アメリカのIT大手、アップル、グーグル、それにマイクロソフトの3社は、ウェブサイトやアプリを利用する際、パスワードを入力しなくても、指紋や顔などで簡単に認証できるシステムの開発で連携すると発表しました。パスワードの使い回しによる情報の漏えいを防ぐ取り組みとして関心が集まっています。 ウェブサイトやア…
Apple、Google、MicrosoftがFIDO標準のサポート拡大にコミット、パスワードレス認証の普及を促進 (国際版の日本語訳)
2022年5月5日、カリフォルニア州マウンテンビュー – すべての人にとってウェブをより安全で使いやすいものにするための共同の取り組みとして、Apple、Google、Microsoftは本日、FIDOアライアンスとWorld Wide Web Consortium(以下、W3C)が策定した共通のパスワードレス認証のサポートを拡大する計画を発表しました。こ…
Software security starts with the developer: Securing developer accounts with 2FA | The GitHub Blog
The software supply chain starts with the developer. Developer accounts are frequent targets for social engineering and account takeover, and protecting developers from these types of attacks is the first and most critical step toward securing the supply chain. GitHub has a long history of protec…
サーバサイドでJWTの即時無効化機能を持っていないサービスは脆弱なのか? – くろの雑記帳
きっかけ 昨年(2021年9月ごろ)に徳丸さんのこのツイートを見て、「2022年にはJWTを用いたセッション管理に代表される、ステートレスなセッション管理は世の中に受け入れられなくなっていくのだろうか?」と思っていました。 OWASP Top 10 2021 A1に「JWT tokens should be invalidated on the server after logout.」(…