Design and Strategy: How to Deal with People Who Don’t "Get" Design
Design and Strategy: How to Deal with People Who Don’t "Get" Design
ritou です。 パスキー普及のためにも、パスワードマネージャーを使いましょう、使わせましょうというお話をしました。 Password-less Journey - パスキーへの移行を見据えたユーザーの準備 @ AXIES 2024 https://t.co/DwpeEENCmW— 👹秋田の猫🐱 (@ritou) 2024年12月11日 先日、こちらのイベントで(リモートで)お話ししてきました。 大学ICT推進協議会2024年度年次大会 OpenIDファウンデーション・ジャパン エバンジェリストを名乗ってOpenID Connectの話ではなくパスキーの話をしました。最近よくありますね。 今回はユーザー向けの「パスキーの啓蒙」もとい「安全なユーザー認証の啓蒙」について考えていたことをお話させていただきました。 その資料をベースに色々付け足したら長編になってしまいました。お時間がある方
はじめに id:rotom です。社内情報システム部 兼 CISO室 所属で ITとセキュリティを何でもやります。 このエントリは 一休.com Advent Calendar 2024 16日目の記事です。昨日は id:naoya による TypeScript の Discriminated Union と Haskell の代数的データ型 でした。その他の素敵なエントリも以下のリンクからご覧ください。 qiita.com 2018年のアドベントカレンダーにて「一休における情シスの取り組み」を紹介させていただき、一定の反響をいただくことができました。 早いものであれからすでに6年が経過しました。6年も経つとコーポレートIT も変遷しています。 user-first.ikyu.co.jp これまで特定の製品・サービスの事例などは断片的に紹介していましたが、6年ぶりに改めて全体像をお話したい
Amazon で「YubiKey」と検索すると、数字の「5」の付いていない安価なシリーズの製品も出てきますが、それらは本記事で紹介する TOTP には対応していないようですので注意です。 (参考) https://www.yubico.com/yubikey/?lang=ja Yubico Authenticator のインストール 公式サイトで Linux 向けのバイナリパッケージが配布されていますので、これをダウンロードして実行するだけで OK。 https://www.yubico.com/products/yubico-authenticator/ 次のように任意の場所で展開してください。 $ tar zvxf yubico-authenticator-7.1.0-linux.tar.gz $ cd yubico-authenticator-7.1.0-linux/ $ ./des
以下の講演資料です。 https://axies.secretari.jp/conf2024/program/organizations#_11AM2A
2038年問題が思ったよりヤバい。検出ツールを作って脅威性評価してみた論文 | Kansai Open Forum 2024
社会人生活の半分をフリーランス、半分をIIJで過ごすエンジニア。元々はアプリケーション屋だったはずが、クラウドと出会ったばかりに半身をインフラ屋に売り渡す羽目に。現在はコンテナ技術に傾倒中だが語りだすと長いので割愛。タグをつけるならコンテナ、クラウド、ロードバイク、うどん。 【IIJ 2024 TECHアドベントカレンダー 12/6の記事です】 今年のIIJアドベントカレンダーは「運用」がテーマということなので、運用に欠かせない必携ツール筆頭であるSSHを取り上げ、SSHの秘密鍵を安全に管理する方法について考えたいと思います。 たとえSSH秘密鍵が漏洩しても、安全を確保する方法 踏み台サーバにSSH秘密鍵を置かずに利用する方法 SSH秘密鍵の安全な置き場所を考える SSH秘密鍵は一般的に ~/.sshにファイルとして管理されていると思いますが、不安に感じることはありませんか? ノートPCに
はじめに 過去2回のSELinuxの記事は、なんだかんだ座学的な内容になってしまいましたが、今回は実際のSELinuxの動作(アクセス制御)について検証してみたいと思います。 検証内容 今回はSELinuxを利用して、httpdプロセスがアクセスできるファイルの制御をかけてみたいと思います(実用的ではないですが、SELinuxの動作を理解するにはいいかなと思ってます)。 具体的には、作成したindex.htmlに対してSELinuxでアクセス制限をかけて閲覧できなくし、その原因特定と修正方法を通してSELinuxの制御の仕方を学べればなと思います。 事前準備 httpdサービスをインストールします。
