昨今は、さまざまな要因から、複数のクラウド(IaaS)プロバイダーを活用することが多くなりました。例えば、サービスのワークロードはAWSだが、データ分析はGoogle CloudのBigQueryを使うなどです。異なるプロバイダー間でのリソースにアクセスするには、認証が必要であり、シークレットを安全に発行・交換する必要があります。クラウドプロバイダーが動的に発行する等さまざまな方式がありますが、システムの制限や運用によっては安全なシークレットの取り扱いのために、慎重な技術設計が必要になる場合もあります。 今回は、LayerXにおける要件パターン、脅威モデリングに基づく判断と実装方法を紹介することで、「どこまで気をつけるべきか?」「何を想定すべきか?」といった実務に対して参考いただけると嬉しいです
Amazon Verified Permissionsとgolangで認可処理を実装してみた - Techtouch Developers Blog
Amazon Verified Permissions とは 従来の認可処理 Cedar 言語の使い方 基本的な記述方法 RBAC の例 ABAC の例 golang で動かしてみる 1. ポリシーストアを AWS コンソールから作成する 3. サンプルアプリケーションの実装 最後に こんにちは、2023年5月にバックエンドエンジニアとしてジョインした yamanoi です。 最近は Cloudflare スタックに注目しており、新機能を触ったりアップデートを眺めたりしています。 今回は先日 GA (一般利用可能)になった AWS のサービス Amazon Verified Permissions を、 golang で実装した簡単なサンプルを交えて紹介したいと思います。 Amazon Verified Permissions とは Amazon Verified Permissions
インターネットでサービスを利用を行う際、自身がロボットでないことを証明するために「CAPTCHA(Completely Automated Public Turing test to tell Computers and Humans Apart)」というテストを要求されることがあります。CAPTCHAについて調査を行ったカリフォルニア大学の研究チームによる実験で、CAPTCHAテストの解読速度や正答率は人間よりもボットの方が優れていることが判明しました。 [2307.12108] An Empirical Study & Evaluation of Modern CAPTCHAs https://doi.org/10.48550/arXiv.2307.12108 So much for CAPTCHA – bots can do them quicker than humans • Th
Google幹部がAppleを批判 「ユーザーをiOSから離脱しづらくしている」 サイドローディングにも言及(1/2 ページ) Googleは2024年3月7日、AndroidとGoogle Playの説明会を開催した。来日中のGoogle政府渉外・公共政策担当バイスプレジデントであるウィルソン・ホワイト(Wilson White)氏が登壇し、AndroidとGoogle Playの歴史や現在のエコシステムを語った。AppleのiOSを批判するひと幕もあった。 【更新:2024年3月10日11時45分 より正確な内容になるよう、タイトルの表現を一部変更いたしました。】 AndroidはオープンなモバイルOS ホワイト氏はまず、Androidを「非常に広く普及しているOSである」と前置きし、「オープンソースのプラットフォームであり、そしてオープンなモバイルOSである」と紹介した。 Andro
エンジニアというITの専門家でありながら、小賢しいWeb系の詐欺に80%ぐらいはまって死にかけた話 - Qiita
みなさんこんにちは!記事を読んでくださりありがとうございます。 Qiitaには初投稿なので、簡単に自己紹介をさせてください。 自己紹介 ・カナダのバンクーバーでWeb/モバイルエンジニアとして働いています ・2024年7月に日本に帰国し、プロダクトオーナーに転身します ・大阪出身です 何が起こったかの概要 タイトルの通り、小賢しいWeb系の詐欺にはまって危うく銀行口座に侵入されかけました。カナダで起こった出来事ですが、日本でも似たようなことが起こり得る事例かと思ったので、よりたくさんの方に注意喚起ができればと思いこちらに投稿致しました。 時系列での解説と違和感ポイント みなさん、Facebookには「マーケットプレイス」という機能があるのをご存知でしょうか?日本で言うジモティーのような機能です。カナダでは不用品の売買でFBのマーケットプレイスが非常によく利用されます。私は2ヶ月後に日本へ引
GitHub Actions から AWS へのアクセスに利用している OpenID Connect ID Provider の thumbprint について調査した - ROUTE06 Tech Blog
