の「公式マーク」で区別 | テクノエッジ TechnoEdge
Twitter は青い「認証マーク」を月8ドルの有料プラン Twitter Blue の特典として、本人確認なしで誰でも購入可能とすることが分かりました。 一方で、企業や公人、一部の著名人に対しては非売品の「公式」ラベルを新たに用意。なりすましや偽アカウントと区別できるようにします。 Twitter、月8ドルで認証マークの販売を開始「あなたもセレブや企業や政治家のように青いチェックマークが持てます」 著名人や企業、報道関係者などのアカウントに付く青い「認証マーク」(認証済みバッジ)は、従来は「プロフィールどおりの本人であることをTwitterが確認した」という意味。 原則的にはTwitter社が選別するもので、本人からの認証リクエストの場合は一定の基準をクリアする必要があります。 イーロン・マスク、Twitterの新課金プランは月8ドルと説明。認証マークつきで広告半減、リプ優先表示など T
Firebase Authentification は OAuth 2.0 フローにのっとったログイン方法以外にも Email/Password を使ったログイン方法も提供しています。 このログイン形式をちゃんと使おうとすると、これまでは Provider が担ってくれていたパスワードの編集、パスワードの再発行、メールリンクでのログイン、アドレスの本人確認など様々なことを考慮しなければいけません。 この記事ではそういった考慮をした Email / Password ログインに挑戦します。 基本的にはmanage-users, password-auth, email-link-authといった公式ドキュメントを読むと IPASS ログインに必要なことは書いてあるのですが、action URL を自前で用意するフローを採用するとそれらのドキュメントで賄えなくなり試行錯誤をたくさんしなければい
Apple、Google、マイクロソフトが対応表明した、パスワードレスがさらに便利になる2つの新機能とは。 PCがスマホとBluetooth通信でパスワード不要に、2台目のスマホにもクレデンシャルを簡単リストア
Apple、Google、マイクロソフトが対応表明した、パスワードレスがさらに便利になる2つの新機能とは。 PCがスマホとBluetooth通信でパスワード不要に、2台目のスマホにもクレデンシャルを簡単リストア インターネットにおけるパスワードレスの実現を推進する「FIDO Alliance」は、 Apple、Google、マイクロソフトの3社が、同団体が推進するパスワードレス認証のサポートを拡大すると発表しました。 Today, we are excited to share that @Apple @Google @Microsoft are aligned with this vision and will be implementing multi-device FIDO credentials over the course of the coming year! https
おはようございます。ritou です。 5月下旬ぐらいにチーム内勉強会としてJSON Web Token(JWT)についてわいわいやりました。 その際に作成した資料に簡単な説明を添えつつ紹介します。 このブログではJWTについて色々と記事を書いてきましたが、その範囲を超えるものではありません。 ちょっとだけ長いですが、ちょっとだけです。お付き合いください。それでは始めましょう。 JSON Web Token boot camp 2020 今回の勉強会では、JWTについて概要、仕様紹介という基本的なところから、業務で使っていくにあたって気をつけるべき点といったあたりまでカバーできると良いなと思っています。 JSON Web Token 概要 まずは概要から紹介していきます。 JSON Web Tokenの定義とはということで、RFC7519のAbstractの文章を引用します。 JSON W
