モニクル社内3分LTで発表しました。技術職以外の人向けに話したので、抽象度高めにしてあります。

パスワードレスな認証方式である「パスキー」が急速に普及しています。OS、ブラウザ、パスワード管理ツール、サービス提供者のどれもが整いつつあり、ついに本当にパスワードが必要ない世界がやってきたことを感じます。この記事では、本腰を入れてパスキーを使い始めて快適になるまでの様子をまとめます。技術的な厳密さ・網羅性には踏み込まず、いちユーザーとしての入門記事という位置付けです。 パスキーとは パスキー - Wikipedia 認証、セキュリティに関しては門外漢なので、Wikipediaのリンクを置いておきます。私よりはWikipediaのほうが信用に足るでしょう。 そこから辿れるホワイトペーパー：マルチデバイス対応FIDO認証資格情報を読むと、多少ストーリーもわかります。FIDO2というデバイスに格納された秘密鍵に依存したパスワードレス認証の仕様に、暗号鍵（と訳されていますが秘密鍵のことで良い……

ritouです。 サービス、ブラウザ、OSそれぞれのパスキー対応が日々進んでいます。 その中で、パスキーを利用してみて認証要素についてふと考えてしまう人がいるでしょう。 パスキー簡単！けどこれ指紋認証だけ？弱くなってない？ SMS OTPを2FAに設定し、パスワードマネージャーも使ってたから使い勝手はあまり変わらない。むしろSMS OTPがないぶんだけ弱くなった？ この辺りについて整理します。 認証要素というと、次の3つです。 SYK: Something You Know. パスワード、PIN SYH: Something You Have. 認証アプリ、TOTP生成アプリ、バックアップコード、 SYA: Something You Are. 生体認証 前にこんな記事を書きました。 この内容を説明すると、「うん、わかってる」って人は多いです。 でも、実際に使ってみると心許なく感じたりする

まとめ 相性バツグンといわれる、モバイル x gRPCは思ったよりずっと簡単に実装可能 複数言語間でもProtocol Buffersの恩恵により型変換を意識することなくスムーズに開発が進められる。 メソッド、引数の型、引数の返り値の型が自動生成されるのでとても良い RESTful APIにおけるheaderを、表現力の高いMetaDataとして利用し、認証認可等にも使えそう Streamをうまく使いこなせば、ユーザー体験をめっちゃ高くできそう。チャットやゲームなどの双方向通信が比較的楽に実装できるかも どんな人向きでない記事？ NestJSの詳しい実装を知りたい方 Bidirectional streaming, Client streamの詳細実装を知りたい方 モバイル向け通信技術の本格的な選択肢、gRPCを実際に試してみたい 現在、私の働いているMinediaで開発しているサービス群

[{ "teamName": "チームA", "players": ["Aさん", "Bさん", "Cさん", "Dさん"] }] スプレッドシートの内容を Node.js で取得 スプレッドシートの内容を Node.js で取得するために @googleapis/sheets を使用しました。 認証情報は Application Default Credentials (以下 ADC) が設定されていることを前提にしました。事前に認証情報に紐付いているメールアドレスに対して、スプレッドシートを閲覧できる権限を与えておく必要があります。 これにより以下のコードでスプレッドシートの内容を取得することができます。 const sheetId = ""; const auth = new GoogleAuth({ scopes: [ "https://www.googleapis.com/aut

2023.01.24 経済産業省、全ECサイトが義務化対象 セキュリティー対策で脆弱性対策と本人認証導入を義務化 0 経済産業省は1月20日、ECサイトの脆弱性対策と本人認証の仕組みを導入することを義務化する方針を固めた。2024年3月末までに、全てのECサイトが脆弱性対策と本人認証を導入することを、検討会の報告書案に盛り込んでいる。 ECサイトと本人認証の仕組みの導入の義務化は、「クレジットカード決済システムのセキュリティ対策強化検討会」の第6回会合で提出された報告書案に盛り込まれた。 報告書案では、クレジットカード番号の不正利用被害が増え続ける問題を背景に、「ECサイトからクレジットカード情報が漏洩することへの対策」「漏洩したクレジットカード情報が不正に使われることへの対策」の2点を盛り込んだ。 具体的には、「クレジットカード番号等の適切管理義務の水準を引き上げるべく、サイト自体の脆弱

はじめに この記事を読んでいるあなたはJWTについて知っているだろうか？JWTは、認証されたユーザを識別するために最も一般的に使用される。JWTは認証サーバから発行されて、クライアント・サーバで消費される。 今回の記事では、Webアプリケーションの認証方法として最も利用されているJWT認証を簡潔に解説する。 本記事の読者の対象 JWT認証について知らない人 JWTのメリット・デメリット、仕組みについて詳しく知りたい人 アプリケーションの認証方法について詳しく知りたい人 JWTとは JSON Web Token(JWT)とは、クライアント・サーバの間で情報を共有するために使われる規格の１つである。JWTには、共有が必要な情報を持つJSONオブジェクトが含まれている。さらに、各JWTはJSONのcontentsがクライアントあるいは悪意のあるパーティによって改ざんされないように、暗号(ハッシュ