ROUTE06 でエンジニアリングマネージャ兼ソフトウェアエンジニアとして働いております海老沢 (@satococoa) と申します。 先日発生した GitHub Actions と AWS の OpenID Connect 連携におけるトラブルに関して調査を行い、対応方針を策定した件を共有したいと思います。 [2023/07/10 追記] Thumbprint を明示的にユーザ側で設定しなくて良いように、AWS 側で対応されたそうです。 github.com 当面 Terraform のモジュール的には必須入力のままですが、任意の文字列で良いそうです。 (いずれ入力も不要になるのかと思います。) https://github.com/aws-actions/configure-aws-credentials/issues/357#issuecomment-1626357333 The A
概要 1月9日頃からX上で「神奈川県公立高等学校入学者選抜インターネット出願システム」でGoogleドメインのアドレスへのメール不着が発生し、受託会社の設定が問題視されました。 X上で設定方法が炎上しましたが、正直「〜が問題であって、〜したら良かった」という解決方法を説明できないので、私も批判を受けるレベルだなぁと思って、すぐに勉強しました。 この記事は、そのアウトプットですので、間違っている認識の箇所がありましたら、温かい目でお知らせください。 前提 この記事は、今回、問題になった設定箇所を取り上げています。 基本の範囲をはっきりと定義できませんが、基本的なメールサーバーの処理等は記載していません。 事例 1. MXレコードについて 神奈川県高校出願システムだけど、何気にMXレコードをみたらとんでもない設定ミスしてる。こんな基本的な事に気づかないなんてダメでしょ。 このツイートの指摘、何
Firebase Authのリダイレクトログインを使っている人は今年の6月までに対応しないと大変ですよという注意喚起
公式ドキュメントに書いてあり、Firebaseからもメールなどで通知されていることではあるのですが、意外と見落としたままになっているかもしれない情報なので、啓蒙の意味も込めて記事にします。 結論 Firebase AuthのJavaScript SDKを使っている場合、今年6月までに以下のドキュメントに従った対応をしないとChrome/Edgeでリダイレクトログインが動かなくなります。 サードパーティのストレージ アクセスをブロックするブラウザで signInWithRedirect を使用する場合のベスト プラクティス 必要な対応 公式ドキュメントにある対応選択肢を、補足や注意点も含めた形で以下に焼き直してみます。 ポップアップ形式のログインでもいい場合 同一タブ内でリダイレクトしてログインする形式から、ポップアップウインドウを開いてログインする形式に切り替えましょう。 (公式ドキュメン
MFA認証を使ったAssumeRoleでシンプルにTerraformを実行する(aws configure export-credentials) | DevelopersIO
MFA認証を使ったAssumeRoleでシンプルにTerraformを実行する(aws configure export-credentials) Terraform実行時のMFA認証を使ったAssume Roleを楽にできる方法がないか調べていたら、以下のコメントを見つけました。 Doesn't ask MFA token code when using assume_role with MFA required #2420 どうやらツールや長いコマンドの実行なしで、MFA認証ありでも簡単にAssume Roleができそうです。 便利だったのでブログにしてみました。 TerraformのMFA認証事情は以下のブログをご確認ください。 結論 この方法では、aws-vaultやaws-mfaなどのツールは不要です。 以下のようにProfileを用意して、terraformのコマンドを打つだけ
はじめに この記事はAuth.jsがどのようなものか,どのように実装すればいいかなどをドキュメントを要約しながら紹介するものです. Auth.jsは2024/02/19現在ドキュメント整備中です.現在のドキュメントとは内容が異なる場合があります.この記事では旧ドキュメントの内容も交えて解説しています. Auth.jsとは? (https://authjs.dev/ より) Auth.js is a complete open-source authentication solution for web applications. Check out the live demos of Auth.js in action: Next.js SvelteKit SolidStart Auth.jsはwebアプリのための完全なオープンソース認証ソリューションです.その特徴として, 簡単に OAu
オフェンシブ視点による Cloud Security 入門 ~AWS 編~ - blog of morioka12