組織内でクラウドアプリケーションの導入が増え、 Azure AD で SSO することが増えました。感覚的には2021年比で数倍です。初めて設定した時は緊張しながら実施したものですが、数を積んでだいぶ慣れてきました。 依頼をもらって設定するのは、SAMLばかりです。そのSAMLをほかのメンバーでも対応できるようにしたいので、自分が説明するために流れをまとめてみました。アレコレ、端折ってますがご容赦を。 覚えておく サービスプロバイダ(SP):クラウドアプリケーション、SaaSのこと。IDプロバイダ(IdP):認証機能側。AzureADとか。 SP-Initiated:クラウドアプリケーションでログインしようとすると、IdPに飛んで、認可されたらクラウドアプリを開ける方法。入口はSP側にある。IdP-Initiated:IdPでログインしている状態で、指定のURLを開くと、クラウドアプリケー
コンピューターと人間を区別し、ボットが悪事を働くことを防ぐためにウェブサイトのログイン画面などに実装されているのが、車や信号など特定の物体が写った写真を選んだり、歪んだ文字を読み取って入力したりする「CAPTCHA」です。iPhone向けのOSであり2022年秋に登場予定の「iOS 16」ではこのCAPTCHAを自動でバイパスする機能が追加されることが明らかになっています。 iOS 16 Will Let iPhone Users Bypass CAPTCHAs in Supported Apps and Websites - MacRumors https://www.macrumors.com/2022/06/20/ios-16-bypass-captchas/ iOS 16 will let you bypass CAPTCHAs on some apps and websites
こんにちは、Azure Identity サポート チームの 竜 です。 本記事は、2022 年 12 月 15 日に米国の Azure Active Directory Identity Blog で公開された End user passwordless utopia を意訳したものになります。 Azure と Azure Active Directory (Azure AD) で利用できる技術はたくさんありますが、全体像を把握し、それらがどのようにエンドユーザーのユーザー体験に作用するという全体像については見逃しがちです。 Azure AD で利用できる技術には以下があります: Azure AD 多要素認証 (MFA: multi-factor authentication) パスワードレス認証 条件付きアクセスおよび認証強度 デバイス登録 プライマリ更新トークン (PRT: Prim
Auth0にPassKeyが搭載されたぞ!!!
はじめに 先日ふと Auth0 のダッシュボードを眺めていると、興味深い項目が表示されていました。 Passkey がある!!! なので、今回は Auth0 に搭載されたパスワードレス認証方式である Passkey の説明をしていきます。 なお、Auth0 の設定方法についてはAuth0 からリリースされた記事を参考にして、記載しています。 パスワード認証の課題 Passkey の説明をするまえに、パスワード認証の課題について見ていきます。 認証方法として当然とされているパスワード認証ですが、以下の 3 つの課題を持っています。 ① パスワードの使い回し ② 推測されやすいパスワードの使用 ③ フィッシングアプリへのパスワード入力 それぞれ見ていきましょう。 ① パスワードの使い回し ログインが必要なアプリにはそれぞれ異なるパスワードを使用するというのは皆さんご存知だとは思います。 とはい
となっています。 構成図 クラスタを構成するものを図にすると以下のようになります。 この中の一部コンポーネントは次節以降で登場します。 Kubernetes基盤 クラスタの基盤部分についてどのような構成になっているのか説明します。 kubeadm クラスタの構築自体については kubeadm を利用しています。 kubeadm を利用したクラスタの構築方法については公式のドキュメントが参考になります。 Static Pod と systemd kubeadm でデプロイすると kube-apiserver 等は Static Pod で、kubelet は systemd 以下で動作するようになります。 kube-apiserver は意外にメモリを食ってしまうのでそのまま動作させているとメモリ不足になることがあります。(ありました) なので kube-apiserver と etcd の
