1 - 27 件 / 27件
タグ検索の該当結果が少ないため、タイトル検索結果を表示しています。
はじめに こんにちは、株式会社 Flatt Security セキュリティエンジニアのぴざきゃっと (@pizzacat83) です。 認証機構を自作せずに導入できる Firebase Authentication は様々なアプリケーションにて利用されていますが、その特性を十分に理解せずに導入すると、実は不具合や脆弱性が生じることがあります。そこで本稿では Firebase Authentication を利用するうえで、注意しなければ不具合や脆弱性に繋がりうる 7 個の「落とし穴」について解説します。 はじめに IDaaS の利点と欠点 落とし穴 1. 自己サインアップ リスク 対策 落とし穴 2. ユーザーが自身を削除できる 対策 落とし穴 3. 他人のメールアドレスを用いたユーザー登録 リスク リスク 3-1. メールアドレス誤入力によるユーザー乗っ取り リスク 3-2. 他人にメー
はじめに こんにちは、@okazu_dm です。 今回自分がぴざきゃっとさんが2022年4月に書いた以下の記事を更新したため、本記事ではその差分について簡単にまとめました。 Firebase Authentication利用上の注意点に関して生じた差分とは、すなわち「この2年強の間にどのような仕様変更があったか」と同義だと言えます。IDaaSに限らず認証のセキュリティに興味のある方には参考になるコンテンツだと思います。 更新した記事につきましては、以下をご覧ください。 差分について Firebase Authenticationの落とし穴と、その対策を7種類紹介する、というのがオリジナルの記事の概要でしたが、2年ほどの時間の中で対策については大きく進歩したものが4点ありました(残念ながら落とし穴が無くなった、とまでは言えませんが)。 今回記事の中で更新したのは以下4点です。 落とし穴 1.
https://twitter.com/kuwahara_jsri のやってる朝活Twitterスペースで以下の記事を知りました。 もちろんこういったリスクを列挙、検討するのは重要なことなのですが、 Firebase Authentication関係ない話では あれ、仕様に関して勘違いしてる? というのがいくつかあったので、再整理していきます。リスクは列挙することには業務上あまり意味はなく、評価され、リスクを受け入れるか外すかを判断するところが重要なので。 IDaaSは脆弱性を生み出すか IDaaS を導入することにより、逆に脆弱性が生まれることもあります。(中略) Firebase Authentication は他の IDaaS と比べて設定項目が少ないという特徴があります。 もちろんここに書かれてることは間違いではありません。ただ、少し実装にフォーカスが寄りすぎていると思っています。
「Firebase Authenticationなら認証も簡単」 そう考えてきた時期が俺にもありました。 僕は認証の処理を書くのが嫌いで、できれば避けて生きていきたいと考えております。 理由は主に以下になります。 - アプリケーションの本質的な価値を提供するところではない - にも関わらず手が抜けない - 登場人物が多く難しくなりがち しかし、現実は甘くなく意外とみなさんこだわりがあったりするもので、それにすべて応えると大変なことになります。 例えば... - SNS認証だけではなくメールアドレスとパスワードでの認証もサポートして欲しい - SNS認証だったとしても連絡がつくメールアドレスは確保したい などなど... SNS認証でアカウントを作った人がパスワードを忘れた方はこちらを押したらどうなる? 不安で夜も眠れません。 そんなあたなに本書は以下の内容について記載します。 - Firebase
Cloudflare Workers では KV だったり Durable Objects や R2 などといった外部ストレージへアクセスをして何かしら操作するようなプログラムを動かすことができます。しかし、誰でもその操作ができてしまうとセキュリティ面や使用料の面で問題が発生します。 interface Env { ANYBUCKET: R2Bucket } // 誰でもファイルアップロードできちゃう Worker :pien: export default { async fetch(request: Request, env: Env) { const formdata = await request.formData() const imagedata = formdata.get("imagedata") if (imagedata === null) { throw new Er
こんにちは。 セキュリティエンジニアの@okazu-dm です。 この記事は、Firebase Authenticationに2022年7月ごろに追加されたblocking functions という機能についての紹介です。 詳細は後述しますが、blocking functionsはFirebase Authenticationの登録、サインイン処理を拡張するための機能で、この記事では、blocking functionsの概要やリリースされた経緯を紹介し、実際のユースケースも一部サンプルコードと共に例示します。 また、Flatt SecurityではFirebaseで構築されたサーバーレスなアプリケーションへの効果的な脆弱性診断メニューを提供しています。 ご興味のある方はぜひ事例インタビューをご覧ください。 blocking functionsについての概要 blocking funct
最近私は Firebase Authentication を利用したWebアプリケーションを開発しています。Pull Requestごとのプレビュー環境を用意しようとした際に表題の「承認済みドメイン」をどうするかがネックになり色々と調べて最終的にGitHub Actionsで対応したので、そのときわかったことなどをこちらの記事に書きます。 承認済みドメイン (Authorized Domain) とは 今回の困りごと 世間の様子 作戦 実装 認証周り APIを叩く jq 技を使う GitHub Actions 完成系のGitHub Actions 承認済みドメイン (Authorized Domain) とは Firebase Authenticationを利用すると、「メール・パスワード」「Google認証」「Twitter認証」などなど色々な方式でのアカウント登録周りの認証を実現できま