1. 始めに こんにちは、morioka12 です。 本稿では、AWS 環境における攻撃者のオフェンシブな視点で Cloud Security の入門として紹介します。 1. 始めに 免責事項 想定読者 2. クラウドにおける脅威 クラウドの重大セキュリティ脅威 11の悪質な脅威 クラウドサービス利用に関連するリスク Top 10 AWS セキュリティ構成ミス Top 10 3. AWS 環境における攻撃者の観点 3.1 AWS 環境の外部からの観点 3.2 AWS 環境の内部からの観点 4. MITRE ATT&CK Framework for Cloud (IaaS) 4.1 初期アクセス (Initial Access) 4.2 実行 (Execution) 4.3 永続化 (Persistence) 4.4 権限昇格 (Privilege Escalation) 4.5 防御回避
Next.jsの認証チェックどこでするか問題 基本的には middleware.ts で行うと思うのですが、肥大化を避けたり、ちょっとした共通処理は layout.tsx に書くこともあるでしょう。今回は layout.tsx で認証チェックをした場合に、実装によっては意図せず認証ユーザにしか表示したくない情報が漏洩してしまうかもしれないケースを紹介します。 問題のあるコード import { redirect } from "next/navigation"; export const dynamic = 'force-dynamic'; function currentUser() { // ここでセッションデータから認証ユーザ情報を取得する関数 // デモ用にログインしていないユーザを再現したいのでfalseを返す return false; } export default fun
株式会社MIXI 開発本部 MIXI M事業部の ritou です。 DroidKaigi 2023にてお話しさせていただきました。 資料も公開しました。 今回も発表内容全部書き出してみたをやってみます。 同時通訳ありだったので台本はできていて、この通り話せたら良いだけだったのですが実際はそううまくいかずに普通に時間なくなりました。 それではどうぞ。 これからパスキーに関するユースケースと、それに伴うユーザーエクスペリエンスの課題について発表します。 株式会社MIXIでエンジニアとして働いています。 MIXI MというサービスでID基盤の開発に携わっており、8月にパスキー対応を行いました。 その経験も踏まえて、今日はお話をさせていただきます。 また、OpenIDファウンデーションジャパンでエバンジェリストをしています。 今日はID連携とパスキーの関係についてもお話します。 この発表を通して
Next.js App Router で Keycloak と @auth0/nextjs-auth0 を利用してマルチテナント認証機能を実装する - Uzabase for Engineers
初めまして、 @takano-hi です。 2023年2月に AlphaDrive にジョインして、主にフロントエンド領域を中心に設計・実装などの業務を担当しています。 最近、Next.js のプロジェクトを新たに立ち上げる機会があり、せっかくなので App Router を採用しました。 そのプロジェクトの認証機能の実装に当たり、今まで他プロジェクトでも利用していた Keycloak と @auth0/nextjs-auth0 の組み合わせを試したところいくつかの困難に遭遇したので、その解決方法についてまとめようと思います。 環境 next v13.4.9 @auth0/nextjs-auth0 v3.1.0 keycloak v20.0.1 ライブラリの選定背景 私が所属しているチームでは、認証基盤(IDプロバイダー)に Keycloak を利用しています。 Keycloak は Op
スマホを狙う新しい手口の「SIMスワップ」も怖い。SIMとは契約情報が記録された小型のICカード。携帯電話番号を乗っ取る手法で、その流れは図1の通りだ。 図1 SIMスワップの手口は、犯人が事前に個人情報を入手してこれを基に身分証明書を偽造。携帯ショップに赴いてSIMを再発行したり、MNPで電話番号を引き継いだりする。攻撃者が手に入れたSIMは被害者の電話番号なので、SMSの確認コードは犯人のスマホに届く。つまり2段階認証も突破されてしまう。すでに国内でもネットバンキングの不正送金の被害が出ている まず攻撃者はフィッシング詐欺などでターゲットの個人情報やログイン情報を取得し、個人情報を基に身分証を偽造。次に携帯ショップで偽の身分証を提示して本人になりすます。あとは、SIMの紛失を名目に再発行したり、MNP(携帯番号ポータビリティ)を悪用して別のSIMに電話番号を移したりして乗っ取る。こうや
