(Translated by https://www.hiragana.jp/)
[8ページ] authの人気記事 2336件 - はてなブックマーク

検索けんさく対象たいしょう

ならじゅん

ブックマークすう

期間きかん指定してい

  • から
  • まで

281 - 320 けん / 2336けん

新着しんちゃくじゅん 人気にんきじゅん

authの検索けんさく結果けっか281 - 320 けん / 2336けん

authの関連かんれんエントリー

  • 三菱電機みつびしでんき段階だんかい認証にんしょうやぶられた - Fox on Security

    三菱電機みつびしでんき今年ことしはいって2度目どめ不正ふせいアクセス被害ひがい発表はっぴょうをしました。前回ぜんかい発表はっぴょう朝日新聞あさひしんぶんのスクープ記事きじから発覚はっかくしましたが、今回こんかい朝日新聞あさひしんぶんのスクープ記事きじていました。 digital.asahi.com 複数ふくすう関係かんけいしゃによれば16にち夕方ゆうがた同社どうしゃ利用りようする外部がいぶクラウドサービスの監視かんしシステムが、通常つうじょうとはことなる不審ふしんなアクセスを検知けんちし、警告けいこくはっした。本社ほんしゃないでしかアクセスしないはずの管理かんりしゃアカウントで、中国ちゅうごく国内こくないてられたIPアドレス(ネットじょう住所じゅうしょ)から接続せつぞくがあったためだ。 同社どうしゃ不正ふせいアクセスの発生はっせい判断はんだんし、接続せつぞく遮断しゃだんした。調査ちょうさ結果けっか社内しゃないネットワークの管理かんり保守ほしゅ担当たんとうする従業じゅうぎょういん管理かんり台帳だいちょうファイルをぬすろうとしていた形跡けいせきつかった。 接続せつぞくもとのIPアドレスを手掛てがかりに調しらべたところ、あらたに2人ふたり社員しゃいんアカウントからの接続せつぞくつかった。いずれもクラウドサービスの管理かんりまかされている社員しゃいんのものだった。ハッカー

      三菱電機は二段階認証を破られた - Fox on Security

    • Nuxt.js+Firebaseの認証にんしょう認可にんか実装じっそうした雛形ひながたプロジェクトを公開こうかいしました - Qiita

      この記事きじについて NuxtとFirebaseを使つかって、これまでいくつかサービス開発かいはつをしていますが、認証にんしょう/認可にんか実装じっそうはどのサービスでも毎回まいかいおなじようなコードをいているがします。 サービスとしてのコア部分ぶぶんではないですが、センシティブな部分ぶぶんなのでしっかりと調しらべながら実装じっそうすると結構けっこう大変たいへんですよね(毎回まいかい時間じかんがかかってしまいます)。 ここ最近さいきんのサービスはNuxt +Firebaseで開発かいはつすることがおおく、認証にんしょう / 認可にんかのコードベースのTipsがまってきたので公開こうかいしたら需要じゅようあったりするのかな? サンプルになりそうなプロジェクト見当みあたらないし、コアな部分ぶぶんではないのであまりたのしくないし...。 雛形ひながたのプロジェクトとして需要じゅようあれば公開こうかいします👍 — フジワラユウタ | SlideLive▶️ (@Fujiyama_Yuta) June 7, 2020 自分じぶんだけではなく、いろんなひとおなじような課題かだいかんかんじている

        Nuxt.js+Firebaseの認証・認可を実装した雛形プロジェクトを公開しました - Qiita

      • マイナンバーカードのセキュリティ

        2022.09.10 すべての国民こくみん皆様みなさまに、マイナンバーカードの取得しゅとくをおねがいしています。 しかし、マイナンバーカードのセキュリティが不安ふあんだから取得しゅとくしたくないというこえうかがいました。 そこで、マイナンバーカードのセキュリティについてご説明せつめいします。 マイナンバーカードには、ICチップが搭載とうさいされています。 このマイナンバーカードのICチップには、カードの券面けんめん印刷いんさつされているあなたの情報じょうほう氏名しめい性別せいべつ生年月日せいねんがっぴ住所じゅうしょ顔写真かおじゃしん、マイナンバー)のほか、あなたがあなたですよということを証明しょうめいする電子でんしてきかぎ公的こうてき個人こじん認証にんしょう電子でんし証明しょうめいしょ)と、マイナンバーのもとになる番号ばんごう住民じゅうみんひょうコード)しか記録きろくされていません。 あなたの年金ねんきんぜいなどのプライバシーせいたか個人こじん情報じょうほうはマイナンバーカードには記録きろくされません。 健康けんこう保険ほけんしょうとして使用しようする場合ばあいも、あなたの特定とくてい健診けんしん結果けっか薬剤やくざい情報じょうほうがICチップにはいることはありません。 ICチップのりょう

          マイナンバーカードのセキュリティ

        • Feature Flag Deep Dive

          チーム勉強べんきょうかいで Feature Flag とトランクベース開発かいはつはなしをしました (追加ついか訂正ていせいかれているスライドは、勉強べんきょうかい議論ぎろんした結果けっか反映はんえいしたものです)

            Feature Flag Deep Dive

            • authの関連かんれんエントリー

          • 認証にんしょう】JWTについての説明せつめいしょ

            はじめに この記事きじんでいるあなたはJWTについてっているだろうか?JWTは、認証にんしょうされたユーザを識別しきべつするためにもっと一般いっぱんてき使用しようされる。JWTは認証にんしょうサーバから発行はっこうされて、クライアント・サーバで消費しょうひされる。 今回こんかい記事きじでは、Webアプリケーションの認証にんしょう方法ほうほうとしてもっと利用りようされているJWT認証にんしょう簡潔かんけつ解説かいせつする。 ほん記事きじ読者どくしゃ対象たいしょう JWT認証にんしょうについてらないひと JWTのメリット・デメリット、仕組しくみについてくわしくりたいひと アプリケーションの認証にんしょう方法ほうほうについてくわしくりたいひと JWTとは JSON Web Token(JWT)とは、クライアント・サーバのあいだ情報じょうほう共有きょうゆうするために使つかわれる規格きかくひとつである。JWTには、共有きょうゆう必要ひつよう情報じょうほうつJSONオブジェクトがふくまれている。さらに、かくJWTはJSONのcontentsがクライアントあるいは悪意あくいのあるパーティによってかいざんされないように、暗号あんごう(ハッシュ

