こんにちは、セキュリティチームの@sota1235です。 セキュリティチームでは昨年の夏頃からGitHub上のセキュリティリスクを洗い出し、順に対応や改善を行っています。 そのうちの1つとして、昨年の秋ごろからGitHubのPersonal Access Tokenの取り扱いの改善を行ってきました。 具体的には以下の取り組みを行いました。 CI等で利用されているPersonal Access Tokenの利用廃止 OrganizationにおけるPersonal Access Token(classic)の利用禁止設定 今回はこの2つの取り組みについて、どのような課題設定を行い、どんな手順で完了したのかをお話しします。 以下のような課題感、疑問をお持ちの方に対する1つの回答になりうると思うので該当する方はぜひご一読ください🙏 GitHubにおけるPersonal Access Token
Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article? 本記事は、Chidume Nnamdi氏による「11 Useful Online Tools for Frontend Developers」(2020年2月11日公開)の和訳を、著者の許可を得て掲載しているものです。 フロントエンド開発者のための便利なオンラインツール11選 私が愛用するオンライン開発ツール インターネット上には、フロントエンド開発者の生活を楽にしてくれる素晴らしいツールが沢山あります。この記事では、私が開発の仕事で頻繁に使っている11のツールについて簡単に説明します。 1. CanIUse Web APIが特定のブラ
Julia Advent Calendar 2017の5日目の記事です。今日は,去年の今頃開発を開始したAutoma.jlというパッケージを紹介しようと思います。ここでは,最新リリース版のAutoma.jl 0.4.0を元に記述しています。 Automa.jlとは Automa.jlは正規表現(regular expression)のドメイン特化言語(DSL: Domain Specific Language)からJuliaのコードを生成するパッケージです。正規表現はJuliaの標準ライブラリにもありますが,Automa.jlの最大の特徴は,正規表現を合成したりマッチングの途中でJuliaのコードを実行したりできる点にあります。これを使えば,正規言語であるファイルフォーマットのパースや,文脈自由文法などで書かれた言語のトークン化などができます。 実際のコードは以下のようになります。このコー
概要 Go から Microsoft Azure を利用する場合,アクセストークン使用する. このアクセストークンの取得には複数の方法が用意されているが, CLI コマンドでも利用されているデバイスコードを用いた認証方法についてまとめる. アプリケーションの登録 認証プロセスで必要となるクライアント ID を取得するために, Azure ポータルにてアプリケーションの登録を行う. アプリの登録は,ポータルのセキュリティ + ID カテゴリにある「アプリの登録」から行える. 今回作成するのは,デスクトップアプリケーションなので,アプリの種類としてネイティブを選ぶ. リダイレクト URL は文字列として有効な URL であれば適当で良いので, 例えば,http://localhost:18230 などとしておく. デバイスコードの取得 デバイスコードの取得には, https://login.m
Webアプリケーションの認証トークン(セッション)はCookieヘッダで送信するのが一般的だとは思いますが、 そろそろこのCookieに依存した方法は負の遺産ではないでしょうか? 認証トークンの送信はRFC 7235で規定されているAuthorizationヘッダを使うと良いです。Basic認証とかDigest認証で使うやつですね。 実はBasicやDigestの他にRFC 6750でBearerというスキームが登録されています。単一の文字列を認証情報として送信するためのスキームで、トークンを送信するのにピッタリです。 参考: トークンを利用した認証・認可 API を実装するとき Authorization: Bearer ヘッダを使っていいのか調べた その場合は、認証トークンはCookieではなくlocalStrage(またはsessionStorage)に保存することになると思います。
セルフサービス・パスワードリセットは、多くのWebアプリケーションで共通部分になっています。通例、パスワードリセット・リンクはユーザにEメールで送られ、そこには、何らかの方法でユーザを識別する一意のトークンが含まれています。ユーザがリンクをクリックすることによって、そのユーザがそのアカウントに関連するEメールをアクセスできることが証明され、次にユーザは二段階認証を行います。この時点で、ユーザは新しいパスワードを入力するよう求められます。 もしも、ある攻撃者がそのパスワードリセット・リンクにアクセスできたなら、その攻撃者は、そのユーザとして認証を受けて新しいパスワードを入力することができるので、そのユーザのアカウントに自由にアクセスできるようになります。多くの場合、攻撃者はユーザのEメールへのアクセスを手に入れることによってこれを行いますが、最近私は 多くのアプリケーションがうかつにもパスワ
Asynchronous APIs frequently need to provide the user with some way to cancel long running or expensive operations. Some examples: A browser HTTP fetch API needs to allow the user to cancel network operations if the current request is no longer required by the user interface. A database access API needs to allow the user to cancel a long-running query when the client no longer needs the results of
ユーザアカウントのログイン機能とか作ってると、何らかの形でセッション用のトークンを作成する機会がある。今まではこれは適当にランダムな値を利用していればいいんでしょと思っていたのだけど、ちょっと違ったのでメモ。 乱数の性質 http://akademeia.info/index.php?%CD%F0%BF%F4によると、乱数には三つの性質がある。 無作為性:統計的な偏りがなく、でたらめな数列になっているという性質。 予測不可能性:過去の数列から次の数を予測できないという性質。 再現不可能性:同じ数列を再現できないという性質。再現するためには、数列そのものを保存しておくしかない。 この時、少なくとも無作為性のみ満たされていると弱い擬似乱数、無作為性と予測不可能性が満たされていると強い擬似乱数、全てが満たされていれば真の乱数と呼ばれる。ソフトウェアだけでは、真の乱数を作ることができず、真の乱数に
こんばんは、ritouです。 今回紹介する仕様は、RFC7662 OAuth Token Introspectionです。 RFC 7662 - OAuth 2.0 Token Introspection ざっくり言うと Token Introspectionとかいうと、Token置換攻撃対策としてのClient-AuthZ Server間のAccess Token検証を想像する方もいるかもしれませんが、この仕様はそれとはあまり関係ありません。 この仕様はOAuthのProtected Resourceのための仕様です。 RFC 6749 - The OAuth 2.0 Authorization FrameworkのRoleのところには、resource serverがprotected resourceをホストしていて、 access tokenを用いたリクエストを受ける、とあります。
#多要素認証の方式について AWSやGoogleの多要素認証(MFA)に使われるTOTPについて書く。 昨今普及してきたワンタイムトークン(OTP)。これはちゃんと規格化されていて、ライブラリもあるので生成は難しくない。OTPにはシークレットとカウンタ値から発行するHOTPと、シークレットと時間から計算するTOTPがある。たいていはTOTPで、HOTPはあまり見たことがないが、たぶんサーバー側と時計を合わせるのが難しいようなものの場合に使うのだろう(昔は多かったかもしれない)。ちなみにTOTPは内部的にはLinuxエポックからの経過秒数/発行間隔(30秒とか)の数値をカウント値としてHOTPに投げるものだ。 #つかってみる 是非はさておいて、AWSやGoogleの多要素認証のシークレットを取得すれば、それらの多要素認証のトークンを自分で発行することができる。AWSの場合はQRコードの下に折
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