GitHubはPasskeyの対応をパブリックベータとして開始したことを発表しました。従来のパスワードおよび2要素認証の代わりに、Passkeyによるパスワードレスな認証を行うことが可能になります。 Moving past passwords is for better account security. Today we’re launching passkey support on https://t.co/VDZYKUklba - you can enable passkeys today and ditch that password. https://t.co/nvTweiY0Tk — GitHub (@github) July 12, 2023 Passkeyを有効にするには、自分のダッシュボード画面から右上のアイコンをクリックし、表示されたメニューから「Feature Pre
gh auth loginで作成されたクレデンシャルだけで生活するためにgh-doを作った - Copy/Cut/Paste/Hatena
やっとgh auth loginで得たクレデンシャル(OSのセキュアストレージに保存されているもの)のみを使う生活になったぞ— k1LoW (@k1LoW) 2023年5月15日 GitHub CLIの gh auth login で作成されたクレデンシャルはOSのセキュアストレージに保存されるようになりました。 次のエントリが詳しいです。 blog.kyanny.me 「じゃあ、もう全部セキュアストレージに保存されたクレデンシャルを使えばOK」となるのですが、なかなかそうはいきません。 なぜかというとGitHubのクレデンシャルを使うツールによって環境変数の扱いが異なるからです。 GitHubのクレデンシャル設定の歴史(私の記憶版) 注意: 以下は、あくまで私の記憶であって実際と異なるかもしれません。 前史 GitHub CLI( gh )やGitHub Actionsの登場以前は、クレ
フロントエンドの認可ついて(その1)
概要 どうもukmashiです。今年は年末なのに、年末感がなくて逆にびっくりしますね。 年末で時間を持て余してるので、燻製を作りながら、年末に仕事で練っていたフロントエンドにおける認可について、整理しようと思います。 なお、RBACやPBACなどの認可の種類に対する考え方については基本的に触れません。 本記事は2部作です。 本記事は3部作になりました。 フロントエンドの認可ついて(1)← 本記事 ReactやVueを始めとして、SPA、Next.js、Nuxt.jsに関する認可についてまとめます。 フロントエンドの認可ついて(2) 後半では、FEとBEで認可の処理が二元化してしまうのをどうクリアするかの提案です。 フロントエンドの認可ついて(3) 2での提案を具体的にReactのコードとして落とし込みました 本記事での用語 話を始める前に、用語整理しておきます。 Page ブラウザで描画さ
この記事は、Security Product Marketing の Leader Gabrielle Bridgers によるブログ「Return to Sender: Why DMARC is no longer a “nice to have”」(2023/11/27)の抄訳です。 Eメールの脆弱性は依然として広がっており、高度なエンタープライズ DMARC ソリューションの必要性が高まっています。DMARC ソリューションによって、シスコのお客様は高いレベルの実装とサポートを受けながら自社のドメインを迅速に保護し、最小限の労力でEメールセキュリティのニーズを効率的に管理できるようになります。 先月、Google と Yahoo はそれぞれ Eメールの配信に関する新たな一連の要件(英語)を発表しました。この発表は Eメールセキュリティの重大な変化を示し、業界が認めるベストプラクティス
こんなセキュリティの間違いをしていませんか?認証システム開発で得た教訓 - NTT Communications Engineers' Blog
この記事は、 NTT Communications Advent Calendar 2023 1日目の記事です。 はじめに こんにちは、イノベーションセンターの平木と申します。 11月1日にNA4Secプロジェクト1のチームにセキュリティエンジニアとしてjoinしまして、急遽、エンジニアブログに投稿させていただくことになりました。 今日ご紹介したいのは、前職(NTT Comの他部門)のセキュリティ機器の導入プロジェクトの話で、その中で私が遭遇した「嘘のような本当の話!?」をご紹介し、そこで得た学びをお伝えしたいと思います。 開発プロジェクトの概要 とある事件をきっかけに全社的にセキュリティ意識が今まで以上に高まって、より適切に権限をコントロールすべく、認可認証の仕組みが導入されることが決まりました。我々のチームでは、サーバネットワーク基盤を用意し、認証アプリを導入し、運用を確立することがミ
ritouです。 こちらの記事の続きです。 前回の記事の振り返り 3行でまとめると まずは単一アプリケーションのID管理について解像度を上げてみよう Webアプリケーションフレームワークを使って新規登録から退会までざっくり動作確認してから、色々いじったり調べてみるのが良いよ セキュリティ関連の機能とか、新規登録時の身元確認、ログイン方法を拡張してみよう といったところです。個人的にはこれは全エンジニア向けの研修であってもいいぐらいのものだと思います。 今回の内容 タイトルにある通り、複数のアプリケーションが関わる部分に入っていきましょう。 というか、OAuthとOIDCやりたいんですよね?え?SAML? まずはID連携のベーシックな部分に触れていきましょう。 プロトコルは混ざっちゃっていますが、順番としてはこんなのはどうでしょう。 OAuth 2.0のClientとしての機能を設計/実装す
