[B! authentication] rgfxのブックマーク

思わず天を仰いでしまうID関連システムトラブル - =kthrtty/(+blog)

こんにちは。アドカレ12/24の記事を簡単にではありますが書かせていただきました。(25日のポストで遅刻ですが) Digital Identity技術勉強会 #iddanceのカレンダー | Advent Calendar 2023 - Qiitaはじめに本日のテーマ‥思わず天を仰いでしまうID関連システムトラブル本日のテーマは、みんな大好き﹁トラブル﹂の話です。CIAM(Consumer Identity and Access Management)領域のさまざまなシステムにさまざまな立場で関わり、さまざまなトラブルに遭遇してきた経験を踏まえて、クリスマスの合間の気楽な読み物として記載しましたので、一息ついていただければ幸いです。今回はトラブルの中でも思わず﹁天を仰いでしまう﹂激ヤバトラブルにフォーカスして、私的ランキング形式でお届けしたいと思います。天を仰ぐトラブルとは？私

rgfx 2023/12/28

おつらい

リンク

やはりお前らの「公開鍵暗号」はまちがっている。

※タイトルの元ネタは以下の作品です。はじめにこの記事は、公開鍵暗号の全体感を正しく理解するためのものです。数学的な部分や具体的なアルゴリズムは説明しません。気になる方は最後に紹介するオススメ書籍をご覧ください。少し長いですが、図が多いだけで文字数はそこまで多くありません。また、専門的な言葉はなるべく使わないようにしています。ただしSSHやTLSといった通信プロトコルの名称が登場します。知らない方は、通信内容の暗号化や通信相手の認証︵本人確認︶をするためのプロトコルだと理解して読み進めてください。公開鍵暗号の前に‥暗号技術とは公開鍵暗号は暗号技術の一部です。暗号と聞くと、以下のようなものを想像するかもしれません。これは情報の機密性を守るための﹁暗号化﹂という技術ですが、実は﹁暗号技術﹂と言った場合にはもっと広い意味を持ちます。まずはこれを受けて入れてください。念のため補足して

rgfx 2023/03/06

リンク

「挫折しない OAuth / OpenID Connect 入門」のポイント - Authlete

このビデオについてこのビデオは、2021 年10月6日に開催された﹁挫折しない OAuth / OpenID Connect入門﹂の理解を深める会のプレゼンテーション録画です。 2021 年9月18日発売の﹁Software Design 2021 年10月号﹂では、OAuth/OIDC が特集され、﹁挫折しない OAuth/OpenID Connect入門・API を守る認証・認可フローのしくみ﹂と題し、Authlete 代表の川崎貴彦が寄稿しました。本プレゼンテーションでは記事のポイントや、理解を深めるために重要なポイントについて、著者の川崎がお話しします。文字起こしはじめに目次記事の第1章、第2章、第3章は、こういう目次になっています。ここからピックアップして、こんなことを話してます、というところを、紹介したいと思います。自己紹介Au

rgfx 2023/02/07

リンク

パスワードレス技術の現状と未来について | フューチャー技術ブログ

はじめにこんにちは。TIG の吉岡です。秋のブログ週間10本目の投稿です。 2022年の5月に Apple, Google, Microsoft そして FIDO Alliance がマルチデバイス対応FIDO認証資格情報を発表してから、パスワードレス技術に対する注目が高まっています。1パスワードレスの概要について調査してまとめてみました。目次私たちとパスワードパスワードの抱える問題パスワードマネージャ公開鍵暗号の活用パスワードレスと FIDO Alliance FIDO v1.0 FIDO2 FIDO の認証フロー Passkeys パスワードレスな未来私たちとパスワード今日、私たちのデジタルアイデンティティはパスワードに支えられています。私たちは日々 Google で検索し、Netflix を観て、Twitter でつぶやき、Amazon で買い物をしますが

rgfx 2022/11/18

リンク

オンラインサービスにおける身元確認手法の整理に関する検討報告書を取りまとめました（METI/経済産業省）

経済産業省は、信頼性の高いオンラインサービスの普及・拡大促進のため、オンラインでの身元確認のあり方について、令和元年1月から﹁オンラインサービスにおける身元確認に関する研究会﹂において議論を行いました。この度、本研究会で議論された結果を報告書として取りまとめました。1．本研究会開催の背景インターネットの普及拡大に合わせて、オンライン上でも実在の個人を前提としたサービスが増加し、ユーザーの本人確認の重要性が増しています。本人確認には、IDパスワードや生体認証などの﹁当人認証﹂だけでなく、サービスの性質に応じてユーザーの実在性を確認する﹁身元確認﹂も同時に行うことが重要です。こうした状況を踏まえ、有識者をメンバーとする﹁オンラインサービスにおける身元確認に関する研究会﹂において議論を行い、以下の三点を中心に報告書として取りまとめましたので、公表します。︵注︶NEDO事業﹁Connect

