note のやらかしのあのへんについて。 認証自作、 Rails 、 Devise - Diary パーフェクト Rails 著者が解説する devise の現代的なユーザー認証のモデル構成について - joker1007’s diary 認証サーバーの実装は本質的に難しいです。セキュリティが絡むものは「簡単な実装」などなく、プロアマ個人法人問わず、個人情報を守るという点で、同じ水準を要求されます。悪意あるハッカーは常にカモを探していて、もし認証が破られた場合、自分だけではなく大多数に迷惑が掛かります。初心者だから免責されるといったこともありません。全員が同じ土俵に立たされています。 とはいえ、認証基盤を作らないといろんなサービスが成立しません。そういうときにどうするか。 Firebase Authentication で、タイトルの件なんですが、 Firebase Authenticat
Hiromitsu Takagi on Twitter: "そもそもスマホアプリ の時代、もはやauthenticationですらないと思うのよね。(何を言ってるかわからねえだろうと思うが。)"
そもそもスマホアプリ の時代、もはやauthenticationですらないと思うのよね。(何を言ってるかわからねえだろうと思うが。)
Firebase Authentication 7つの落とし穴 - 脆弱性を生むIDaaSの不適切な利用 - Flatt Security Blog
はじめに こんにちは、株式会社 Flatt Security セキュリティエンジニアのぴざきゃっと (@pizzacat83) です。 認証機構を自作せずに導入できる Firebase Authentication は様々なアプリケーションにて利用されていますが、その特性を十分に理解せずに導入すると、実は不具合や脆弱性が生じることがあります。そこで本稿では Firebase Authentication を利用するうえで、注意しなければ不具合や脆弱性に繋がりうる 7 個の「落とし穴」について解説します。 はじめに IDaaS の利点と欠点 落とし穴 1. 自己サインアップ リスク 対策 不十分な対策 落とし穴 2. ユーザーが自身を削除できる 対策 落とし穴 3. 他人のメールアドレスを用いたユーザー登録 リスク リスク 3-1. メールアドレス誤入力によるユーザー乗っ取り リスク 3-2
マイクロサービスの認証・認可とJWT / Authentication and Authorization in Microservices and JWT
OCHaCafe Season4 #4の資料です. デモのソースコード等はこちらをご参照ください.
// auth.ts import NextAuth from "next-auth" import GitHub from "next-auth/providers/github" export const { auth, handlers } = NextAuth({ providers: [GitHub] }) // middleware.ts export { auth as middleware } from "@/auth" // app/api/auth/[...nextauth]/route.ts import { handlers } from "@/auth" export const { GET, POST } = handlers // src/auth.ts import { SvelteKitAuth } from "@auth/sveltekit" impor
next.js + vercel + firebase authentication で JWT の検証を行う + Graphql
今個人で作ってるアプリの 認証 + Graphql の部分を抜き出して GitHub に公開した。 mizchi/next-boilerplate-20200727 next.js + vercel + firebase は (パーツを良く選べば) 最高 next.js はルーティングを持つページを作るには最高で、サーバー、静的サイト、JAM スタック、AMP と必要に応じて選択できる。React ベースならこれ一択。 認証サーバーの実装は毎度疲れるし、Firebase Athunetication はこの点においては OAuth Secret を置くだけ + Custom Provider も作れるので、最高。 それと比べて firestore は、ちょっと前に firestore べったりでアプリを試作したことがあったのだが、型がないためにかなり扱いづらく、また読み書きの速度が遅くパフ
GitHub supports Web Authentication (WebAuthn) for security keys
ProductSecurityGitHub supports Web Authentication (WebAuthn) for security keysThe WebAuthn standard for security keys is making authentication as easy as possible. Now you can use security keys for second-factor authentication on GitHub with many more browsers and devices. GitHub now supports Web Authentication (WebAuthn) for security keys—the new standard for secure authentication on the web. Sta
https://twitter.com/kuwahara_jsri のやってる朝活Twitterスペースで以下の記事を知りました。 もちろんこういったリスクを列挙、検討するのは重要なことなのですが、 Firebase Authentication関係ない話では あれ、仕様に関して勘違いしてる? というのがいくつかあったので、再整理していきます。リスクは列挙することには業務上あまり意味はなく、評価され、リスクを受け入れるか外すかを判断するところが重要なので。 IDaaSは脆弱性を生み出すか IDaaS を導入することにより、逆に脆弱性が生まれることもあります。(中略) Firebase Authentication は他の IDaaS と比べて設定項目が少ないという特徴があります。 もちろんここに書かれてることは間違いではありません。ただ、少し実装にフォーカスが寄りすぎていると思っています。
ZOZOにおけるID基盤のk8sへのリプレイスとセキュリティの取り組み / Authentication service replacement and security efforts of zozotown(CNDT2020)
ZOZOにおけるID基盤のk8sへのリプレイスとセキュリティの取り組み / Authentication service replacement and security efforts of zozotown(CNDT2020)
EngineeringGit Credential Manager: authentication for everyoneEnsuring secure access to your source code is more important than ever. Git Credential Manager helps make that easy. Universal Git Authentication “Authentication is hard. Hard to debug, hard to test, hard to get right.” – Me These words were true when I wrote them back in July 2020, and they’re still true today. The goal of Git Credenti
By clicking Mint, you agree to receive marketing-related electronic communications from Magic Labs, Inc.