NTTドコモの電子マネー決済サービス「ドコモ口座」やペイペイなどスマートフォン決済事業者を利用した不正な預金引き出しが見つかった問題で、一部でSMS(ショートメッセージサービス)を使った本人確認が突破され、被害が発生していることが17日、分かった。ドコモ口座以外でも被害が確認された背景の一つとみられ、本人確認が十分でない携帯電話が使われた可能性がある。金融庁もSMS認証だけでは被害が抑止できないと判断、同日までに決済事業者に本人確認を強化するよう注意を呼びかけた。 【表】スマホ決済事業者のセキュリティー対策 一連の問題をめぐっては、ドコモ口座を開設する際、メールだけで口座が開設できるなど本人確認が不十分で、なりすましが容易だったことが一因とされた。ただ、その後、件数は少ないもののペイペイやメルペイなどドコモ以外のスマホ決済事業者でも同種事案が相次いで確認された。多くのケースで共通するのがS
オープンソースによるFirebase代替を名乗るBaaS(Backend as a Service)「Supabase」が正式サービス化を発表しました。 Supabaseはこれまで約4年間ベータ版としてサービスを提供してきました。現在は100万以上のデータベースをホストし、新規データベースも1日あたり2500以上増加しており、モバイルアプリケーションからエンタープライズ用途まで十分な機能と安定性、スケーラビリティが実証されたとしています。 Supabaseの主な機能はデータベースや認証、ファイルストレージなど SupabaseはBaaSとして主に以下のマネージドサービス群から構成されています。 PostgreSQLによるデータベースサービス 認証サービス ファイルストレージ エッジロケーションにおけるNode.jsDenoベースのサーバレス基盤 マルチプレイヤーゲームなどに対応するリアルタ
二段階認証の意味を問う 「7pay事件」を教訓に見直したい認証のハナシ:今さら聞けない「認証」のハナシ(1/5 ページ) 専門用語が飛び交いがちなセキュリティの知識・話題について、「認証」関連分野を中心にできるだけ分かりやすく紹介する連載。今回は「二段階認証」と認証の仕組みについて。 ほとんどの人が日常的に行っている、ログイン(サインイン)などの認証作業。認証で利用したパスワードが漏えいして第三者からの不正アクセスを受けたりするなど、認証をめぐるセキュリティの問題は後を絶ちません。こうした課題を解決するには、サービス提供者側だけで対策するだけでなく、サービスの利用者も正しい知識を持っておくことが必要でしょう。 本連載記事では、認証の仕組みや課題、周辺の情報について、できるだけ分かりやすくお伝えしていきます。 連載:今さら聞けない「認証」のハナシ 専門用語が飛び交いがちなセキュリティの知識・
2022年度中にマイナンバーカードをほぼ全ての国民が取得する――。政府はこの目標に向け、マイナンバーカードの新規取得などで1人最大2万円分のポイントを付与する「マイナポイント事業」や、健康保険証や運転免許証とマイナンバーカードを一体化させる施策などを矢継ぎ早に展開している。 「マイナンバーカードの利用で便利になる」。河野太郎デジタル相はたびたびこうアピールしている。例えば2022年8月にはマイナンバーカードを管轄する寺田稔総務相と共に経団連を訪れ、会員企業に対して利活用を訴えた。だがマイナンバーカードを持っていても、現状では多くの人が日常で使う機会はほとんどない。 2022年8月25日、経団連にマイナンバーカードの普及と利活用の協力を要請する河野太郎デジタル相(左から3人目)と寺田稔総務相(左から2人目)。河野デジタル相は「(マイナンバーカードの本人確認機能の活用で)企業活動も便利になって
Design System 1.4.1 | Figma
デジタル庁サービスデザインユニットでは、一貫したデザインや操作性でウェブサイトやアプリを提供するための仕組み「デザインシステム」の構築に取り組んでいます。どなたでも構築中のデザインシステムのデザインデータを閲覧することができます。 デザインシステムについての詳細や更新履歴はデジタル庁ウェブサイトをご覧ください。 ※Figma Communityにて公開中のデータは、Figma Communityの規定によりCC BY 4.0のライセンスが表記されます。ただし、このファイル内のイラストレーション・アイコン素材に関してはデジタル庁ウェブサイトに掲載の「イラストレーション・アイコン素材利用...