rgfx 2022/08/16

リンク

Apple、Google、Microsoftがパスワードなしサインイン標準サポート拡大

米Apple、米Google、米Microsoftは「世界パスワードデー」の5月5日（現地時間）、FIDO AllianceとWorld Wide Web Consortium（W3C）が作成した標準を採用して、Webサイトやアプリに「端末やプラットフォームを超えてサインインできるようにする」と発表した。 FIDO Allianceは、パスワードとフィッシングに関する問題に対処するために2012年に設立された業界団体。Googleのセキュリティ担当幹部、サンパス・スリニバス氏がプレジデントを務める。 GoogleはAndroidとChromeで、AppleはiOS、macOS、Safariで、MicrosoftはWindowsとEdgeで、パスワードなしのサインインのサポートを実装する。各社は、サインインの方法として指紋または顔による生体認証、あるいはスマートフォンなどの端末のPINを使

rgfx 2022/05/06

すげえ、各社よくまあすり合わせたなあ

リンク

Firebase Authentication 7つの落とし穴 - 脆弱性を生むIDaaSの不適切な利用 - Flatt Security Blog

はじめにこんにちは、株式会社 Flatt Security セキュリティエンジニアのぴざきゃっと (@pizzacat83) です。認証機構を自作せずに導入できる Firebase Authentication は様々なアプリケーションにて利用されていますが、その特性を十分に理解せずに導入すると、実は不具合や脆弱性が生じることがあります。そこで本稿では Firebase Authentication を利用するうえで、注意しなければ不具合や脆弱性に繋がりうる7個の﹁落とし穴﹂について解説します。はじめに IDaaS の利点と欠点落とし穴 1. 自己サインアップリスク対策不十分な対策落とし穴 2. ユーザーが自身を削除できる対策落とし穴 3. 他人のメールアドレスを用いたユーザー登録リスクリスク 3-1. メールアドレス誤入力によるユーザー乗っ取りリスク 3-2

rgfx 2022/04/19

リンク

SAML入門

︻累計3500部突破︵商業版含む︶🎉︼ SAMLaiの道は果てしなく険しい。本書では、SAML2.0で一般的に多く使用されるフローであるWeb Browser SSOのSP-initiatedとIdP-initiatedと呼ばれるものを中心に、SP側の目線でなるべく簡潔に解説します。 SAML認証に対応してほしいと言われても、もう頭を抱える必要はありません。筆者自身も何もわからない状態からもがき苦しみながらSAML SPを実装し、数年間サービスを運用してきました。そのつらい経験を踏まえて、SPを実装する上で今まで触れられることのなかった・どういう設計が必要か？・何を気をつけなければならないか？のエッセンスを詰め込みました。 SAMLはエンタープライズ用途では求められることが非常に多く、歴史もそれなりに長いものですが、実装する上で必要な体系的な情報はなぜかほとんどありません。

rgfx 2021/10/26

「突如SAMLのSPを実装しないといけなくなってしまった方、自社サービスをSAMLのSPに対応させたいけどやりかたがわからない方」

リンク

[図解] Laravel の認証周りのややこしいあれこれ。

Laravel のログイン認証周りのカスタマイズをする度、﹁この場合どこをいじればいいんだっけ・・・﹂と混乱するので、図にまとめてみました。全体感を掴んでいただくことが目的ですので、この記事では、具体的なカスタマイズのコードは紹介しません。ご了承ください。まずは登場人物一覧ガード (guard) Laravel では﹁認証﹂と呼ぶことが多いです。ログイン機構の種類を表します。たとえば、ECサイトの﹁管理者﹂と﹁会員﹂など。ログイン画面の数だけガードがある、というイメージです。 provider (認証方法) と driver (認証状態の管理方法) で構成されています。 config/auth.php に定義されており、追加・変更ができます。ガードドライバ (driver) ログインの認証状態をどうやって管理するか。多くの場合はセッション認証 (session) で