              【認証】JWTについての説明書

            • Nostrプロトコル(damus)をさわってみた - Qiita

              はじめに Twitterの動乱どうらんまれている皆様みなさま、いかがおごしでしょうか。 わたし例外れいがいなくまれており、とくにAPI利用りようしていたアプリケーションを停止ていしすることになって非常ひじょう残念ざんねんです。 そこでTwitter代替だいたいサービスをさがすわけですが Mastodon Misskey とActivityPubけいて、なにあらたに面白おもしろそうなものがあらわれました。 Damus、そしてそのプロトコルのNostrです。 今回こんかい、こちらをちょっとさわってみたので紹介しょうかいします。 とりあえずさわってみたいひとはこちら AT Protocolもきました。こちら 注意ちゅうい Nostr Assets ProtocolおよびNostrトークンは、Nostrの名前なまえ勝手かって使用しようしている無関係むかんけいの(おそらく詐欺さぎ)通貨つうかです。混同こんどうしないようにご注意ちゅういください。 最近さいきん動向どうこうふくめた最新さいしん情報じょうほう(2023/12) こちらの記事きじ参考さんこうになります ▽それ、1個いっこのアカ

                Nostrプロトコル(damus)を触ってみた - Qiita

              • なぜWebサービスの選定せんていにおいてSAML/SSOが重要じゅうようなのか

                TL;DRクラウドネイティブな時代じだいのビジネスではWebサービス活用かつよう必須ひっすWebサービスをセキュアに利用りようしていくには管理かんりやセキュリティめんでの工数こうすう・コストがえるこの工数こうすう・コストをげることこそがWebサービス活用かつよう推進すいしんひいてはビジネスの加速かそくつながる工数こうすう・コストをげるため導入どうにゅうするWebサービスにSAML/SSOは必須ひっすログインをSAML/SSOに限定げんてい出来できることまでがマストWebサービス利用りようにおけるセキュリティめん一番いちばん重要じゅうようなのがIDまわ個々ここのWebサービスのセキュリティ対策たいさくよりもID管理かんりとくしたシステムにまかせたほうがよっぽどセキュア(もち餅屋もちや)Webサービス導入どうにゅうにはってもSAML/SSO出来できるプランで契約けいやくするSAML/SSOが出来できないことによるデメリット(工数こうすう・コスト)のほうが、SAML/SSOを有効ゆうこうにできるプランにアップグレードする費用ひようまさるB2BのWebサービスを提供ていきょうする企業きぎょうぜんプランに

                  なぜWebサービスの選定においてSAML/SSOが重要なのか

                • 現在げんざい対応たいおう不要ふよう】Chrome80以降いこうでALBの認証にんしょう使つかっているとcookieが4096バイトをえて認証にんしょうできないことがあり、社内しゃないサービスではcookieめいちぢめて対応たいおうした - hitode909の日記にっき

                  2020/2/18追記ついき サポートにわせたところ、ALBの不具合ふぐあいはロールバックみで、cookieめいちぢめる対応たいおう不要ふよう、とのことでした。ためしてみたところ、たしかにcookieめい指定していをやめても問題もんだいなく認証にんしょうできました。 AWSのApplication Load Balancerの認証にんしょう機能きのう使つかって、スタッフからのアクセスのみ許可きょかする社内しゃないけウェブサービスを運用うんようしているのだけど、昨日きのうくらいからGoogle Chromeで認証にんしょうとおらなないというこえくようになった。 現象げんしょうとしてはリダイレクトループが発生はっせいしていて、コンソールをるとSet-Cookie headerがながすぎるというエラーがていた。 Set-Cookie header is ignored in response from url: https://****/oauth2/idpresponse?code=e51b4cf0-8b

                    【現在は対応不要】Chrome80以降でALBの認証を使っているとcookieが4096バイトを超えて認証できないことがあり、社内サービスではcookie名を縮めて対応した - hitode909の日記

                  • DMARCの対応たいおうってすすんでますか? - エムスリーテックブログ

                    こんにちは。エムスリーでSREやセキュリティに従事じゅうじしている山本やまもとです。 以前いぜんに、「Gmailのメール認証にんしょう規制きせい強化きょうかへの対応たいおうってわってますか?」という記事きじかせていただいておりますが、そこでちょいしだけしたDMARCについてかせていただきたいとおもいます。 www.m3tech.blog Gmailへの対応たいおう実施じっしするだけならば、「とりあえずよくわかんないけどれておけばOK」なのですが、そもそもDMARCはなにのために存在そんざいしていてどのように活用かつようにするのかというところにれていきたいとおもいます。 DMARCとは SPF/DKIM DMARC登場とうじょう DMARCで実施じっしできるポリシーさんしゅ ポリシーの強化きょうか 強化きょうかできるか DMARCレポート RUA/RUFのしゅのレポート DMARCレポートの確認かくにんツール どう判断はんだんするか メール転送てんそう 今後こんご まとめ We are hiring! DMARCとは DMARCの

                      DMARCの対応って進んでますか? - エムスリーテックブログ

                    • イーロン・マスク、Twitterの認証にんしょうマーク課金かきん方針ほうしんみとめる。作家さっかキングの「むしろおまえらがわたしはらえ」につき8ドルへの値下ねさ提案ていあん | テクノエッジ TechnoEdge

                        イーロン・マスク、Twitterの認証マーク課金方針を認める。作家キングの「むしろお前らが私に払え」に月8ドルへの値下げ提案 | テクノエッジ TechnoEdge

                      • Admin.jsを使つかって面倒めんどう管理かんり画面がめんをサクッとつくろう | DevelopersIO

                        こんにちは、CX事業じぎょう本部ほんぶDeliveryサーバーサイドチームのmorimorkochanです。 突然とつぜんですが「あぁ〜管理かんり画面がめんつくるのめんどくせ〜」っておもうことはないですか? たとえばRDBと接続せつぞくされたRESTfulなAPIサーバーをつくっていて、一部いちぶ管理かんりしゃけに管理かんり画面がめんつくりたいが管理かんり画面がめんにこだわりがない場合ばあいなどなど。 そんなとき便利べんりなのが、Admin.jsです。Admin.jsは管理かんり画面がめん簡単かんたん作成さくせいできるフレームワークです。オープンソースとして公開こうかいされており、クラウドにデプロイされているサービスを利用りようする場合ばあい月額げつがく料金りょうきんがかかりますが手動しゅどうでサーバーにんでデプロイする場合ばあい無料むりょうです。 Admin.jsを使つかうと、RDBで管理かんりされるかくテーブルごとにCRUD画面がめん簡単かんたん作成さくせいすることができます。これによってRDBとおなじプロパティをなん定義ていぎしたりおなじようなCRUDコードをなん記述きじゅつする必要ひつようはありま