Passkey の動向 2023年ふりかえり - Money Forward Developers Blog
はじめに こんにちは、マネーフォワード ID 開発チームの @nov です。 2023年はマネーフォワード ID として本格的にパスキーのサポートを開始した年でした。 2023年4月にリリースしたマネーフォワード ID のパスキー実装ですが、2023年末の時点でマネーフォワード ID へのログインアクションの7%ほどがパスキーによるログインになっており、Google Sign-in や Sign in with Apple などを抜いてパスワードに次ぐ第二位の認証手段となっています。 この一年で、Money Forward Developers Blogにも、最初に Passkey Autofill に全面対応した実装でリリースに至った経緯や、定期的な利用状況レポートなどを挙げてきました。 Passkey autofillを利用したパスワードレスログイン導入で得たものと、得られなかったもの
DX(デジタルトランスフォーメーション)で失敗している企業は多い。筆者はIT関連の開発に長年携わっており、「失敗学」の経験を基に『DX失敗学 なぜ成果を生まないのか』(日経BP)を上梓(じょうし)した。今回は、その方法で実際のプロジェクトが失敗した真因を探ってみる。題材とするのはセブン&アイ・ホールディングス(以下セブン&アイ)の「7pay(セブンペイ)」だ。 7payはセブン&アイが2019年7月1日に始めたスマートフォンによるバーコード決済のサービス。2万店舗を超えるセブンイレブン店舗で利用できるようにした。既存のセブン-イレブンアプリに支払い機能を付加したもので、アプリトップ画面から最少2タップで利用登録できるという簡単さを売りにした。当初の予定では、2019年10月以降に外部加盟店での利用も始め、2020年からはセブン&アイグループ各社のアプリとの連携を図っていく予定だったが約3カ
GitHub Actions から AWS や GCP などのクラウドリソースを操作するときは、 OIDC を使用することが主流だと思いますが、手順に沿って設定はできるもの仕組みがよく分かっていない方も多いと思います。 この問題は厄介で、様々な"分からない"が絡まりあって生まれている問題だと思います。 例えば、 どんな仕組み・流れでAWS・GCPを操作できるようになっているのか分からない(私) そもそもなぜOIDCを設定すると嬉しいのか分からない(私) 色々な設定をしたけど何をしているのか分からない(私) などが挙げられると思います。 これらを解消し、OIDCを利用したGitHub ActionsとGCPの連携の流れ・仕組みを探求するのがこの記事の目的です。 ※Google CloudのことはGCPと書きます。 ※記事で触れないこと GitHub Actions - Google Clou
多くの日本企業でセキュリティ被害が増えている昨今、企業や組織はどう対応していくべきなのか。イー・ガーディアングループCISO 兼 EGセキュアソリューションズ取締役CTOである徳丸浩氏が、日本の「セキュリティのイマ」をわかりやすく徹底解説する連載企画第10弾。今回のテーマは「なぜパスワードレスは進まないのか? 普及停滞を打開する認証手法『パスキー』への期待と導入のステップ」です。古くから使われているパスワード認証は便利で使いやすい手法ですが、それゆえの欠点や脅威も多く、パスワードレスへの移行が長いこと求められ続けています。とはいえ、なかなか進んでいないのが現実です。なぜ進まないのか。パスワード認証に代わる手法を1つずつ例に挙げながら、最後には徳丸氏が期待を寄せている「パスキー」が持つ可能性を解説します。 パスワード認証に限界が見えてきた はい、「パスワードレス」というのはもうずいぶん長いこ
PostgreSQL 16がリリースされる、COPYの性能が最大300%向上などパフォーマンスの改善や論理レプリケーション機能の強化など盛りだくさんな内容
オープンソースのデータベース「PostgreSQL」のバージョン16がリリースされました。パフォーマンスの改善や論理レプリケーション機能の強化をはじめ、開発者のQOL向上やセキュリティ関連の更新など開発開始から35年経過しているとは思えない盛りだくさんな内容となっています。 PostgreSQL: PostgreSQL 16 Released! https://www.postgresql.org/about/news/postgresql-16-released-2715/ ◆クエリプランナーが改良される ・FULLおよびRIGHTのJOINを並列化可能に ・「DISTINCT」「ORDER BY」節と同時に集計関数を使用したクエリに対してより効率的なプランを生成 ・「SELECT DISTINCT」クエリに対してインクリメンタルソートを使用 ・ウィンドウ関数を最適化 ・RIGHTおよび
