security

BeyondCorp? ゼロトラスト? VPNを超えていけ!

TL;DR はじめに BeyondCorp << ゼロトラスト ゼロトラストセキュリティ リモート接続のセキュリティ3要素 Authentication/認証 Device Trust/機器認証 Encryption/暗号化 VPNの問題点 キャパシティ/パフォーマンス 適切な制御の難しさ 一貫したセキュリティ…

そもそもJWTに関する私の理解は完全に間違っていた!

TL;DR ステートレスなJWTはそもそもセッションの代替では無い アクセストークンとしての利用が基本で数分レベルの短寿命な有効期限で利用 従来のセッションに近い概念はリフレッシュトークン。てか、リフレッシュトークンはセッションでも(たぶん)良い ユー…

「二段階認証…?」と言わないためのMFA入門 --- あるいはIDシステム地獄への案内

はじめに さて、7 Payの社長が2段階認証知らなかった問題が良い感じに炎上していますね。 個人的には常に知っておく必要が絶対あるかというと専門分野の問題があるから議論の余地あるとして、セキュリティの問題で会見するなら部下にちゃんとレクさせろよ、…

OAuth2.0のclient_secretって本当に秘密鍵ですか?

OAuthをしているサービスをAndroid + PhoneGap経由で使いたくて調べて見ました。 そして、色々調べたり考えたりした結果、 client_secret ってそもそも秘密鍵にする必要なくね? という天啓を得たので、つらつらと書いてみます。secretって名前なのに秘密で…

そろそろモパイルサイトのかんたんログインについて一言いっておくか

タイトルは半分釣りです(ぉ 特に物申してるわけではなく、現状を軽くまとめただけですね。 なんか、勘違いとか補足があれば是非ぜひツッコミを! そもそも「かんたんログイン」って? いわゆるオートログインという奴のモバイル版の言い方? の様です。 基…