                          Admin.jsを使って面倒な管理画面をサクッと作ろう | DevelopersIO

                        • ログインでもはたけるAPIエンドポイントにレートリミットを導入どうにゅうする

                          先日せんじつだれでもAIメーカーというWebサービスをリリースしました。このサービスはれいによってOpenAI APIを使つかっており、トークンの使用しようりょうがランニングコストにおおきく影響えいきょうします。 また、気軽きがる使つかってもらえるようログインでも使用しようできる仕様しようにしているため、をつけないと悪意あくいのあるひと大量たいりょうにトークンを使用しようされてしまう可能かのうせいがあります。 ノーガードだとどうなるか たとえば、POST /api/askという「リクエストbodyのpromptのし、OpenAI APIのChat Completionsにげる」という単純たんじゅんなエンドポイントをつくったとします。 「ログインでも使つかってもらいたいから」と認証にんしょう一切いっさいしなかった場合ばあいどうなるでしょうか? 悪意あくいのある攻撃こうげきしゃつかれば、promptを上限じょうげんギリギリのながさの文章ぶんしょう設定せっていしたうえで、/api/askにたいしてDoS攻撃こうげきするかもしれません。 トークンを大量たいりょう

                            未ログインでも叩けるAPIエンドポイントにレートリミットを導入する

                          • pixivに脆弱ぜいじゃくなパスワードで登録とうろくできないようにしました - pixiv inside

                            1: 脆弱ぜいじゃくなパスワードを入力にゅうりょくした場合ばあいのエラー画面がめん こんにちは、pixiv開発かいはつ支援しえんチームのmipsparcです。 パスワード、もしかして使つかいまわしていますか? 複数ふくすうのサービスでおなじパスワードを利用りようしていると、「パスワードリストがた攻撃こうげき」によって不正ふせいアクセスの被害ひがいけてしまうかもしれません。 パスワードリストがた攻撃こうげき被害ひがいにあわないためには、ブラウザやパスワード管理かんりツールで自動じどう生成せいせいされた安全あんぜんなパスワードを利用りようするのがこのましいです。 しかし、実際じっさいにはおおくのひとが「使つかいまわしたパスワード」や「簡単かんたんなパスワード」(以下いか脆弱ぜいじゃくなパスワード)を利用りようしていますし、啓蒙けいもう活動かつどうにも限界げんかいがあります。 pixivではサイバー攻撃こうげきへの対策たいさく複数ふくすうとっていますが、根本こんぽんてき対策たいさくのひとつとして、脆弱ぜいじゃくなパスワードをあたらしく設定せっていできないようにしました。 脆弱ぜいじゃくなパスワードの判定はんてい方法ほうほう 脆弱ぜいじゃくなパスワードの利用りようはどのようにふせぐことができるで

                              pixivに脆弱なパスワードで登録できないようにしました - pixiv inside

                            • 心臓しんぞうおと個人こじん認証にんしょう精度せいど95%以上いじょう おとのリズムやピッチを分析ぶんせき

                              Innovative Tech: このコーナーでは、テクノロジーの最新さいしん研究けんきゅう紹介しょうかいするWebメディア「Seamless」を主宰しゅさいする山下やましたひろしあつし執筆しっぴつ新規しんきせいたか科学かがく論文ろんぶん山下やましたがピックアップし、解説かいせつする。 スペインのUniversity Carlos III of Madrid、イランのShahid Rajaee Teacher Training University、イランのInstitute for Research in Fundamental Sciences (IPM)による研究けんきゅうチームが開発かいはつした「ECGsound for human identification」は、心電図しんでんずから取得しゅとくした心拍しんぱくおん分析ぶんせきし、そのひとだれかを特定とくていするバイオメトリクス技術ぎじゅつだ。心電図しんでんず(ECG)信号しんごうをオーディオ波形はけいファイルに変換へんかんし、5つの音楽おんがくてき特性とくせい分析ぶんせきすることで識別しきべつする。 今回こんかいはこれまでとちがい、ノイズ(直流ちょくりゅう成分せいぶん

                                心臓の音で個人認証、精度95%以上 音のリズムやピッチを分析

                              • 社内しゃないをパスワードレスにするため頑張がんばったはなし前編ぜんぺん) - Qiita

                                はじめに ほん記事きじはMicrosoft Security Advent Calendar 2023、10日とおか記事きじになります。 シリーズ3さくです。 きっかけ 所属しょぞく企業きぎょうにて、2022ねん7がつごろ情報じょうほうシステム部門ぶもん異動いどう種々しゅじゅ課題かだいかんたいする解決かいけつさく(ここもはなすとながくなる)としてMicrosoft 365 E5を導入どうにゅうすることに決定けってい。2023ねん1がつにテナントにライセンスが適用てきようされ、E5セキュリティの実装じっそうはじめる。同時どうじに、組織そしきないでIdPが複数ふくすう運用うんようされていることにたいしても課題かだいかんっていたため、IdPの整理せいり統合とうごうはじめる。 さらにどう時期じきに、セキュリティ侵害しんがいおおくの原因げんいんが、パスワード漏洩ろうえいだということをる。 フィッシングメールでパスワードが漏洩ろうえい個人こじん1)し、クレジットカードが不正ふせい利用りよう個人こじん4)されたり、インターネットじょうのサービスに不正ふせいログイン(個人こじん10)されたり…。スマホ決済けっさい不正ふせい利用りよう個人こじん5)もで

                                  社内をパスワードレスにするため頑張った話(前編) - Qiita

                                • CSSだけでif~elseぶんおなじことができる! しかもすべてのブラウザでサポートされています

                                  CSSでif~elseぶん使つかえたら、とおもったことはありませんか? もちろんifとかelseはCSSにはありませんが、CSSだけでif~elseぶんおなじようにスタイルを設定せっていできます。