ritou です。 これについての話です。 この辺りずっとやってると「認証認可について詳しくなりたいです!」「OIDCに興味があります!」みたいなところから「何をやればいいですか!?」みたいなことを聞かれたりします。(やりたいことやればいいじゃんと思いつつ) 昔は 年に一回ぐらいIdPを作りましょう なんて言っていた時期がありますが、まぁそう簡単にできるものでもありません。ふじえさんの記事をdisっているわけではないですが、OIDCのところから始めても他にやることが多すぎて結構つらいのです。 何から始めたら良いか 現状のおすすめとしては、 Webアプリケーションフレームワークを使って単一アプリケーションを動かして、既存コードを追ったり拡張できるならやってみて色々細かい部分を理解するところから始めましょうというところです。 なんと、ひと昔前にQiitaに溢れたようなやり方ですが どのフレーム
【続報】アカウント連携システム不備による『出前館』アカウント情報閲覧の恐れに関するお詫びとお知らせ | ニュース | 株式会社出前館
出前館 2023.06.23 【続報】アカウント連携システム不備による『出前館』アカウント情報閲覧の恐れに関するお詫びとお知らせ PDF版はこちら(198KB) 平素より、当社が運営するデリバリーサービス『出前館』をご利用いただきまして、誠にありがとうございます。 株式会社出前館は、2023年3月23日(木)、出前館サービスのアカウントと、サードパーティーとのアカウント連携システムにおける不備による情報閲覧の恐れとその問題の解消をお知らせいたしましたが、対象となる可能性があるアカウント数に変更がありましたので再度お知らせいたします。本事象は、1台のPCやスマホを複数のお客さまが共有し、サードパーティーアカウントと連携し出前館サービスを利用するケースにおいて、特定の操作でログインすると共有したPCやスマホで出前館サービスを使ったお客さまの出前館サービスのアカウント情報の一部が不適切な範囲で閲
JWTの検証プログラムに対する有名な攻撃手法にalg=none攻撃があります。JWTのalgクレーム(署名アルゴリズム)としてnone(署名なし)を指定することにより、署名を回避して、JWTのクレームを改ざんする手法ですが、手法の解説は多いもの、脆弱なスクリプトのサンプルが少ないような気がしています。そこで、node.js用の著名なJWTライブラリであるjsonwebtokenを使った簡単なサンプルにより、alg=none攻撃の解説を試みます。 なお、jsonwebtokenの最新版では今回紹介した攻撃方法は対策されているため、以下のサンプルでは古いjsonwebtokenを使っています。 alg=none攻撃とは よく知られているように、JWTは以下のように3つのパートからなり、それぞれのパートはBase64URLエンコードされています。ヘッダとペイロードはエンコード前はJSON形式です
KubernetesクラスターからAWSリソースへのアクセスを制御してくれる「IRSA」とは? - Qiita
「アクセス制御」ってややこしいですよね。 AWSでもIAMが苦手!って方多そうですが、Kubernetesの世界でもアクセス制御を知っておかないとセキュリティ事故に繋がります。 今回はそれらの合わせ技となる、AWS上でKubernetesを使う際の両プラットフォーム間でのアクセス制御の組み合わせについてのお話です。 AWS上でKubernetesを使う際のセキュリティ課題 EKSを使ってKubernetesワークロードをAWS環境上でホストしてるよ!という方は多いんじゃないかと思います。 特にAWSでKubernetesを使っていると「PodからAWSリソースにアクセスさせたい」という要件が出てきます。 以下のようなプロダクトを例として想像してみましょう。 この例では同じEKSクラスター上でKubernetes Podを2種類がバックエンドアプリケーションとして稼働しています。 Pod①へ
パスワードがペッパー付きハッシュ値で保存されているサイトのSQLインジェクションによる認証回避の練習問題解答 - Qiita
この記事は、以下の問題の想定正解です。まだ問題を読んでいない方は、先に問題を読んでください。 ペッパー(pepper)というのは、ハッシュ計算前のパスワードに付与する秘密かつ固定のソルトのことです。ペッパーの機密性が保たれている限り、ハッシュ値からパスワードを復元することも、パスワードのハッシュ値(アプリ側で受付られるもの)を計算することもできません。 また、この問題の先行問題の知識も必要ですので以下の記事(および問題)も読んでおいたほうがよいでしょう。 さて、このペッパー付きの問題も多くの方に記事を読んで頂き、また解答もいくつかいただきましてありがとうございます。 出題時の以下条件を満たす想定解答を2種類(細かく分けると3種類)紹介します。 できればブラックボックス(つまりソースコードやテーブル定義を見ない)で解く ペッパーは覗き見してはいけない sqlmap等のツールは使っても良い s