Appleの複合現実(MR)ヘッドセットVision Proが2日米国で発売に至りましたが、同機では新たな認証システム「Optic ID」が導入されています。Optic IDはAppleの3番目の生体認証となります。 ■3行で分かる、この記事のポイント 1. AppleのMRヘッドセットVision Proで新たな認証システム「Optic ID」が導入された。 2. 安全な近赤外光で眼球を照らし、眼球カメラで虹彩の画像を撮影する。 3. 認証の際、登録された生体データとユーザーの虹彩が一致するかが判断される。 データはSecure Enclave内で処理 2013年に導入されたTouch IDは指紋により生体認証を行うものですが、2017年にiPhone Xで顔認証Face IDが新たに導入されました。 Face IDは最新のiPhoneでもデフォルトの認証システムとなっていますが、Vis
はてなへのログインがパスキーと多要素認証に対応し、よりセキュアになりました - はてなの告知
2024/3/25 17:37 追記 Firefox と1Password の組み合わせを利用していた場合、パスキーの生成が失敗する不具合が発生しておりました。現在は修正済みです。ご不便おかけし申し訳ございませんでした。 本文 平素よりはてなをご利用いただきありがとうございます。 はてなIDが「パスキー」「多要素認証」を利用した認証に対応しましたことをお知らせいたします。 また、本対応に合わせてアカウント関連の画面デザインをリニューアルいたしました。 パスキーとは パスキーとはお持ちのスマートフォン・PC・タブレット端末等に搭載されているロック機能を使用してウェブサイトやアプリにログインできる仕組みです。パスキーをご利用いただくことにより、パスワード認証時における第三者からの不正ログインやフィッシングなどのリスクの低減が期待できます。 パスキーの設定方法はこちらをご参照ください パスキーの
本記事は、2022年5月に開催されたTechFeed Conference 2022のセッション書き起こし記事「パスワードのない世界に向けて(えーじ) — TechFeed Conference 2022講演より」を転載したものです。オリジナルはTechFeedをご覧ください。 皆さんこんにちは。えーじです。今日は「パスワードのない世界に向けて」というお話をしたいと思います。 パスワードだけでは守りきれない世の中に 皆さんご存知のように、今多くのWebサイトはパスワードを使ったログインが主流です。 しかし、どんなに堅牢なシステムでも、ユーザーさんが弱いパスワードを作ってしまったり、同じパスワードを複数サイトで使い回してしまったり、フィッシングに引っかかってしまえばアカウントは乗っ取られてしまいます。 近年フィッシングが急増していることからもわかるように、パスワードだけのシステムでは守り
さくらインターネットで、技術担当の執行役員と、最高情報セキュリティ責任者を務めている江草です。 最近、新型コロナウイルスの影響もあって在宅勤務などをされている方が増えていると思いますが、そういったときに、今までオフィスで使えていたサービスをどうやったら社外でも使えるかという話をしたいと思います。 在宅勤務やリモートワークとVPN さくらインターネットでは以前から「さぶりこ どこでもワーキング」という人事制度によって、1日単位で、あるいは午前中だけとか午後だけとかで、どこでも仕事してよいということをやっていました。さらに新型コロナウイルスの件もあって、現在では出社不要な人の大半が在宅勤務をしています。3月末にはすでに原則自宅勤務ということにして、全社リモートワークに転換しました。4月末の時点では93%の社員が在宅勤務を選択していました。仮に今後、新型コロナウイルスが終息したとしても、基本的に
「Tailscale SSH」が正式版に到達。面倒な鍵管理が不要のSSH、VSCode拡張機能でリモートファイルも編集可能
「Tailscale SSH」が正式版に到達。面倒な鍵管理が不要のSSH、VSCode拡張機能でリモートファイルも編集可能 Tailscale社は、統合的なアイデンティティ管理による鍵管理を不要にした便利なSSHを実現する「Tailscale SSH」が正式版になったことを発表しました。 Tailscale SSH is now out of beta and into general availability! Still juggling SSH keys and managing identities across remote machines? There's a better way: https://t.co/sdvnCckSYg — Tailscale (@Tailscale) March 26, 2024 TailscaleはWireGuardをベースにしたVPN Tai
なぜその API は使われないのか? API の活用を拒む3つの壁とその対策 - CData Software Blog