                                    CSSだけでif~else文と同じことができる! しかもすべてのブラウザでサポートされています

                                  • マイナンバーカードをもちいた本人ほんにん確認かくにんとiPhoneへの機能きのう搭載とうさい鈴木すずき淳也あつやのPay Attention】

                                      マイナンバーカードを用いた本人確認とiPhoneへの機能搭載【鈴木淳也のPay Attention】

                                    • 「パスキー」のユーザー体験たいけん最適さいてきさせるデザインガイドライン、FIDOアライアンスが公開こうかい

                                      パスワードレスなユーザー認証にんしょう実現じつげんする業界ぎょうかい標準ひょうじゅんである「パスキー」を策定さくていするFIDOアライアンスは、パスキーのユーザー体験たいけん最適さいてきさせるためのデザインガイドラインの公開こうかい発表はっぴょうしました。 パスキーは、従来じゅうらいのパスワードによるユーザー認証にんしょうよりも強力きょうりょく安全あんぜん認証にんしょう方式ほうしきとされており、普及ふきゅう期待きたいされていますが、おおくのユーザーがしたしんできたパスワード方式ほうしきくらべると、サインアップやサインインの方法ほうほうかりにくいという課題かだい指摘してきされていました。 FIDOアライアンスによるデザインガイドラインの公開こうかいは、こうした状況じょうきょう改善かいぜんするものとして期待きたいされます。 パスキーのデザインガイドラインの内容ないよう デザインガイドラインはおも以下いか要素ようそから構成こうせいされています。 UXの原則げんそく(UX princeples) コンテンツの原則げんそく(Content principles) デザインパターン(スキーマ、サンプルビデオ、AndroidとiOS

                                        「パスキー」のユーザー体験を最適化させるデザインガイドライン、FIDOアライアンスが公開

                                      • Firebase Authからうちせい認証にんしょう基盤きばん停止ていし移行いこうして年間ねんかん1000まんえん以上いじょう削減さくげんした

                                        症状しょうじょう検索けんさくエンジン「ユビー」 では、ローンチ当初とうしょから Firebase Auth (GCP Identity Platform) を使つかっていましたが、OIDCに準拠じゅんきょしたうちせい認証にんしょう認可にんか基盤きばん移行いこうしました。 認証にんしょう認可にんか基盤きばんそのものは m_mizutani と nerocrux と toshi0607(退職たいしょくずみ) がつくってくれたため、ぼく移行いこうのみを担当たんとうしました。 結果けっかとして、強制きょうせいログアウトなし・停止ていしでビジネス影響えいきょうさずに、年間ねんかん1000まんえん以上いじょうのコスト削減さくげん成功せいこうしました[1]。その移行いこうプロセスについて紹介しょうかいします。認証にんしょう認可にんか基盤きばんそのものの紹介しょうかいはあまりしません。 移行いこうした理由りゆう 大量たいりょう匿名とくめいアカウント ユビーでは、アクセスしたぜんユーザーにたいして自動的じどうてき匿名とくめいアカウントを発行はっこうしています。これにより、ユーザーがアカウント登録とうろくしているかどうかにかかわらず、おなじID体系たいけい透過とうかてき履歴りれき情報じょうほうとうあつかうことができます。アカウント

                                          Firebase Authから内製認証基盤に無停止移行して年間1000万円以上削減した

                                        • 『Tailwind CSS実践じっせん入門にゅうもん出版しゅっぱん記念きねん基調きちょう講演こうえん

                                          「Tailwind CSS実践じっせん入門にゅうもん出版しゅっぱん記念きねんイベントの基調きちょう講演こうえん使用しようしたスライドです。 イベント詳細しょうさい → https://pixiv.connpass.com/event/310073/ 書籍しょせき → https://gihyo.jp/book/2024/978-4-297-13943-8

                                            『Tailwind CSS実践入門』 出版記念基調講演

                                          • パスワード不要ふよう認証にんしょう技術ぎじゅつ「パスキー」はパスワードよりもエクスペリエンスがわるいという批判ひはん

                                            FIDOアライアンスが仕様しよう策定さくていした「パスキー」は、パスワードではなく生体せいたい情報じょうほうもちいて認証にんしょうする「FIDO 2.0」を「Webauthn」標準ひょうじゅんもとづいて利用りようして資格しかく認証にんしょう情報じょうほうをデバイス単位たんい管理かんり運用うんようする技術ぎじゅつです。このパスキーがかかえる問題もんだいてんについて、Webauthn標準ひょうじゅんかかわったエンジニアのFirstyearことウィリアム・ブラウン自身じしんのブログで解説かいせつしています。 Firstyear's blog-a-log https://fy.blackhats.net.au/blog/2024-04-26-passkeys-a-shattered-dream/ Webauthnがパスワードにわる認証にんしょう技術ぎじゅつとしておおきな可能かのうせいめているとかんがえていたブラウンは、2019ねんにオーストラリアからアメリカにわたり、友人ゆうじんともにWebauthnのRust実装じっそうであるwebauthn-rsの開発かいはつはじめました。その過程かてい

                                              パスワード不要の認証技術「パスキー」はパスワードよりもエクスペリエンスが悪いという批判

                                            • OAuthの仕組しくみを説明せつめいしてHonoで実装じっそうしてみる

                                              はじめに はじめまして!レバテック開発かいはつでレバテックプラットフォーム開発かいはつチームに所属しょぞくしている塚原つかはらです。 直近ちょっきん認証にんしょう認可にんかまわりの改修かいしゅう予定よていしているため、チームない認証にんしょう認可にんか基礎きそからOAuth・OpenID Connectの仕組しくみをまな勉強べんきょうかい実施じっししました。今回こんかいはそこでまなんだことのうち、認証にんしょう認可にんか基礎きそとOAuthの仕組しくみをまとめます。また、WebフレームワークとしてHono、JavaScriptランタイムとしてBunを使つかって、OAuthクライアントを実装じっそうしてみます。 対象たいしょう読者どくしゃ 認証にんしょう認可にんかちがいってなんだっけ...?というひと Basic認証にんしょうやDigest認証にんしょうてなんだっけ...?というひと OAuthはライブラリ使つかって実装じっそうしてるから仕組しくみよくわかっていない...というひと OAuthのクライアントの実装じっそうってなにをすればいいんだっけ...?というひと 認証にんしょう認可にんか基礎きそ 2024/7/18 追記ついき こちらで

                                                OAuthの仕組みを説明してHonoで実装してみる

                                              • GitLabで1クリックアカウントりが可能かのうだった脆弱ぜいじゃくせいからまなぶ、OpenID Connect実装じっそう注意ちゅういてん - Flatt Security Blog