Yahoo! JAPAN's password-free authentication reduced inquiries by 25%, sped up sign-in time by 2.6x Stay organized with collections Save and categorize content based on your preferences. Yahoo! JAPAN is one of the largest media companies in Japan, providing services such as search, news, e-commerce, and e-mail. Over 50 million users log in to Yahoo! JAPAN services every month. Over the years, there
Firebase Authenticationなら多分これが一番早いと思います:シーホーちゃんとゆかいな仲間たち
「Firebase Authenticationなら認証も簡単」 そう考えてきた時期が俺にもありました。 僕は認証の処理を書くのが嫌いで、できれば避けて生きていきたいと考えております。 理由は主に以下になります。 - アプリケーションの本質的な価値を提供するところではない - にも関わらず手が抜けない - 登場人物が多く難しくなりがち しかし、現実は甘くなく意外とみなさんこだわりがあったりするもので、それにすべて応えると大変なことになります。 例えば… - SNS認証だけではなくメールアドレスとパスワードでの認証もサポートして欲しい - SNS認証だったとしても連絡がつくメールアドレスは確保したい などなど… SNS認証でアカウントを作った人がパスワードを忘れた方はこちらを押したらどうなる? 不安で夜も眠れません。 そんなあたなに本書は以下の内容について記載します。 - Firebase
パスキーのユーザー ジャーニー | Authentication | Google for Developers
KAYAK がパスキーでログイン時間を 50% 短縮し、セキュリティを強化した方法 Yahoo!JAPAN、パスキーの導入率を 11% に増やし、SMS OTP の費用を削減 Dashlane でパスキーによるログインのコンバージョン率が 70% 上昇 メルカリのパスキー認証でログインが 3.9 倍高速化 Google アカウントのパスキーのユーザー エクスペリエンスを設計する パスキーとパスワードの比較で、これまでにない認証速度を実現 「Google でログイン」の SDK Android 用認証情報マネージャー ウェブで Google でログイン(ワンタップを含む) iOS と macOS 用の Google ログイン 業界基準 パスキー OpenID Connect 以前のログイン Android でのワンタップ登録/ログイン Android 向け Google ログイン ウェブ向け
IDaaSの比較 (Cognito, Firebase Authentication, Auth0) - Qiita
概要 外部サイトとの連携認証を簡単につけたいが3つあってよくわからないので比較する。Firebaseが良さそう。 要件 Facebook, Twitter両方と一つのユーザを紐づけたい Facebook, Twitterのアクセストークンもほしい。 連携認証なしのメールアドレスでもログインしたい 特定の外部サイトだけの連携解除もしたい。 無料 (できれば) ログイン画面は用意してほしい (できれば) SPA (Angular) 現在はAWSをメインで使用している 調査結果 (欠点がなければそれ使うだけなので長所とか書く必要ないよね) Cognito User Pools (Cognito ID Poolは別物なので注意。そちらは連携認証に対してIAMを振れるものらしい?) なんだか設定をごちゃごちゃ聞かれてめんどくさい。 Twitterがない。 複数のSNSに紐付ける際はそれなりに実装が必
Firebase AuthenticationとCloud Runを使ってマイクロサービスっぽく認証機能を作り直してみた (1/2)|yusukeoshiro
Firebase AuthenticationとCloud Runを使ってマイクロサービスっぽく認証機能を作り直してみた (1/2) 大城です。 今日は僕が大好きなFirebaseについて書いて見ようと思います。皆さんFirebaseも使っていますか? 一人のエンジニアとしては本当にお世話になっているサービスです。(しかもほぼタダで。。。) さて、アプリケーションを構築していれば当然認証と認可の機能は必要になってきます。しかし最近のモダンなアプリケーション開発における認証についてはとても複雑になって来たと思います。 古き良き時代もありました。一つのWebサービスがあって、ユーザのIDとPWはハッシュ化してデータベースにいれておけばよかったわけです。しかし今はユーザはログインする際にいろんなオプションを求める様になりました。 • SNSアカウント(Google, Facebookなど)でログ
EngineeringSecurityBehind GitHub’s new authentication token formatsWe're excited to share a deep dive into how our new authentication token formats are built and how these improvements are keeping your tokens more secure. As we continue to… We’re excited to share a deep dive into how our new authentication token formats are built and how these improvements are keeping your tokens more secure. As w
SecurityToken authentication requirements for Git operationsIn July 2020, we announced our intent to require the use of token-based authentication (for example, a personal access, OAuth, or GitHub App installation token) for all authenticated Git operations.… In July 2020, we announced our intent to require the use of token-based authentication (for example, a personal access, OAuth, or GitHub App
HTML attributes to improve your users' two factor authentication experience