こんにちは! CData Software Japan リードエンジニアの杉本です。 大変ありがたいことに、最近あるSaaSを提供する会社さんから「リリース前のAPIを触ってみてフィードバックをくれませんか?」と依頼を受けました。 私は以前こんな記事 を公開するほど、APIどっぷりな人間なのですが、数多くの SaaS APIを触ってきてよく考えることがあります。 それは SaaS APIというサービス・プロダクトそのものを成長させる上で、もっとも重要なことは「顧客・デベロッパーが、そのAPIをどれだけスムーズにキャッチアップできるか?」という点に尽きるのではないか? というものです。 以下のグラフはAPI管理ツールを提供するSmartBearのAPI調査において、APIドキュメントで最も重要な要素とは何か? というアンケート結果のランキングですが、ExamplesやAuthenticati
Cloudflare Zero Trustを利用して開発環境への安全なアクセス方法を構築する | CyberAgent Developers Blog
この記事は CyberAgent Developers Advent Calendar 2022 の6日目の記事です。 AI事業本部の黒崎(@kuro_m88)です。CyberAgent Developers Advent Calendar 8回目の参戦です! 今年はCloudflare Zero Trustを利用してオフィスでもリモートワークでも安全に必要な人だけが開発環境にアクセスできる仕組みを作ったので、それについてご紹介します。 開発環境におけるアクセス制御の課題 私が所属するサイバーエージェント AI事業本部の小売DX部門では様々な小売企業のアプリやCDPと呼ばれるデータ基盤の開発をしています。 事業内容についてはこちらをご参照ください。 この組織では、立ち上げから2年以上が経過し、組織として抱えるプロジェクトやメンバ、職種がかなり多くなってきました。 大きな組織の中で複数の顧客
こんにちは、クックパッドの齋藤です。 私はハードウェアPdMとして、クックパッドマートで事業に関わるハードウェア(マートステーション、プリンタ、温度監視システム等)の企画開発・開発ディレクション・調達・保守等をやっています。 クックパッドマートとハードウェア クックパッドマートは2018年9月20日にリリースされた生鮮食品のECプラットフォームです。リリースから4年以上経ち、新規事業ならではのスピードを維持しつつサービス拡大のため試行錯誤を日々続けています。 cookpad-mart.com クックパッドマートはiOSとAndroidの専用アプリで利用可能です。このアプリで商品を購入して、近所の受け取り場所(マートステーションと呼んでいます)で受け取れます。有料で自宅配送するオプションもあります。 クックパッドマートでは、食材の輸配送や保管といった現実世界を相手にビジネスを展開しているため
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
外部向けAPIプラットフォームの設計について - NearMe Tech Blog
CentOS7、suコマンドでrootにログインできない、パスワードは絶対あっているのになぜ?
さよならパスワード マイクロソフト、顔認証など標準に - 日本経済新聞
OAuth 2.1 の標準化が進められています - Qiita
Twitterの「SMS認証」3月19日に終了 まだ解除してない無料ユーザーは早めの変更を
デジタル庁が運用するメール中継サーバに不正アクセス 迷惑メール1万3000件送信
Windows XPの認証システムは完全に突破されていてオフラインでアクティベート可能
Amazonが手をかざすだけで料金を支払えるデバイス「Amazon One」を発表
社内システムのIP制限更新作業が大変になってきたのでAWS ClientVPNを導入した話
firebaseでのパスワードログイン機能の実装をやりきるためのTips
2020年版 チーム内勉強会資料その1 : JSON Web Token - r-weblife
SaaSをAzure ADでシングルサインオンを構成する流れをわかりやすくまとめてみた
iOS 16で「私はロボットではありません」のCAPTCHAをスルーできるようになる機能が登場
Azure AD が提供するパスワードレスのユーザー体験
「Gmail以外を使って」。神奈川県の高校入試出願システムで障害、6日経っても未解消
Managed Kubernetesサービス開発者の自宅k8sクラスタ全容
ペイペイなどの被害 SMS認証も突破 所有者不明携帯電話悪用か(産経新聞) - Yahoo!ニュース
オープンソースによるFirebase代替を名乗るBaaS「Supabase」が正式サービスとして提供開始
二段階認証の意味を問う 「7pay事件」を教訓に見直したい認証のハナシ
マイナンバーカードは便利か?民間での「本人確認」になかなか使われない理由
Touch ID、Face IDに次ぐ第三の革命「Optic ID」 - iPhone Mania
パスワードのない世界に向けて ~TechFeed Conference 2022講演より | gihyo.jp
iOS・Androidも対応「パスキー」とはなにか? パスワード時代の終焉
ゼロトラストで、もっと便利に、もっと安全に | さくらのナレッジ
工事設計認証(技適)をとってみた - クックパッド開発者ブログ