                                                はじめに こんにちは。株式会社かぶしきがいしゃFlatt Securityセキュリティエンジニアのもり(@ei01241)です。 最近さいきん認証にんしょう認可にんかさいしてOpenID Connectを使つかうWebサービスがえているとおもいます。「Googleアカウント/Twitter/Facebookでログイン」などのUIはあらゆるサービスでかけるとおもいます。しかし、OpenID Connectの仕様しようをよく理解りかいせずに不適切ふてきせつ実装じっそうおこなうと脆弱ぜいじゃくせいむことがあります。 そこで、突然とつぜんですがクイズです。以下いかのTweetをごらんください。 ⚡️突然とつぜんですがクイズです!⚡️ 以下いか画面がめんはOAuth 2.0 Best Practiceじょう推奨すいしょうされないような実装じっそうになっており、潜在せんざいてきリスクがあります。https://t.co/bXGWktj5fx どのようなリスクがひそんでいるか、ぜひかんがえてみてください。このリスクをもちいた攻撃こうげきについての解説かいせつ

                                                  GitLabで1クリックアカウント乗っ取りが可能だった脆弱性から学ぶ、OpenID Connect実装の注意点 - Flatt Security Blog

                                                • eKYCは当人とうにん認証にんしょうではなく身元みもと確認かくにん 渋谷しぶや電子でんし申請しんせい乱用らんよう 拡大かくだいのおそれ

                                                  Yahoo!ニュース @YahooNewsTopics 【総務そうむしょう 住民じゅうみんひょうLINE請求せいきゅう問題もんだい】 yahoo.jp/7Uh7LT だか総務そうむしょうは、東京とうきょう渋谷しぶやはじめた無料むりょう通信つうしんアプリ「LINE」で住民じゅうみんひょううつしの交付こうふ請求せいきゅうができるサービスについて、改善かいぜんうながかんがえをしめした。高市たかいち総務そうむしょうは「セキュリティーなどの観点かんてんから問題もんだいがある」。 Masanori Kusunoki / くすのき 正憲まさのり @masanork 不思議ふしぎ主張しゅちょう。そんなこと法律ほうりつかれてたっけ→“オンライン請求せいきゅう必要ひつよう電子でんし署名しょめいもちいていないため、「画像がぞうかいざんやなりすましの防止ぼうしといったセキュリティーの観点かんてんや、法律ほうりつじょう観点かんてんから問題もんだいがある」と指摘してき” / “LINEで住民じゅうみんひょう問題もんだいある」 高市たかいち総務そうむしょう渋谷しぶやあらため…” htn.to/3UQJWxK6wn 弁護士べんごし 吉峯よしみね耕平こうへい @kyoshimine @masanork 住民じゅうみん基本きほん台帳だいちょうほう12じょうって、書面しょめんでの請求せいきゅうとは

                                                    eKYCは当人認証ではなく身元確認 渋谷区の電子申請で乱用 他へ拡大のおそれ

                                                  • 他人たにんのメアドを会員かいいん登録とうろく使つかうな

                                                    まただれかがわたしのメアドを勝手かって使つかいやがった。 17ねんほど使つかっているGmailのメアド。ランダムではないアルファベット6文字もじ+gmail.comなんていまどきのこってるわけいだろうが。 どこぞのしょくさがしサイトの会員かいいん登録とうろくわたしのメアドが使つかわれたらしく、まったくらないひと名前なまえでの登録とうろく完了かんりょう通知つうちのメールがとどいた。 そく運営うんえい連絡れんらくり、メアドの削除さくじょ登録とうろくしゃへの注意ちゅうい依頼いらいした。 運営うんえいもメアド入力にゅうりょくしただけで登録とうろく完了かんりょうするなよ、ちゃんと登録とうろくしゃ使用しようちゅうのメアドかどうか確認かくにんしろ。入力にゅうりょくしたメアドにURLおくってアクセスさせるやつとかで。 そもそも、どうして自分じぶん管理かんりしているものではないメアドをどこかの会員かいいん登録とうろく使つかおうなんておもうのだろう? 自分じぶん普段ふだん使つかっているメアドをそのサイトにおしえたくないから、適当てきとうなアドレスをれているのか? 友人ゆうじん知人ちじん対応たいおうのメアドと仕事しごとようのメアドと銀行ぎんこうやショッピング対応たいおうのメアド等々とうとう使つかけとか、とい

                                                      他人のメアドを会員登録に使うな

                                                    • グーグルの認証にんしょうアプリ「Authenticator」、ワンタイムパスワードがぬすまれるおそれ

                                                      サイバーセキュリティ企業きぎょうのThreatFabricは2がつ、「Google Authenticator」アプリで生成せいせいされた2要素ようそ認証にんしょう(2FA)コードをぬす機能きのうそなえる「Android」マルウェアをはじめて発見はっけんした。 このマルウェアは以前いぜん発見はっけんされていた「Cerberus」の亜種あしゅ。これまで2FAのワンタイムパスワード(OTP)を窃取せっしゅする機能きのうそなえていなかった。 Cerberusはバンキングがたトロイの木馬もくばとリモートアクセスがたトロイの木馬もくば(RAT)のハイブリッドだ。Androidデバイスが感染かんせんすると、ハッカーはマルウェアのバンキングがたトロイの木馬もくば機能きのう利用りようして、モバイルバンキングアプリの認証にんしょう情報じょうほうぬすす。 Cerberusは、アカウントが2FA(つまりGoogle Authenticatorアプリ)で保護ほごされている場合ばあいに、攻撃こうげきしゃがRAT機能きのうつうじてユーザーのデバイスに手動しゅどう接続せつぞくできるよう設計せっけい