はじめに 前回、SELinuxのそもそのも設定の話について、コマンドを確認しながら紹介しました。 SELinuxとはなんぞやという座学からまとめることも考えましたが、自分自身の理解が浅いのと、 実際の設定をコマンドで確認しながらの方が理解しやすいかなと思い、コマンドを主軸において SELinuxとは何なのか確認していきたいと思います。 なお、本記事を読んだだけでは、SELinuxがどのように動作しているのかまではわかりません。 動作のイメージに関しては、次回以降の記事で書きたいと思います。 また、本来SELinuxはプロセスとファイル(ディレクトリ)に対して有効なものですが、これから書く内容は、ファイル に限定した内容になります。 SELinuxでよく使うコマンド コマンド 説明
はじめに 業務でサーバを設計・構築する際、SELinuxを有効にしていると想定していない動作をすることが多かったので、設定は必ず無効にしていました。 ただ、RHEL9.0以降では、SELINUX=disabledにすることもできなくなって[1]、公式ホームページには以下のような記述もあることから、今後はきちんとSELinuxについて理解しておかないといけないなと思い、とりあえずコマンドとか覚える意味で記事を書いてみようと思いました。 Red Hat は、SELinux を永続的に無効にする代わりに、Permissive モードを使用することを強く推奨します。Permissive モードの詳細は Permissive モードへの変更 を参照してください。 なお、1回では全て書ききれないので、細切れで記事にできればと思っています。 SELinux とは 以下は、Red Hat の記載引用。 S
SELinux (Security-Enhanced Linux) は、システムにアクセスできるユーザーを管理者がより詳細に制御できるようにする Linux® システム 用のセキュリティ・アーキテクチャです。もともとは、Linux Security Modules (LSM) を使用した Linux カーネルへの一連のパッチとして、アメリカ国家安全保障局 (NSA) によって開発されました。 SELinux は 2000 年にオープンソース・コミュニティにリリースされ、2003 年にアップストリームの Linux カーネルに統合されました。 セキュリティおよびコンプライアンスに対する Red Hat のアプローチ (動画) SELinux は、システム上のアプリケーション、プロセス、ファイルのアクセス制御を定義します。アクセス制御にはセキュリティポリシーを使用します。セキュリティポリシーは
OAUTHScan is a Burp Suite Extension written in Java with the aim to provide some automatic security checks, which could be useful during penetration testing on applications implementing OAUTHv2 and OpenID standards. The plugin looks for various OAUTHv2/OpenID vulnerabilities and common misconfigurations (based on official specifications of both frameworks), many of the checks have been developed a
はじめに Wikipedia の JWT (JSON Web Token) に関する記事が誤っていたので、2020 年 5 月 9 日、英語版、日本語版ともに修正を行いました。 修正前の記事では、JWT のことを「JSON をベースとしたアクセストークンのためのオープン標準である」と説明していました。しかし JWT は用途を限定しない汎用的なデータフォーマットです。アクセストークンのフォーマットとして JWT を採用することは、JWT の応用事例の一つに過ぎません。なお、アクセストークンのフォーマットは必ずしも JWT とは限りません。→ 参考:『図解 JWS/JWE/JWT/IDトークン/アクセストークンの包含関係』 JWT を知らない状態で OAuth と OpenID Connect の学習を始めると、「JWT はアクセストークンのための技術である」、「JWT はユーザ認証のための技