There are plenty of opportunities for friction in the user experience when logging in, particularly while entering a two factor authentication code. As developers we should be building applications that support the need for account security but don't detract from the user experience. Sometimes it can feel as though these requirements are in a battle against each other. In this post we will look at
認証付きGraphQL APIサーバーを爆速で立てる。 Hasura + Firebase Authentication - Qiita
Foreign Keysでuser_idの関連キーとしてusersテーブルのidを指定します。 これでテーブルの作成は完了です。 認可の設定 次にテーブルの操作・カラム単位での認可の設定をします。 DATA > サイドメニュー todos > Permissionsタブから新しいロールuserを追加します。 そしてuserロールでは自分のuser_idと関連するメモしかinsert, select, update, delete出来ないようにします。 ここで設定するX-Hasura-User-Idは後ほどFirebase Authenticationのカスタムクレームで設定します。 まずinsertの設定。 Allow role user to insert rowsで、With custom checkを選択肢し、user_id eq X-Hasura-User-Idを指定します。 その
ブロックチェーン時代の認証 / Authentication in the Blockchain Era
2019-08-30 builderscon https://builderscon.io/builderscon/tokyo/2019/session/c68ed2e4-f3ef-46ad-908a-9e8b3e5dcb9b
Hanko — Open source authentication and passkey infrastructure
Open AuthenticationNever worry about user authentication and weak or stolen passwords anymore. Quickly integrate Hanko's open source authentication APIs and embeddable UI components for better security and happier users.
概要 Firebase Authentication はユーザー認証に関するサービスです。様々な認証方式をサポートしており、活用することで認証に関する実装を大きくサボることが可能になるものです。 一方で、パフォーマンスには難点があることが知られており、firebase auth 遅い - Twitter 検索 / Twitter を見ると、いくつかの人が遅さについて言及しています。 そこで、パフォーマンスについて測定したので、その結果をまとめます。 環境 実験を行った環境は以下の通りです。ネットワークによる影響を調べるために、2 つのリージョンで実験を行いました。 NodeJS v14.12.0 firebase 7.21.1 firebase-admin 9.2.0 EC2 インスタンス t2.micro リージョン ap-northeast-1/us-east-1 コード odan-s
Git Credential Manager Core: Building a universal authentication experience
SecurityGit Credential Manager Core: Building a universal authentication experienceAuthentication is a critical component to your daily development. When working in open source, you need to prove that you have rights to update a branch with git push. Additionally… Authentication is a critical component to your daily development. When working in open source, you need to prove that you have rights t
GitHub - amitshekhariitbhu/go-backend-clean-architecture: A Go (Golang) Backend Clean Architecture project with Gin, MongoDB, JWT Authentication Middleware, Test, and Docker.
A Go (Golang) Backend Clean Architecture project with Gin, MongoDB, JWT Authentication Middleware, Test, and Docker.
Cloudflare Workers では KV だったり Durable Objects や R2 などといった外部ストレージへアクセスをして何かしら操作するようなプログラムを動かすことができます。しかし、誰でもその操作ができてしまうとセキュリティ面や使用料の面で問題が発生します。 interface Env { ANYBUCKET: R2Bucket } // 誰でもファイルアップロードできちゃう Worker :pien: export default { async fetch(request: Request, env: Env) { const formdata = await request.formData() const imagedata = formdata.get("imagedata") if (imagedata === null) { throw new Er
GitHub - 1Password/shell-plugins: Seamless authentication for every tool in your terminal.
A tag already exists with the provided branch name. Many Git commands accept both tag and branch names, so creating this branch may cause unexpected behavior. Are you sure you want to create this branch?