                                                        グーグルの認証アプリ「Authenticator」、ワンタイムパスワードが盗まれるおそれ

                                                      • CircleCIへの不正ふせいアクセスについてまとめてみた - piyolog

                                                        2023ねん1がつ4にち、CircleCIはセキュリティインシデントが発生はっせいしたことを公表こうひょうし、利用りようしゃ注意ちゅういびかけました。また1がつ13にちには侵入しんにゅう経路けいろふく調査ちょうさ結果けっかなどをまとめたインシデントレポートを公表こうひょうしました。ここでは関連かんれんする情報じょうほうをまとめます。 CircleCIより流出りゅうしゅつしたデータから利用りようしゃのサードパーティシステムに影響えいきょう CircleCIが不正ふせいアクセスをけ、同社どうしゃのプラットフォームじょう保存ほぞんされた利用りようしゃのサードパーティシステム(Githubなど)の環境かんきょう変数へんすう、キー、トークンをふく情報じょうほう一部いちぶ流出りゅうしゅつした。不正ふせいアクセスにより情報じょうほう流出りゅうしゅつしたのはクラウドで提供ていきょうされるCircleCIで、オンプレミスがたのCircleCI Serverは影響えいきょうけない。 2023ねん1がつ13にち公表こうひょう時点じてん本件ほんけん影響えいきょうけ、利用りようしゃよりサードパーティシステムへの不正ふせいアクセスがしょうじたと報告ほうこくけたケースは5けん未満みまんただしCircleCIは不正ふせい

                                                          CircleCIへの不正アクセスについてまとめてみた - piyolog

                                                        • Auth.js v5ではじめる本格ほんかく認証にんしょう入門にゅうもん

                                                          Next.js 14 / Auth.js v5 / Prisma / Planet Scale / shadcn/ui / Tailwind CSS をもちいた認証にんしょう認可にんかをハンズオン形式けいしきまなびます。

                                                            Auth.js v5ではじめる本格認証入門

                                                          • IdPとしてSAML認証にんしょう機能きのう自前じまえ実装じっそうした - BASEプロダクトチームブログ

                                                            はじめに みなさんはじめまして。BASEでエンジニアをしております田村たむら ( taiyou )です。 先日せんじつ、BASEではショップオーナーけのコミュニティサイト「BASE Street」にログインするための機能きのうとしてSSOログイン機能きのうをリリースしました。 SSOログインを実現じつげんするための認証にんしょう方式ほうしきはいくつかあるのですが、弊社へいしゃではSAML認証にんしょう方式ほうしきもちいて実現じつげんしました。 そのため、この記事きじではSAML認証にんしょう機構きこうのIdPとしてOSSを使つかわずにSAML認証にんしょう機能きのう実装じっそうする方法ほうほう紹介しょうかいします。 前回ぜんかいのテックブログで、このSSOログイン機能きのうのフロントがわ開発かいはつしたPJメンバーの若菜わかなが「サーバーサイドエンジニアがフロントエンドに挑戦ちょうせんして最高さいこう経験けいけんになったはなし」を執筆しっぴつしたのでこちらもてみてください! SAML認証にんしょう機能きのう提供ていきょうしているOSSには、Keycloakなどがありますが、BASEでは以下いか理由りゆうにより自前じまえ実装じっそうすること

                                                              IdPとしてSAML認証機能を自前実装した - BASEプロダクトチームブログ

                                                            • Googleの「わたしはロボットではありません」を100%突破とっぱするCAPTCHAきAI登場とうじょう。もう人間にんげんとボットを区別くべつできない?(生成せいせいAIクローズアップ) | テクノエッジ TechnoEdge

                                                              2014ねんから先端せんたんテクノロジーの研究けんきゅう論文ろんぶん単位たんい記事きじにして紹介しょうかいしているWebメディアのSeamless(シームレス)を運営うんえいし、執筆しっぴつしています。 1週間しゅうかんになる生成せいせいAI技術ぎじゅつ研究けんきゅうをピックアップして解説かいせつする連載れんさい生成せいせいAIウィークリー」から、とく興味深きょうみぶか技術ぎじゅつ研究けんきゅうにスポットライトをてる生成せいせいAIクローズアップ。 今回こんかいは、「わたしはロボットではありません」でお馴染なじみのGoogleが開発かいはつする「CAPTCHA」(コンピュータと人間にんげん区別くべつするための完全かんぜん自動じどうされた公開こうかいチューリングテスト)を突破とっぱするAIシステムを提案ていあんした論文ろんぶん「Breaking reCAPTCHAv2」に注目ちゅうもくします。 ▲CAPTCHAを突破とっぱするAIシステム CAPTCHAは、ウェブサイトのセキュリティを向上こうじょうさせるためにひろ使用しようされている技術ぎじゅつです。この研究けんきゅうは、そのシステムの効果こうか詳細しょうさい検証けんしょうし、AI技術ぎじゅつもちいてどの程度ていど突破とっぱできるかをあきらかにしま

                                                                Googleの「私はロボットではありません」を100%突破するCAPTCHA解きAI登場。もう人間とボットを区別できない?(生成AIクローズアップ) | テクノエッジ TechnoEdge

                                                              • べつ会社かいしゃになるくらいの抜本ばっぽんてき改革かいかく必要ひつよう」トヨタ豊田とよだ章男あきお会長かいちょうがダイハツの不正ふせい問題もんだい言及げんきゅう - 自動車じどうしゃ情報じょうほう「ベストカー」

                                                                2023ねん12がつ20日はつかひろあきらかになったダイハツの認証にんしょう不正ふせい問題もんだいけ、トヨタ自動車とよたじどうしゃ豊田とよだ章男あきお会長かいちょうがベストカーWebの取材しゅざいおうじた。「絶対ぜったいにあってはならない行為こういふか謝罪しゃざいしたい」とユーザーおよび関係かんけい各所かくしょへのおびをくちにするとともに、ダイハツにかんして「べつ会社かいしゃになるくらいの抜本ばっぽんてき改革かいかく必要ひつようだ」と強調きょうちょうした。以下いか本誌ほんしかたったコメントを紹介しょうかいする。 ぶん/ベストカーWeb編集へんしゅう画像がぞう/ベストカーWeb編集へんしゅうダイハツ工業だいはつこうぎょう画像がぞうギャラリー】今回こんかいダイハツで認証にんしょう検査けんさ不正ふせいつかった車種しゃしゅ一覧いちらんおもなダイハツ車種しゃしゅ(12まい画像がぞうギャラリー ■トヨタにはけてダイハツにはけなかった「アンドン(行燈あんどん)」 冒頭ぼうとうトヨタ自動車とよたじどうしゃ豊田とよだ章男あきお会長かいちょうは、「”安全あんぜん”は自動車じどうしゃにとって一番いちばん重要じゅうよう要素ようそであり、今回こんかい不正ふせいはお客様きゃくさま信頼しんらい裏切うらぎ行為こういであって、だんじてゆるされるものではない。トヨタとしてもおおきな責任せきにんかんじている」とかたった。 いま