Steamの自動アップデート機能が悪用され、開発者のアカウントを通じて悪意あるソフトウェアが混入したゲームが少数のユーザーに配信されていたことがわかりました。再発防止のため、Steamを運営するValveは開発者らにSMS認証を義務づけると発表しています。 Steam :: Steamworks Development :: 近日公開:ビルドおよびSteamworksユーザーの管理におけるセキュリティ強化 https://steamcommunity.com/groups/steamworks/announcements/detail/3749866608167579206 Valve adds new security check after attackers compromise Steam accounts of multiple game devs and update thei
当たり前になりつつある二要素認証 人によってはほぼ毎日受け取っているかもしれない、ショッピングサイトを騙る詐欺メール。ASCII.jpの記事や、このコラムなどを読んでくださっている読者なら、フィッシングサイトのリンクを踏むことはそうそうないだろうと思います。 また、それほどセキュリティへの知識がない方でも、「二要素認証」を設定している人も多いでしょう。パスワード+SMSで送られてくるコード、パスワード+指紋認証など、異なる認証要素の2つを組み合わせる認証方法です。 二要素認証における“認証要素”は、大きく分けて3つあります。IDやパスワード、秘密の質問などの「知識要素」。スマートフォンを使ったSMS認証やアプリ認証など、その人が所有しているものに付随する情報の「所有要素」。顔認識や指紋、虹彩(目の膜)など、身体的な情報の「生体要素」です。 対して、IDとパスワード、さらに秘密の質問を入力す
Authlete を活用して OAuth 認可サーバの構築期間を短縮した - Gaudiy Tech Blog
こんにちは、Gaudiyでソフトウェアエンジニアを担当しているsato(@yusukesatoo06)です。 弊社が提供するファンコミュニティプラットフォーム「Gaudiy Fanlink」において、外部サービスにAPI提供をする必要があったことから、外部連携について色々と調べて実装しました。 そこで今回は、調査からサーバ構築までのプロセスと、そこで得た学びや気づきを共有できればと思います。 1. OAuthとは 1-1. OAuthの概要 1-2. OAuthのフロー 2. OAuthが必要な背景 2-1. 外部サービス連携 2-2. 他の連携方式との比較 3. OAuthの提供 3-1. 提供方式 3-2. 今回の選定方式 4. OAuthサーバの構築 4-1. Authleteについて 4-2. 必要なエンドポイント 4-3. システム構成 5. 開発を通じて 5-1. 開発を通じた
クラウドソフトウェアの認証やセキュリティに関するさまざまなソフトウェア開発を行うOryは2023年7月13日、同社が開発するオープンソースのユーザ認証、管理システムであるOry Kratosのv1.0.0をリリースした。 Ory Kratos https://github.com/ory/kratos Ory KratosはAPIベースのID/ユーザ管理システム。セルフサービスのログインと登録、多要素認証(MFA/2FA)、アカウント検証、アカウント回復など、ほとんどすべてのアプリケーションが対応する必要のある一般的な機能が実装されている。APIのみのヘッドレスであるため、開発者が自分でUIを構築する必要がある。またデータベース以外の外部依存関係がなく、さまざまなクラウド環境でのデプロイと拡張が簡単に行えるのが特徴。ほとんどのOS上でビルドできるほか、Linux、macOS、Windo
まずはこの図を見てほしい。一番左の「GPT2 Phase」はGPT-2のそれぞれの処理(フェーズ)を、「Action」はそれぞれの処理でやっていること、「Tab in Spreadsheet」は対応するExcelのシート名をあらわしている。 Excelで左から右へタブを実行していくことで、この図の上から下まで、つまり入力(Input)から出力(Output)までを再現できるわけだ。 それでは、一番上(Excelでは一番左)の「Input」フェーズから順に見ていくことにしよう。 「Input」フェーズ 「Input」フェーズは文字通りプロンプトを入力するフェーズで「Type_Prompt_Here」シートが使用される。 2列目の「Type Prompt Below Here」の下のセルに、プロンプトを一単語ずつ(カンマやスペースも1単語と換算)入力する。 初期状態ではサンプルとして「Mike
AWS Amplify が効果を発揮する Next.js の 5 つの機能 | Amazon Web Services