本記事は、2022年5月に開催されたTechFeed Conference 2022のセッション書き起こし記事「パスワードのない世界に向けて（えーじ⁠）⁠ — TechFeed Conference 2022講演より」を転載したものです。オリジナルはTechFeedをご覧ください。 皆さんこんにちは。えーじです。今日は「パスワードのない世界に向けて」というお話をしたいと思います。 パスワードだけでは守りきれない世の中に 皆さんご存知のように、今多くのWebサイトはパスワードを使ったログインが主流です。 しかし、どんなに堅牢なシステムでも、ユーザーさんが弱いパスワードを作ってしまったり、同じパスワードを複数サイトで使い回してしまったり、フィッシングに引っかかってしまえばアカウントは乗っ取られてしまいます。 近年フィッシングが急増していることからもわかるように、パスワードだけのシステムでは守り

T3 Stackとは 昨今のWeb開発ではTypescriptによる型安全なWebアプリケーションの開発を求められている。またバックエンドとフロントエンド、さらにBFFによる構成においていかに型安全で効率よく開発するかはWebアプリ開発において非常に重要な課題となっている。 そこでTheo氏によって「T3 Stack」という技術スタックが提唱された。 これは最近注目のWeb開発の技術スタックとなっている T3 Stackにおいては以下3つの思想に焦点が当てられている。 simplicity(簡潔さ) modularity(モジュール性) full-stack typesafety(フルスタックの型安全) そしてこれらの思想を実現するためにT3 Stackでは以下6つの技術を採用する Next.js tRPC Tailwind CSS Typescript Prisma NextAuth.j

元ネタ @localdisk さんの記事です。 こちらで概ね適切に説明されているものの，文章のみで図が無くて直感的に把握しづらいので，初心者にもすぐ飲み込ませられるように図に描き起こしてみました。 図 解説 illuminate/auth: 最小限の認証認可コアロジック コアコンポーネント群の laravel/framework に含まれているものです。 Socialite 以外のすべてのパッケージが，実質このコアに依存していることになります。 以下の記事でこのパッケージの詳細について説明しているので，ここでは端折って説明します。 伝統的 Cookie ベースのセッション認証 こちらでも解説している， 「Cookie に識別子を載せ，それに対応する情報はサーバ側のファイルに記録する」 という手法に近いものです。 実装は illuminate/session にあり， PHP ネイティブのセ

2022年5月24日（米国時間）、SANS ISCのフォーラムでPython向けライブラリの1つ（その後PHP向けライブラリでも判明）が第三者により不正なコードを含むアップデートが行われていたとして注意を呼び掛ける投稿が行われました。その後この行為に関わっていたとして実行者とみられる人物が顛末を公開しました。ここでは関連する情報をまとめます。 改ざんされた2つのライブラリ 今回影響が確認されたのPython Package Index（Pypi.org）で公開されている「ctx」、Packagist（Packagist.org）で公開されている「PHPass」の2つ。 影響を受けたライブラリ インストール実績 改ざんされたとみられる期間 概要 ctx 約75万回 2022年5月14日～5月24日頃 辞書(dict型オブジェクト)を操作するユーティリティを提供するPython向けのパッケージ

検証用に作ってあったTwitterアカウントを削除したのだが ・セキュリティトークン（YubiKey）の二段階認証 ・アプリの時間式ワンタイムパスワードの二段階認証 を、設定してあった。 さて、このアカウントを削除すると [Twitterの2要素認証がオフになりました] ってメールが来る。 まさかなぁ・・・と思ってIDとパスワードでログインしたら「アカウント削除処理したけど復活させるか？」って出てくるのよ で、アカウント復活させるとDMとかツイートとか全部見えるの。 勿論「二段階認証は解除されてる」 いや、Twitterくんお前マジでなんでこういう実装した！？ ========================= 分かってくれてる人もいるけど、一応補足しておくと二段階認証を設定されているアカウントで、削除の操作を行った時点で二段階認証の設定が削除。 そのため、IDとパスワードでログインすれば

同氏によると、現在GitHubで2FAを使っているのは全アクティブユーザーの約16.5％のみ。傘下のnpmにいたっては、わずか6.44％のみという。 npmは2月、上位100のライブラリのメンテナに2FAを義務付けた。5月末までに上位500に拡大する計画だ。 関連記事 「ロシアをGitHubから切り離して」の意見に公式が返答　「私たちのビジョンは、全ての開発者のホームになること」 「GitHubからロシアを切り離して」──ロシアのウクライナ侵攻を受けて、このような件名の投稿がGitHub上に掲載された。さまざまな物議を醸したが、GitHubは「私たちのビジョンは、どこに住んでいても、全ての開発者のホームになることだ」と返答をした。 GitHub傘下のnpm、上位100のパッケージメンテナは2FA必須に GitHub傘下のパッケージリポジトリnpmは、上位100のライブラリのメンテナは2要素