                                                                  「別会社になるくらいの抜本的改革が必要」トヨタ豊田章男会長がダイハツの不正問題に言及 - 自動車情報誌「ベストカー」

                                                                • MFA(要素ようそ認証にんしょう)を突破とっぱするフィッシング攻撃こうげき調査ちょうさ | セキュリティ研究けんきゅうセンターブログ

                                                                  はじめに 弊社へいしゃでは、最近さいきんBEC(ビジネスメール詐欺さぎ)のインシデント対応たいおうおこないました。この事案じあん対応たいおうするなかで、マイクロソフトしゃ(*1)やZscalerしゃ(*2)が22ねん7がつ相次あいついで報告ほうこくしたBECにつながるだい規模きぼなフィッシングキャンペーンに該当がいとうしていた可能かのうせいづきました。マイクロソフトによると標的ひょうてきは10,000 以上いじょう組織そしきであるということから、皆様みなさま組織そしきでもキャンペーンの標的ひょうてきとなっている可能かのうせいや、タイトルのとおりMFA(要素ようそ認証にんしょう)を実施じっししていたとしても、不正ふせいにログインされる可能かのうせいもあり、注意ちゅうい喚起かんき意味いみめてキャンペーンにかんする情報じょうほう、および実際じっさい弊社へいしゃでの調査ちょうさについて公開こうかい可能かのう部分ぶぶん記載きさいしています。 *1: https://www.microsoft.com/security/blog/2022/07/12/from-cookie-theft-to-bec-attackers-use-aitm

                                                                    MFA(多要素認証)を突破するフィッシング攻撃の調査 | セキュリティ研究センターブログ

                                                                  • 日本にっぽんでもSIMハイジャック発生はっせい、ついに政治せいじ携帯けいたい電話でんわ番号ばんごうられる事態じたいに - すまほん!!

                                                                    かくサービスで電話でんわ番号ばんごうあてのSMS認証にんしょう当然とうぜんとなった現代げんだい携帯けいたい電話でんわ回線かいせん非常ひじょうたか価値かちっています。 そんな電話でんわ回線かいせんをSIMカードごとうばう「SIMハイジャック(SIMスワップ)」という犯罪はんざい手法しゅほう海外かいがい報告ほうこくされていますが、最近さいきん日本にっぽんでも被害ひがい報告ほうこくをチラホラとくようになっています。 そんなSIMハイジャックのが、なんと日本にっぽん政治せいじにまでおよんでいたことがわかりました。 東京とうきょう都議会とぎかい議員ぎいん風間かざまゆたか報告ほうこくしたところによると、PayPayの不正ふせい利用りようとパスワードリセットで異変いへん気付きづいたとのこと。 スマホで段階だんかい認証にんしょうおこなってもSMSがとどかず、Wi-Fiでしか使つかえず、アンテナマークが解約かいやくしめすマークになっていることが判明はんめい。ソフトバンクショップにんだとのこと。 東京とうきょうではなく名古屋なごやのソフトバンクショップで最新さいしん機種きしゅ購入こうにゅうした形跡けいせきがあり、ソフトバンクショップはそのとき本人ほんにん確認かくにんをマイナンバーカードのIC

                                                                      日本でもSIMハイジャック発生、ついに政治家が携帯電話番号を乗っ取られる事態に - すまほん!!

                                                                    • GitHub、コード提供ていきょうぜんユーザーに2要素ようそ認証にんしょう(2FA)を義務付ぎむづけへ 2023ねんまつまでに

                                                                      同氏どうしによると、現在げんざいGitHubで2FAを使つかっているのはぜんアクティブユーザーのやく16.5%のみ。傘下さんかのnpmにいたっては、わずか6.44%のみという。 npmは2がつ上位じょうい100のライブラリのメンテナに2FAを義務付ぎむづけた。5月まつまでに上位じょうい500に拡大かくだいする計画けいかくだ。 関連かんれん記事きじ 「ロシアをGitHubからはなして」の意見いけん公式こうしき返答へんとう 「わたしたちのビジョンは、すべての開発かいはつしゃのホームになること」 「GitHubからロシアをはなして」──ロシアのウクライナ侵攻しんこうけて、このような件名けんめい投稿とうこうがGitHubじょう掲載けいさいされた。さまざまな物議ぶつぎかもしたが、GitHubは「わたしたちのビジョンは、どこにんでいても、すべての開発かいはつしゃのホームになることだ」と返答へんとうをした。 GitHub傘下さんかのnpm、上位じょうい100のパッケージメンテナは2FA必須ひっすに GitHub傘下さんかのパッケージリポジトリnpmは、上位じょうい100のライブラリのメンテナは2要素ようそ

                                                                        GitHub、コード提供の全ユーザーに2要素認証(2FA)を義務付けへ 2023年末までに

                                                                      • マイクロサービスあいだ通信つうしんにおける認証にんしょう認可にんかおよびアクセス制御せいぎょ

                                                                        はじめに 2023ねん4がつ基盤きばんエンジニアとして Ubie に入社にゅうしゃしました nerocrux です。おもに Ubie の ID 基盤きばん開発かいはつ保守ほしゅ運用うんよう担当たんとうしています。 この記事きじは、2023 Ubie Engineers アドベントカレンダー 5 にち記事きじとなります。 Ubie では、モジュラモノリスを採用さいようしつつ、マイクロサービスアーキテクチャも採用さいようしており、領域りょういきによってサービスをけて、それぞれの担当たんとうチームが開発かいはつ保守ほしゅ運用うんようをしています。 クライアントからひとつのリクエストをったあとに、Ubie のバックエンドではリクエストをったサービスだけがそのリクエストを処理しょりすることもあれば、べつのサービスにディスパッチし、複数ふくすうのサービスがひとつのリクエストを処理しょりして結果けっかかえすこともあります。 マイクロサービスあいだ通信つうしんが Ubie の内部ないぶ発生はっせいしたとしても、かならずしも制限せいげん自由じゆうおこなわれていいわけで

                                                                          マイクロサービス間通信における認証認可およびアクセス制御

                                                                        • GitHubでhttpsのパスワード認証にんしょう廃止はいしされた。Please use a personal access token instead. - Qiita

                                                                          GitHubでhttpsのパスワード認証にんしょう廃止はいしされた。Please use a personal access token instead.GitGitHub $ git push origin branchめい remote: Support for password authentication was removed on August 13, 2021. Please use a personal access token instead. remote: Please see https://github.blog/2020-12-15-token-authentication-requirements-for-git-operations/ for more information. fatal: unable to access 'https://github.com/名前なまえ/リ

