【PoC編】XSSへの耐性においてブラウザのメモリ空間方式はLocal Storage方式より安全か? – Flatt Security Blog

はじめに こんにちは。 セキュリティエンジニアの@okazu-dm です。 この記事は、Auth0のアクセストークンの保存方法について解説した前回の記事の補足となる記事です。前回の記事の要旨をざっくりまとめると以下のようなものでした。 Auth0はデフォルトではアクセストークンをブラウザのメモリ空間上にのみ保存するin-me…

Twitter、ゼロデイ脆弱性悪用の約540万アカウントデータ漏えいを正式に認める

米Twitterは8月5日(現地時間)、ゼロデイ脆弱性(既に修正済み)が悪用され、540万以上のアカウントと電話番号やメールアドレスの情報が流出したと発表した。 この脆弱性については1月、同社のバグ報奨金プログラムを通じて報告を受けたという。昨年6月のシステム更新の際に発生したバグで、報告を受けて修正した時点で…

「多要素認証」破る攻撃 Microsoft 365利用企業襲う

日経の記事利用サービスについて 企業での記事共有や会議資料への転載・複製、注文印刷などをご希望の方は、リンク先をご覧ください。 詳しくはこちら 米マイクロソフトは7月中旬、大規模なフィッシング攻撃が展開されているとして注意を呼びかけた。対象は業務用クラウドソフト「Microsoft 365(旧称Office 365)」を利…

AWS SSO を用いた Amazon EKS への迅速なシングルサインオン | Amazon Web Services

Amazon Web Services ブログ AWS SSO を用いた Amazon EKS への迅速なシングルサインオン 訳注:2022年7月に、AWS Single Sign-On は AWS IAM Identity Center に変更されました。 この記事は A quick path to Amazon EKS single sign-on using AWS SSO (記事公開日: 2022 年 6 月 14 日) を翻訳したものです。 Software…

あやふやだった「2段階認証」と「2要素認証」の違いを調べてみた

「2段階認証」と「2要素認証」という言葉はしばしば混同して使われるようですが、厳密にはこれらは違う意味です。では何が違うのでしょうか。セキュリティ認識を周囲とそろえるためにも言葉の定義はしっかり学んでおきましょう。 今回は筆者の個人的な“思い違い”を正したいと思います。この連載で何度も取り上げている、…

【2022年版ベストプラクティス】AWS IAMまとめ – Qiita

はじめに AWSのアクセス制御サービスであるIAMについて、2022年7月時点での機能および使用法を、初学者でも理解しやすいことを心掛けてまとめました。 IAMをよく分からないまま適当に設定するとセキュリティ的にまずいので、これを機に設定を見直して頂き、セキュリティレベル向上に貢献できれば幸いです。 特に、後述す…

W3C、中央集権的な管理を不要にする「Decentralized Identifiers (DIDs)」(分散型識別子)の仕様が勧告に到達

W3C、中央集権的な管理を不要にする「Decentralized Identifiers (DIDs)」(分散型識別子)の仕様が勧告に到達 World Wide Web Consortium (W3C)は、「Decentralized Identifiers (DIDs) 」(分散型識別子)バージョン1.0(以下、W3C DID)の仕様が勧告に到達したと発表しました。 W3C press release: "Decentralized Id…

W3Cが分散IDの規格を標準化、認証サービスの選択が可能に

Web技術の標準化団体であるWorld Wide Web Consortium(W3C)は2022年7月19日、分散IDの規格「Decentralized Identifiers(DIDs)」を標準規格として勧告した。これまでWebサービスで利用者を認証するには中央集権型のIDP(IDentity Provider)が必要だった。分散IDにより、利用者もサービス事業者もオンラインにおけるI…

PINコードをタップする際の“振動”で個人認証を強化 のぞき見などに対策

Innovative Tech: このコーナーでは、テクノロジーの最新研究を紹介するWebメディア「Seamless」を主宰する山下裕毅氏が執筆。新規性の高い科学論文を山下氏がピックアップし、解説する。 韓国のChung-Ang Universityによる研究チームが開発した「Your Tapstroke Tells Who You Are: Authenticating Smartphone Users w…

個人開発(1人システム)担当者がサイバー攻撃に備える7つの心がけ – Qiita

先日、私がワードプレスで運営しているサイトでサイバー攻撃を受けました。 サイトのいくつかのファイルが改ざんされ、管理系ページにアクセスできない状態に陥りました。 その後、なんとか復旧できたものの、インシデント対応中は生きた心地がせず、手の震えと動悸が凄まじかったです。 今回サイバー攻撃による障害の経…