Amazon Web Services ブログ AWS Amplify が効果を発揮する Next.js の 5 つの機能 Next.js は、React アプリのサーバーサイドレンダリングと静的サイト生成を可能にする、人気の React フレームワークです。フロントエンドの Web およびモバイル開発者が AWS 上で迅速かつ容易にフルスタックアプリケーションを構築できるようにする目的で構築されたツールおよび機能のセットである AWS Amplify と組み合わせると、開発者は本当に強力なアプリを構築することができます。 本記事では AWS Amplify が効果を発揮する Next.js の 5 つの機能を紹介します。 1. データフェッチと API Next.js は静的サイト生成(SSG)、サーバーサイドレンダリング(SSR)、クライアントサイドレンダリング(CSR)、インクリメン
タスクマネージャーでシステムの動作状態を知りたい! Windows OSにおいて、システムの動作状態をチェックしたり、必要なメモリサイズを見積もったりするには、タスクマネージャーによるシステム状態の把握が必要である。これを使えば、簡単にシステムの動作状況を調査できるし、必要ならアプリケーション(プロセス)ごとの細かな動作状況やCPU/メモリの利用量などをモニターすることも可能だ。 また、システムの動作が重くなったといった場合のトラブルの原因追及にも役立ってくれる。 タスクマネージャーは非常に多くの機能を持つ。本Tech TIPSでは、最もよく使われるであろう[パフォーマンス]画面の内容について解説する。対象はWindows 11とする。 Windows 10やWindows Server 2016以降の場合は、Tech TIPS「Windows 10対応:タスクマネージャーの『パフォーマン
Linux Daily Topics Linux Foundation、OpenID Connectを拡張した暗号化プロトコル「OpenPubkey」をローンチ Linux Foundationは10月4日(米国時間)、BastionZeroおよびDockerとともに暗号化プロトコルのオープンソースプロジェクト「OpenPubkey」をローンチすることを発表した。 Linux Foundation, BastionZero and Docker Announce the Launch of the OpenPubkey Project -linuxfoundation.org The Linux Foundation, BastionZero and Docker are excited to announce the launch of OpenPubkey as a Linux
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
AWSだ! Google Cloudだ! Azureだ! 認証連携だ!
AIの進化でボットの方が人間よりも高速かつ高精度でCAPTCHA認証を突破することが可能に
Google幹部がAppleを批判 「ユーザーをiOSから離脱しづらくしている」 サイドローディングにも言及
「Gmail」がスパムメール撲滅に本腰 大量送信者に新しい義務を課す方針を明らかに/SPF/DKIMといった認証システムの導入、メルマガ登録解除のワンクリック化など
神奈川県高校出願システムの設定の不備を説明できないから勉強してみた - Qiita
Auth.jsを完全に理解する (基本編) #1 - Qiita
Next.jsのlayout.tsxで認証チェックすると情報漏洩するかも
DroidKaigi 2023にてパスキーについて話しました
2段階認証も突破する「SIMスワップ」、漏れた個人情報は闇サイトで売買される
GitHubがPasskeyに対応し、パスワードレスでログイン可能に
メール送信者への警鐘:DMARC がもはや「Nice to have」と言えなくなった理由
ID周りをやりたいエンジニアにすすめたい学習ステップ(2) : 複数アプリケーションが絡むID管理
セブン&アイの7payはなぜサービス終了に至ったか、「失敗学」の方法で分析した
GitHub ActionsとGoogle CloudのOIDCの仕組みを理解する
パスワードレス化が進まないのはなぜ? 普及停滞を打開する認証手法「パスキー」への期待と導入のストーリー
ID周りをやりたいエンジニアにすすめたい学習ステップ(1) : 単一アプリケーションとID管理
node-jsonwebtokenで学ぶJWTのalg=none攻撃 - Qiita
Steamでゲームのアップデートにマルウェアが仕込まれる事態が発生、対策のためSMS認証を必須にするとSteamが発表
Amazonの二要素認証が突破される? 新手の詐欺が発生中
オープンソースのユーザ認証システムOry Kratos v1.0.0がリリース | gihyo.jp
「ExcelでChatGPTを再現するシート」が想像以上に素晴らしかった (2/4)
【Windows 11】タスクマネージャーの「パフォーマンス」タブの見方
Linux Foundation、OpenID Connectを拡張した暗号化プロトコル「OpenPubkey」をローンチ | gihyo.jp