rgfx 2021/05/10

リンク

認証と認可の超サマリ　OAuth とか OpenID Connect とか SAML とかをまとめてざっと把握する本

認証と認可についての知識が必要になったので、基礎的なことを学んでいます。一切何も知らない状態から手当たり次第に細かく調べるのは大変だったので、超サマリを整理してみようと思います。この本は﹁個々の要素に詳しくなる必要はないんだけど、概要くらいはさっと把握しておきたい﹂とか﹁手当たり次第に詳細調査をする前に、一瞥してこれから踏み込もうとしている領域の超俯瞰マップを作る﹂という感じで使うことを想定しています。同じ様な方の役に立ったら、とても嬉しいです。この本は筆者の理解に連動して追記修正される可能性があります。

rgfx 2021/05/03

authentication

リンク

IAM ロールの PassRole と AssumeRole をもう二度と忘れないために絵を描いてみた | DevelopersIO

コンバンハ、千葉（幸）です。皆さんは、 PassRole と AssumeRole についてきちんと理解ができていますか？どちらも IAM ロールに関するものですね。私はカラダ（ボディ）の調子がいい時は思い出せるのですが、雨が降っている日や、ちょっと疲れて気を抜いた時にはすぐ分からなくなってしまいます。ということで、イメージとして脳に刻み付けることによって忘れられなくしてやろうと思いました。そこで出来上がったのが以下です。間違えました。以下です。あ、でもやっぱり忘れづらいのはこちらかもしれませんね。どうですか？もう忘れられなくなりましたね？先にまとめ IAM ロールには以下ポリシーを設定できるアイデンティティベースポリシー Permissions boundary 信頼ポリシー AWS リソースに IAM ロールを引き渡す際には PassRole の権限が必要 PassR

rgfx 2021/04/21

リンク

セキュリティ視点からの JWT 入門 - blog of morioka12

こんにちは、ISC 1年 IPFactory 所属の morioka12 です。この記事は IPFactory Advent Calendar 2020 の10日目の分になります。 IPFactory という技術サークルについては、こちらを参照ください。本記事の最後に記載されている余談でも IPFactory の詳細を紹介しています。はてなブログに投稿しました #はてなブログ IPFactory Advent Calendar 2020 の10日目の記事を書きました#JWT #security セキュリティ視点からの JWT 入門 - blog of morioka12https://t.co/g1MYe77hAF — morioka12 (@scgajge12) 2020年12月10日普段は Web Security や Cloud Security 、バグバウンティなどを興味分

rgfx 2020/12/11

リンク

OAuth認証とは何か?なぜダメなのか - 2020冬 - r-weblife

こんばんは。ritouです。 Digital Identity技術勉強会 #iddance Advent Calendar 2020 1日めの記事です。qiita.com 初日なのでゆるふわな話をしましょう。何の話かもうだいぶ前ですね。9月のお話です。こんなTweetを見かけました。社内Slackにいる﹁OAuth認証﹂と書くと訂正してくれるbotが丁寧な解説をするようになっていた認証(Authentication)と認可(Authorization)は間違えやすいわりにミスると甚大な被害をもたらしがちなので、常日頃から意識を高めていきたいですね pic.twitter.com/oVQxBgZcHS— greenspa (@greenspa) 2020年9月28日このbotに対する思うところはもう良いです。今回は、﹁OAuthの仕様に沿ってID連携を実装するいわゆる"OAut

rgfx 2020/12/01

リンク

認証しないWeb認証限定公開URLのセキュリティについて考える公開版

認証しないWeb認証限定公開URLのセキュリティについて考える 2020/8/7 API Meetup Online #3- フューチャー株式会社渋川よしき

rgfx 2020/08/11

リンク

何故お役所ってオワコンIEが大好きなの？｜楠正憲（デジタル庁統括官）

普通は役所のシステムって構築してから5年とか7年は塩漬けにして使うもので、一度やらかしてしまうと名誉挽回の機会なんて向こう数年は与えられないんだけど、こと本件に関しては高市総務大臣から「今すぐ私がマニュアルなしでも使えるように直しなさい」と叱責いただいて、しっかりと予算的なサポートも得られたことで、たったの数ヶ月で立て直すことができた。この数ヶ月は外部のセキュリティやPKIの専門家の方から様々なサポートをいただいて何とか実現したんだけれども、役所のシステム開発としては非常識というか、極めて難易度が高い案件だった。「え？単にChromeやSafariをサポートするだけでしょ、難しい訳ないじゃん」と思う諸兄は、もうしばらくこの話に付き合って欲しい。もともとマイナポータルは日本を代表するITベンダーと通信キャリアの3社が開発したんだけど、大臣からの叱責を受け「ちゃんとお金を払うから直してよ」

rgfx 2020/07/19

なんだかなあ。ヘルパーアプリケーション方式だと安全を担保できる通信手順がない、というのは辛いな。偽（改造）ヘルパー入れられると、証明書＆トークン＆送信先の真正性が台無しだし。