                                                                            GitHubでhttpsのパスワード認証が廃止された。Please use a personal access token instead. - Qiita

                                                                          • GitHub Container Registry 入門にゅうもん - 生産せいさんせい向上こうじょうブログ

                                                                            github.blog 9/1 に GitHub Container Registry がパブリックベータとして公開こうかいされました。GitHub が提供ていきょうする Docker レジストリサービスです。 この記事きじでは、GitHub Container Registry についていろいろ調しらべたりうごかしたりした内容ないようをまとめます。 目次もくじ 注意ちゅうい事項じこう 背景はいけい Docker Hub と GitHub Container Registry GitHub Packages と GitHub Container Registry 料金りょうきん organization での GitHub Container Registry の有効ゆうこう ためしてみる パーソナルアクセストークンの作成さくせい イメージの push イメージの権限けんげん変更へんこう 認証にんしょうなしで public イメージの pull イメージの削除さくじょ GitHub Actions から Git

                                                                              GitHub Container Registry 入門 - 生産性向上ブログ

                                                                            • 国交こっこうしょう、そろそろほこおさめないとホンダなんか本社ほんしゃをアメリカにうつします。トヨタだって豊田とよだ章男あきおさん次第しだい

                                                                              国交こっこうしょう、そろそろほこおさめないとホンダなんか本社ほんしゃをアメリカにうつします。トヨタだって豊田とよだ章男あきおさん次第しだい 2024ねん6がつ12にち [最新さいしん情報じょうほう] 2023年度ねんどホンダが1ちょうえん収益しゅうえきげた内訳うちわけると、おおざっぱにってアメリカの新車しんしゃ販売はんばいとアメリカのファイナンス(金融きんゆう)、新興しんこうこくのバイクが3ぶんの1づつである。日本にっぽん収支しゅうしトントン。わたしのような仕事しごとえば、アメリカと東南とうなんアジアのメディアでいた原稿げんこうりょう収益しゅうえき確保かくほし、日本にっぽんでは取材しゅざいネタをさがすことと日本にっぽんけの原稿げんこうきをしているようなものである。 出稼でかせ状態じょうたいですね。当然とうぜんながらアメリカからは「収益しゅうえき大半たいはんはウチなんだから本社ほんしゃ移転いてんしてしい」となるだろうし、タイあたりから「2りん事業じぎょう東南とうなんアジアに本拠地ほんきょちいてしい。優遇ゆうぐうしますよ」。1ちょうえん収益しゅうえきげるホンダがアメリカにじくあしくとえば、アメリカはだい歓迎かんげいしてくれることだろう。東南とうなんアジアだってタイやベトナムベースにすればいい

                                                                                国交省、そろそろ矛を納めないとホンダなんか本社をアメリカに移します。トヨタだって豊田章男さん次第

                                                                              • Twitter、ゼロデイ脆弱ぜいじゃくせい悪用あくようやく540まんアカウントデータろうえいを正式せいしきみとめる

                                                                                べいTwitterは8がつ5にち現地げんち時間じかん)、ゼロデイ脆弱ぜいじゃくせいすで修正しゅうせいみ)が悪用あくようされ、540まん以上いじょうのアカウントと電話でんわ番号ばんごうやメールアドレスの情報じょうほう流出りゅうしゅつしたと発表はっぴょうした。 この脆弱ぜいじゃくせいについては1がつ同社どうしゃのバグ報奨ほうしょうきんプログラムをつうじて報告ほうこくけたという。昨年さくねん6がつのシステム更新こうしんさい発生はっせいしたバグで、報告ほうこくけて修正しゅうせいした時点じてんでは脆弱ぜいじゃくせい悪用あくようされた証拠しょうこはなかったとしている。 だが、べいRestore Privacyの7がつ報道ほうどうで、この脆弱ぜいじゃくせい悪用あくようされ、アカウントリストが販売はんばいされていることをったため、影響えいきょうけたことが確認かくにんできるユーザーには直接ちょくせつ通知つうちした。 この段階だんかい公式こうしきブログで発表はっぴょうするのは、「影響えいきょうけた可能かのうせいのあるすべてのアカウントを確認かくにんすることはできず」、とく匿名とくめいアカウントは国家こっかなどの標的ひょうてきになる可能かのうせいがあるためとしている。 べいBleepingComputerによると、アカウントとひもけられたのは、電話でんわ番号ばんごう

                                                                                  Twitter、ゼロデイ脆弱性悪用の約540万アカウントデータ漏えいを正式に認める

                                                                                • Firestoreセキュリティルールの基礎きそ実践じっせん - セキュアな Firebase活用かつようけたアプローチを理解りかいする - Flatt Security Blog

                                                                                  こんにちは、株式会社かぶしきがいしゃFlatt Security セキュリティエンジニアの梅内うめうち(@Sz4rny)です。 本稿ほんこうでは、Cloud Firestore (以下いか、Firestore) をもちいたセキュアなアプリケーション開発かいはつおこなうためのアプローチについて説明せつめいするとともに、そのアプローチを実現じつげんするセキュリティルールの記述きじゅつれい複数ふくすうげます。 本稿ほんこうむことで、そもそも Firestore とはなにか、どのように Firestore に格納かくのうするデータの構造こうぞう設計せっけい実装じっそうすればセキュアな環境かんきょう実現じつげんしやすいのか、また、Firestore を利用りようするアプリケーションにおいてどのような脆弱ぜいじゃくせいまれやすいのかといったトピックについて理解りかいできるでしょう。 なお、本稿ほんこう以前いぜん投稿とうこうした記事きじ共通きょうつうする部分ぶぶんがあります。理解りかい補強ほきょうするために、こちらの記事きじ適宜てきぎらんください。 flattsecurity.hatenablo

                                                                                    Firestoreセキュリティルールの基礎と実践 - セキュアな Firebase活用に向けたアプローチを理解する - Flatt Security Blog
                                                                                  まえのページ 4 5 6 7 8 9 10 11 12 13 つぎのページ

                                                                                  新着しんちゃく記事きじ

                                                                                  はてなブックマーク

                                                                                  公式こうしきTwitter

                                                                                  はてなのサービス

                                                                                  • App Storeからダウンロード
                                                                                  • Google Playで手に入れよう
                                                                                  Copyright © 2005-2024 Hatena. All Rights Reserved.