@ Kaigi on Rails 2021, 2021/10/22
GitHub - hashicorp/cap: A collection of authentication Go packages related to OIDC, JWKs, Distributed Claims, LDAP
You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert
Clerk ComponentsPixel-perfect UIs, embedded in minutes Simply add <SignIn/>, <SignUp/>, <UserButton/>, <UserProfile/> for complete user management functionality. Match to your brand with any CSS library, then deploy to your own domain — no more jarring redirects! Everything you need for authenticationEver feel like authentication requirements change with the season? Clerk keeps up with the latest
Firebase Authenticationのバリデーション等を新機能「blocking functions」を用いて拡張する - Flatt Security Blog
こんにちは。 セキュリティエンジニアの@okazu-dm です。 この記事は、Firebase Authenticationに2022年7月ごろに追加されたblocking functions という機能についての紹介です。 詳細は後述しますが、blocking functionsはFirebase Authenticationの登録、サインイン処理を拡張するための機能で、この記事では、blocking functionsの概要やリリースされた経緯を紹介し、実際のユースケースも一部サンプルコードと共に例示します。 また、Flatt SecurityではFirebaseで構築されたサーバーレスなアプリケーションへの効果的な脆弱性診断メニューを提供しています。 ご興味のある方はぜひ事例インタビューをご覧ください。 blocking functionsについての概要 blocking funct
GitHub - octokit/authentication-strategies.js: GitHub API authentication strategies for Browsers, Node.js, and Deno
You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert
Passwordless Authentication Powered by Passkeys | Passage by 1Password
We're always working to make Passage better. Subscribe to our email list to stay up to date with the latest and greatest. We are committed to keeping your e-mail address confidential. We do not sell, rent, or lease our contact data or lists to third parties.
Hackers hit authentication firm Okta, customers 'may have been impacted'
4 minute readMarch 23, 202212:01 AM UTCLast Updated agoHackers hit authentication firm Okta, customers 'may have been impacted' WASHINGTON, March 22 (Reuters) - Okta Inc (OKTA.O), whose authentication services are used by companies including Fedex Corp (FDX.N) and Moody's Corp (MCO.N) to provide access to their networks, said on Tuesday that it had been hit by hackers and that some customers may h
‘Master Faces’ That Can Bypass Over 40% Of Facial ID Authentication Systems
‘Master Faces’ That Can Bypass Over 40% Of Facial ID Authentication Systems Researchers from Israel have developed a neural network capable of generating ‘master' faces – facial images that are each capable of impersonating multiple IDs. The work suggests that it's possible to generate such ‘master keys' for more than 40% of the population using only 9 faces synthesized by the StyleGAN Generative
GitHub - RijulGulati/zauth: 2FA (Two-Factor Authentication) application for CLI terminal with support to import/export andOTP files.
You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert
SecurityIntroducing passwordless authentication on GitHub.comPasskeys are now available in public beta. Opting in lets you upgrade security keys to passkeys, and use those in place of both your password and your 2FA method. Most security breaches are not the product of exotic zero-day attacks but rather involve lower-cost attacks like social engineering, credential theft or leakage, and other aven
Setting up two-factor authentication on your Raspberry Pi - Raspberry Pi
Enabling two-factor authentication (2FA) to boost security for your important accounts is becoming a lot more common these days. However you might be surprised to learn that you can do the same with your Raspberry Pi. You can enable 2FA on Raspberry Pi, and afterwards you’ll be challenged for a verification code when you access it remotely via Secure Shell (SSH). Accessing your Raspberry Pi via SS
Kyash、日本で初めてVisa Consumer Authentication Service (VCAS)を採用 Visa Secure/3-Dセキュアへの対応開始 株式会社Kyash(本社:東京都港区、代表取締役 :鷹取 真一、以下:Kyash)とビザ・ワールドワイド・ジャパン株式会社(本社:東京都千代田区、代表取締役社長:スティーブン・カーピン、以下:Visa)は、Kyashがユーザー向けにVisa Consumer Authentication Service(以下:VCAS)を用いたVisa Secureへの対応を、本日2020年11 月17日より開始することを発表します。 今回Kyashは、Visaが提供するイシュア向け3-DセキュアサービスであるVCASを採用することで、Visa Secureのすべての有効なバージョン(3-Dセキュア バージョン1.0、EMV 3-Dセキュ
EngineeringSecuritymTLS: When certificate authentication is done wrongIn this post, we'll deep dive into some interesting attacks on mTLS authentication. We'll have a look at implementation vulnerabilities and how developers can make their mTLS systems vulnerable to user impersonation, privilege escalation, and information leakages. Although X.509 certificates have been here for a while, they have
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
ちょっとでもセキュリティに自信がないなら、 Firebase Authentication を検討しよう
Auth.js | Authentication for the Web
「Firebase Authentication 7つの落とし穴」のリスクを再整理する
Git Credential Manager: authentication for everyone
Magic: Future-proof passwordless authentication
Yahoo! JAPAN's password-free authentication reduced inquiries by 25%, sped up sign-in time by 2.6x | web.dev
Behind GitHub's new authentication token formats
Token authentication requirements for Git operations
Firebase Authentication のパフォーマンスを計測してみた - odan blog
Cloudflare Workers でも Firebase Authentication を使えるぞ!!
Build and Learn Rails Authentication
Clerk | Authentication and User Management
Introducing passwordless authentication on GitHub.com
Kyash、日本で初めてVisa Consumer Authentication Service (VCAS)を採用
mTLS: When certificate authentication is done wrong