リンク

SPAのログイン認証のベストプラクティスがわからなかったのでわりと網羅的に研究してみた〜JWT or Session どっち？〜 - Qiita

SPAのログイン認証のベストプラクティスがわからなかったのでわりと網羅的に研究してみた〜JWT or Session どっち？〜JavaScript RailsJWT認証React SPAのログイン周りについて、「これがベストプラクティスだ！」という情報があまり見当たらないので、様々な可能性を模索してみました。いろいろな状況が想定され、今回記載する内容に考慮の漏れや不備などがありましたら是非コメントでご指摘いただきたいです！特に「おすすめ度：○」と記載しているものに対しての批判をどしどしお待ちしております！この記事でおすすめしているものであっても、ご自身の責任で十分な検討・検証の上で選択されてください。前提想定しているAPIは、ログイン外のAPIにはPOST/PUT/DELETEのものがなく、GETのみ GETのAPIにはDBを更新するなどの操作がないとし、そのためログイン外では

rgfx 2020/04/27

「Sessionを用いる + CSRFトークンを利用」かあ。

リンク

Serverless FrameworkのExampleを見て、サーバーレスの様々な実装を学ぼう | DevelopersIO

概要CX事業本部の佐藤です。 Serverless FrameworkではExampleとして、さまざまなサーバーレスの実装パターンを公開しています。実際に業務で使用するようなサーバーレス実装が多数ありサンプルコードが公開されているため、実際に動かしてみたりソースコードを見たりして学ぶことができ、とても参考になります。サンプルコードはGitHubリポジトリに公開されています。 https://github.com/serverless/examples オーソドックスなサーバーレス実装パターン Exampleのサーバーレスのサンプルパターンの中からオーソドックスな実装パターンを一覧にしてみました API Gateway、Lambda、DynamoDBを使用したシンプルなREST API Cognito、Auth0を使用したカスタムオーソライザー Kinesis Data Streamと

rgfx 2019/09/27

リンク

各社のログインAPIで返ってくるIDは何であるのかと、PPIDの現状について

You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert

rgfx 2019/07/16

リンク

Hiromitsu Takagi on Twitter: "そもそもスマホアプリの時代、もはやauthenticationですらないと思うのよね。（何を言ってるかわからねえだろうと思うが。）"

そもそもスマホアプリの時代、もはやauthenticationですらないと思うのよね。（何を言ってるかわからねえだろうと思うが。）

rgfx 2019/07/09

リンク

高木浩光＠自宅の日記 - 天動説設計から地動説設計へ：7payアプリのパスワードリマインダはなぜ壊れていたのか（序章）

■ 天動説設計から地動説設計へ‥7payアプリのパスワードリマインダはなぜ壊れていたのか︵序章︶ 7payの方式はなぜ許されないのか、なぜあんな設計になってしまったのか、どう設計するのが正しいのか、急ぎ書かなくてはいけないのだが、前置きが長くなっていつ完成するかも見えない。取り急ぎ以下のツイートでエッセンスを示しておいた*1が、すでにわかりかけている人達にしか刺さらなそうだ。そもそもスマホアプリの時代、もはやauthenticationですらないと思うのよね。︵何を言ってるかわからねえだろうと思うが。︶ — Hiromitsu Takagi (@HiromitsuTakagi) July 8, 2019 同様のことは4年前にNISCのコラムに書いたが、消えてしまっているので、ひとまず、その原稿を以下に再掲しておく。スマホ時代の﹁パスワード﹂のあり方を再考しよう高木浩光 2015年2

rgfx 2019/07/09

リンク

はてなブックマーク

タグ

関連タグで絞り込む (27)

authenticationに関するrgfxのブックマーク (32)

お知らせ

今週のはてなブックマーク数ランキング（2024年7月第2週）

はてなブックマーク透明性レポート（2024年 2月-2024年4月）

今週のはてなブックマーク数ランキング（2024年7月第1週）

公式Twitter

キーボードショートカット一覧

はてなブックマーク

公式Twitter

はてなのサービス