Windows 10の「プロダクトキー」とは Windows 10の「プロダクトキー」は25文字の英数字で構成されるコードです。Windows 10を新規インストールしたり、再インストールしたときの「ライセンス認証」に「プロダクトキー」の入力が必要とされます。 Windows 10の「プロダクトキー」は、PCのパッケージや付属するカードに記載されています。こうしたラベルを確認できない場合でも、コマンドプロンプトやPowerShellでプロダクトキーを表示することが可能です。自作PCの場合はフリーソフトの「Windows Product Key View」を使うことで確認できます。 パッケージ版やDSP版のWindows 10では、付属するカードやパッケージにプロダクトキーが記載されています コマンドプロンプトで調べる方法 Windows 10が最初からインストールされているメーカー製PCな

opensslコマンドを使って、オレオレ認証局（CA）を作成し、そのオレオレCAが署名した証明書を作成する流れについて、たまにやるけどすぐに忘れるのでまとめ。 CA証明書の作成 CAの秘密鍵の作成 RSA秘密鍵を作成する。 -outでファイルを指定しても、標準出力をリダイレクトでファイルに書き込んでもどちらでもよい -----BEGIN RSA PRIVATE KEY-----で始まるファイルができる。-----BEGINで始まるファイルはPEM形式のファイルである。鍵や証明書のファイルによく使われる拡張子にはばらつきがあり、.pemとか.derというのはファイルのエンコーディングを表しているが、.crtや.cerや.keyや.csrというのはファイルの内容を表している。 秘密鍵の内容を確認する。

はじめに 今やさまざまなSaaSでSSO（SAML2.0）できるようになってきました。しかし、SAMLは仕様が複雑でなかなか理解しにくいものです。そこで、できるかぎりわかりやすく解説して行きたいと思います。 なお、本稿では、SP-initiated SAMLをベースに解説します。 SAML2.0ベースでのSSO 用語 Idp(Identity Provider):認証情報を提供する側。シングルサイン元 SP（Service Provider）：認証情報の利用側。シングルサイン先 AuthnRequest：認証要求。SP側がIdpへ認証を要求する際に発行される要求 SAMLResponse：認証応答（認証情報含む）。認証要求に対する認証情報を含んだ応答 事前 事前にIdpとSPは信頼関係を結ぶ（公開鍵を交換し合う） IdpとSPにそれぞれ対になるアカウントが登録されている（なければ作成すると

コードがないし自分向けなのでポエム枠です 結論 簡単に説明してくれる所はサイボウズ様が詳しい。(難しい所を読み飛ばせば) SAML認証を使用したシングルサインオンを設定する | cybozu.com共通管理 ヘルプ SAML認証ができるまで - Cybozu Inside Out | サイボウズエンジニアのブログ 動かしてみないと実感わかないかも。 難しいと思った所は実はライブラリを使うならほとんど隠して担ってくれている。 はじめに 突然SAML認証と仲良くしなきゃいけなくなった人へ - Qiita を読んで(読まずに)挫折して SimpleSAMLphp で開発用の SAML ID Provider を立てる - suer のブログ に手を出している途中の人が書いています。(SP側はonelogin/php-samlのdemo1です) 足首浸からないぐらいの浅学の身なので、内容には十分ご

環境 Sustainsys.Saml2とは サンプルコード 開発用スタブIdP 実装 やりたいこと 設定 認証後処理の追加 あとがき 環境 ASP.NET MVC 5 Sustainsys.Saml2 2.3 Sustainsys.Saml2とは ASP.NET用のSAML2認証ライブラリー saml2.sustainsys.com サンプルコード githubからサンプルコードをダウンロードできるので、それをベースに作るのがおすすめ。 github.com SamplesフォルダーにMVC用、Web Forms用、Owin用などが入っている。ライブラリーがプロジェクト参照になっているので、開発する前にNuGetパッケージを参照するように変更したほうがいいと思う。 開発用スタブIdP 公式がWEBで公開している他、前述のサンプルコードにも入っている。 実装 以下はMVC用のサンプルをベース

Service Provider（以下「SP」という）としてWebアプリケーションをSAML対応する場合、検証用のIdenity Provider（以下「IdP」という）が欲しくなります。 Microsoft Azure Active DirectoryなどはIdPを無料で使用できますが、開発者全員が使用するには融通が効かないまたはオーバースペックになりかねません。 今回は、開発環境用のIdPを構築して、SPのSAML認証を検証する方法を紹介します。 この記事はFOLIO Advent Calendar 2019の12月24日の記事でもあります。 SAMLとは IdPとして動作するOSS SimpleSAMLphpについて 開発用にSimpleSAMLphpを準備する ユーザーをカスタマイズする まとめ SAMLとは SAMLはSecurity Assertion Markup Langu