SECCON Beginners Live 2023「JWTセキュリティ入門」の発表資料です。
日本時間で2023/03/24 14時ごろ、GitHubは、彼らのSSHホスト鍵ペアを更新しました1。SSHホスト鍵ペアの秘密鍵が一時的に公開されていたことが判明したためです。 SSHホスト鍵ペアの更新はユーザのGitHubからSSHを使ってクローンしたリポジトリにおけるgit操作に影響を与えます。具体的には git fetch や git pull, git push 実行時に次のようなエラーが表示され、実行できなくなる場合があります。 @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ @ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @ @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ IT IS
ヤフー株式会社は、2023年10月1日にLINEヤフー株式会社になりました。LINEヤフー株式会社の新しいブログはこちらです。LINEヤフー Tech Blog 目次 はじめに Yahoo! JAPANが対応したWebAuthnとは WebAuthnとFIDO認証について WebAuthnの処理について 登録と認証の流れ 削除機能 ブラウザーでの実装 navigator.credentials.create()について navigator.credentials.get()について サーバーでの実装 登録(公開鍵の登録) /attestation/optionsの処理 リクエストパラメーター navigator.credentials.create()の引数に必要な値 /attestation/resultの処理 CBORについて attestationObjectについて 公開鍵を作成す
こんにちは。 マネーフォワードの新卒Railsエンジニア、きなこ と申します。 マネーフォワードX という組織で、日々プロダクトの開発に勤しんでおります😊 突然ですが皆さんは JWT という技術をご存知でしょうか? 私は趣味でCTFというセキュリティコンテストに出場するのですが、最近ホットだと感じるのがJWTに関連する攻撃です。 今年の1月に初めてJWTを題材にした問題に遭遇し、その後JWTの出題頻度が強まっていると感じ、社内に向けてJWTにまつわる攻撃を通して学ぶための記事を書いたところ、たくさんの反応をいただきました。 今回の記事はその内容を社外向けにアレンジし、ハンズオンを通して実際にJWTを改竄し、受け取るAPIを攻撃することでJWT自体を学べるようにしたものです。 本記事はJWTに興味があるWeb開発者を想定していますが、そうでない方も楽しんでいただけるようにハンズオンを用意し
マイクロサービスにおける認証と認可の、一般論としての設計パターンを調べたところ、Web 上の複数の記事で似たようなパターンが登場していた。ここでは、まず認証と認可が実現したい一般的な要件と、そのマイクロサービスでの難しさを整理し、認証と認可に分けて調査したパターンをまとめた。 あくまで “一般論” なので、実際には個々のドメインにあわせてアレンジが必要 往々にしてこの “アレンジ” に価値が宿るものだが、まずはセオリーを知っておきたいというモチベーションで調査した Web 上の記事を読んでまとめただけなので、手を動かしての確認はしておらず、理解が甘い部分はご容赦ください 具体的な通信方式やサービス間通信のセキュリティといった具体論までは踏み込めていない。このへんはサービスメッシュやゼロトラストネットワークといったトピックが登場すると思われる これらは次回以降の Todo としています その
こんにちは。今日は趣向を変えて千代田区立図書館に来てみました。 www.library.chiyoda.tokyo.jp 図書館は普段あんまり行かないので、地元の図書館との違いに驚きでした。 都内の図書館って広いし綺麗ですね。 九段下から割と近い、置いている蔵書のジャンルが多し、席のジャンル多し、無線Wifiあり、電源あり、でかなり使いやすかったです。 静かで落ち着いた雰囲気で過ごしやすい気がしますが、無音なので独り言が多い人は気をつけてください。 さて、前回の記事について@okeee0315さんからこんなコメントを。 認証回りは大事、ADの前に認証と認可が必要かも / ADなにそれおいしくない(泣) - どんまいこのネタ帳 https://t.co/MEFI6o5qNA— okeee (@okeee0315) 2016年5月3日 ほほう。ADはまだ美味しくなかったので、教えに従い認証周り
はじめに 過去三年間、技術者ではない方々に OpenID Connect(オープンアイディー・コネクト)の説明を繰り返してきました※1。 その結果、OpenID Connect をかなり分かりやすく説明することができるようになりました。この記事では、その説明手順をご紹介します。 ※1:Authlete 社の創業者として資金調達のため投資家巡りをしていました(TechCrunch Japan:『APIエコノミー立ち上がりのカギ、OAuth技術のAUTHLETEが500 Startups Japanらから1.4億円を調達』)。 2017 年 10 月 23 日:『OpenID Connect 全フロー解説』という記事も公開したので、そちらもご参照ください。 説明手順 (1)「こんにちは! 鈴木一朗です!」 (2)「え!? 本当ですか? 証明してください。」 (3)「はい! これが私の名刺です!
こんばんは。ritouです。 Digital Identity技術勉強会 #iddance Advent Calendar 2020 1日めの記事です。 qiita.com 初日なのでゆるふわな話をしましょう。 何の話か もうだいぶ前ですね。9月のお話です。こんなTweetを見かけました。 社内Slackにいる「OAuth認証」と書くと訂正してくれるbotが丁寧な解説をするようになっていた 認証(Authentication)と認可(Authorization)は間違えやすいわりにミスると甚大な被害をもたらしがちなので、常日頃から意識を高めていきたいですね pic.twitter.com/oVQxBgZcHS— greenspa (@greenspa) 2020年9月28日 このbotに対する思うところはもう良いです。 今回は、「OAuthの仕様に沿ってID連携を実装するいわゆる"OAut
Windows 7 ■事象 秘密・公開鍵を作成したが、ツールによって使えない。 タブが手放せないため、Poderosaをメインに使用しているが、 Redhat系でntsysvやsystem-config-networkなどのGraphical Linux toolsは、 teratermでないと文字化けというかレイアウトが崩れて困る。 また、WinSCPで鍵使おうとするとPutty形式が必要。 ■原因 ツールによって鍵のフォーマットが違うことが原因。 SSHの秘密鍵のフォーマットについて ○OpenSSH形式 OpenSSHのフォーマット。秘密鍵のヘッダーに以下の文字列。 -----BEGIN RSA PRIVATE KEY----- ○SECSH(ssh.com)形式 オリジナルのSSHのフォーマット。OpenSSHはssh1.2.12から派生。 秘密鍵のヘッダーに以下の文字列。 ---
2.SSHの仕組みを理解しよう。 2.1 SSH(Secure SHellの略)って何? 今更SSHとは何? なんて遅れているなと言われそうですが、SSHの仕組みは結構複雑なので、私のような素人の解説でも人によっては意味があるだろうと勝手に決め込んで書きました。SSH通信の原理を知るという教養番組みたいなものですので、具体的な設定法にのみ興味のある方はこの章をスキップしてください。 SSHの発明者(Tatu Ylonen)がある時期に会社(SSH Communications Security)(日本SSH社はここ)を起こして商用SSHを売り出してから、SSHは自由に使えなくなりました。そこで元々の公開されていたSSHをベースに本質は維持しつつ特許に抵触する部分を全部取り払って改良を加えたものがOpenSSHです。ユニックスのFreeBSD用に開発され、他のOSにも移植されています。つまり
I've found that ssh-keygen ("ssh" package) produces different keys from puttygen ("putty" package). If I create public and private keys with ssh-keygen some SSH servers will not accept my keys. If I create keys with puttygen only one server does accept it. Why don't Linux repositories propose some common solution (package) for it? I've found another package ssh-3.2.9.1 which creates keys that work
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く