「預金取扱金融機関の耐量子計算機暗号への対応に関する検討会報告書」の公表について 預金取扱金融機関の耐量子計算機暗号への対応に関する検討会(座長:寺井 理 株式会社みずほフィナンシャルグループ グループ執行役員・情報セキュリティ担当(グループ CISO)、金融 ISAC FinTech セキュリティワーキンググループ座長)においては、PQCへの移行を検討する際の推奨事項、課題及び留意事項について、令和6年7月から10月にかけて関係者と幅広く議論を行いました。 今般、同報告書がとりまとまりましたので、「預金取扱金融機関の耐量子計算機暗号への対応に関する検討会報告書」(別紙)を公表します。 (別紙) 預金取扱金融機関の耐量子計算機暗号への対応に関する検討会報告書(PDF:2.6MB) 関連リンク 預金取扱金融機関の耐量子計算機暗号への対応に関する検討会 お問い合わせ先 金融庁 Tel 03-3
脆弱性トリアージガイドライン作成の手引き #Guidance on developing vulnerability triage guidelines. by 脆弱性診断士スキルマッププロジェクト 本ドキュメントは「組織が脆弱性に適切に対応することを目的として、脆弱性診断を実施した際に提供された報告書に記載された脆弱性対応の優先順位付け(トリアージ)を行うために、その組織に適したトリアージガイドラインを作成するための手引き」です。 組織においてセキュリティ対応を行うためのリソースは限りあるものです。 そのため、発見されたすべての脆弱性に対応できるとは限りません。 限りあるリソースを最大効率で活用するためには、適切に優先順位を付けて対応していく必要があります。 第1章では、対応基本方針の策定について説明しています。 この段階でのトリアージ基準は、高い専門知識を持っていない人でも判断できる程
KDDIとKDDI総合研究所は11月19日、新たなログイン認証技術「kCAPTCHA」(ケイキャプチャ)を開発したと発表した。既にauログイン認証に利用している。 絵合わせ画像を生成AIで生成することで、従来の「CAPTCHA」より視認性の高い認証画像を提示。検知プログラムも高度化し、従来の「CAPTCHA」製品では難しかった、生成AIを使った機械攻撃への対抗も可能にしたという。 従来の「CAPTCHA」では、サイバー攻撃への対策として、ロボットには解けないが人間に解ける問題を出す。「ゆがんだ文字を読み取る」「ある題材の描かれた画像を探す」などの問題が用いられるが、近年、AIを使った技術の進歩により機械の回答能力が向上しており、十分に不正なログインを防御できなくなっているという。 このため、認証時に出題する問題を複雑化し、機械では判別しにくい視認性の低い画像を表示するなどの対策が採られてい
ライス大盛ゆかり @Q5pc0fwoAgIEUt4 私も昔、車の鍵を紛失して鍵業者を呼ぶ事になったんだけど。ネット検索すると怪しい業者の広告が次々出てくるから、まずは組織を探したの。そしたら日本ロックセキュリティ共同組合というのを見つけて。倫理講習とかやってるから信頼できると思って、そこの加盟業者に頼んだら適正価格でやってくれたよ x.com/richangjiluhk/… 2024-11-17 15:00:10 華南a.k.a 蒼子 @richangjiluhk 鍵開け業者てめーだよ!ついにYahoo!ニュースで取り上げられたな!私は3年前寒空の下家の鍵無くして藁にもすがる思いでネットで検索して3980円のところに電話したら、見積もり出させたら40,000円ふっかけられて、スペアキーが実家から届くまでの二日間を大阪でホームレス生活させられた恨みがあるんだ 2024-11-16 19:52
はじめに 最初はなんとなくで書いていた Dockerfile なのですが、社内用にベストプラクティスを整理するタイミングがあったので、実際に Node.js + TypeScript でアプリケーションを作成しながらまとめることにしました。 この記事でフォーカスするのは、 Dockerfile のベストプラクティスそのものの詳細ではなく、それらを整理と「結局どう実装すんねん?」ってところです。 主に以下の内容を参考にしています。 想定読者 Node.js における Dockerfile のベストプラクティスの具体を知りたい方についてはピッタリだと思いますが、その他の言語でも参考になる部分はあると思います。 本記事では、各用語やベストプラクティスの詳細は記載しませんが、該当箇所へのリンクを載せているので必要に応じて参照して下さい。 また、この記事に書いていない内容で、上記3つの記事に書かれて
2024/11/11〜12 に行われた JPAAWG 7th General Meeting で発表した資料です https://meetings.jpaawg.org/
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