こちらはエムスリー Advent Calendar 2024 8日目の記事です。 AI・機械学習チーム(以下、AIチーム)の中村伊吹(@inakam)がお送りします。 社内横断的に機械学習周りをなんでもやるをモットーにするAIチームですが、現在私はクライアント向けに認証機能が組み込まれたプロダクトを開発しています。 認証要件は次のようになっており、これをFirebase Authenticationで実現する方法をこの記事では解説します。 なお、Firebaseの導入についてはこの記事の範囲外とします。*1 メールリンクを用いてパスワードレスに認証する セッション情報をCookieに保持する セッションは半永続的に維持する つまり一定期間内にアクセスがあれば、セッション時間を延長したい またコード例として、フロントエンドはReact(Firebase SDK)、サーバーサイドはGo言語(F
みなさん2022年いかがお過ごしですか。macopyです。 この記事はPerl Advent Calendar 2022の9日目です。 追記: Firebase Advent Calendar 2022の9日目も空いていたので入れておきました。 今回はFirebase Authenticationを使っていたら、何もしていないのにログインできなくなったと言われて一心不乱で直した話をします。 Firebase Authenticationとは Firebase Authentication(以下Firebase Auth)とは、Googleのアプリケーション開発プラットフォームであるところのFirebaseの中にある、認証サービスです。 競合サービスとしてはAuth0で、つまりIDaaSとして使えます。専用品のAuth0よりは機能は少ないですが、複数のIdPを組み合わせてユーザの認証管理をし
「Firebase Authenticationなら認証も簡単」 そう考えてきた時期が俺にもありました。 僕は認証の処理を書くのが嫌いで、できれば避けて生きていきたいと考えております。 理由は主に以下になります。 - アプリケーションの本質的な価値を提供するところではない - にも関わらず手が抜けない - 登場人物が多く難しくなりがち しかし、現実は甘くなく意外とみなさんこだわりがあったりするもので、それにすべて応えると大変なことになります。 例えば... - SNS認証だけではなくメールアドレスとパスワードでの認証もサポートして欲しい - SNS認証だったとしても連絡がつくメールアドレスは確保したい などなど... SNS認証でアカウントを作った人がパスワードを忘れた方はこちらを押したらどうなる? 不安で夜も眠れません。 そんなあたなに本書は以下の内容について記載します。 - Firebase
Reactプロジェクトの作成 macOS上でReactプロジェクトを作成するためにNode.jsのインストールが必要となります。Node.jsインストールを行ってからReactプロジェクトの作成を行ってください。 npx create-react-appコマンドを利用してReactプロジェクトを作成します。コマンドの後ろにはプロジェクト名を指定します。プロジェクト名には任意の名前をつけてください。ここではreact-fierebase-authとしています。 % npx create-react-app react-firebase-auth Firebaseの初期設定 FirebaseのAuthenticationの機能を利用するためにはFirebaseでユーザアカウント登録を行う必要があります。もしアカウントを持っていない場合は、Firabaseのページでユーザ登録を行なってください。
Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article?
Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article?
はじめに NextAuth.js は Next.js のために作られた OSS の認証ライブラリです。 このライブラリは主に OAuth もしくは Email で認証したユーザーの情報やセッションを連携したデータベースで自動管理できるのが売りです。他の認証システムで既に認証済みのユーザーを管理する方法もありはするのですが、OAuth や Email 認証に比べるとあまり分かりやすいサンプルコードがありません。防備録も兼ねて、ここで知見を共有したいと思います。 なお、NextAuth ではログイン中のユーザーの情報は firebase.auth.User を React Context で保持するようなことはできず、あくまでユーザー ID など JSON にシリアライズして(JWT のペイロードに含めて)管理できるものだけが対象となります。この記事では Firebase Authentica
本記事は次の技術を利用して、メールアドレスによる認証アプリをデプロイ(公開)するまでの流れをまとめたものである。 Next.js Firebase Vercel(本記事で Vercel と連携する Git クライアントは GitHub です。自身の環境で適宜、読み替えてください。) 実際のサンプル。 Next.js が用意してくれている examples の with-firebase-authentication を利用し認証アプリをデプロイするまでを説明する。この雛形を使うため内容量としては Firebase : Vercel : Next.js = 7 : 2 : 1 くらいの比率になる。サービスやフレームワークに全依存すればだいたいコピペとクリックでいけるぞ! 前提条件 基本的な Git の操作ができること Firebase や Vercel アカウントを持っていること 本記事では
業務の方で認証基盤のリプレイスを行っていて、その際に行ったサービス選定のメモです。 自身が身を置いている会社のサービスでの認証基盤は、パスワードをDBで管理している状態で危殆化リスクがあったり、強固な認証(MFAなど)を入れづらい状態にありました。 今では様々なプロダクトが、認証の処理は他のサービスに任せる傾向にあると認識しております。そもそもセキュリティの分野は奥が深い(自身もほとんど理解できていない)ですし、プロダクトの成長にフォーカスしたいのに、セキュリティの分野に時間を割くのは悪手でしょう。 自社のプロダクトも例にもれず、プロダクトの開発自体にフォーカスするために認証サービスを導入しようという運びになりました。 サービス候補選び 調べてみると想像より多くのサービスが存在することがわかりました。 Amazon Cognito AWS Amplify Authentication Au
Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article?
エイチームグループの子会社のエイチームライフデザインでフロントエンドエンジニアをしてます。小堀輝(@anneau)です。 今回はNext.jsとFirebase Authenticationについてお話ししようと思います。 はじめに ユーザーが複数端末を持つことが多い現代において、私たちが開発するWebアプリケーションでは、異なるデバイスで同じ体験をユーザーに提供するために、ユーザーIDを識別し、データを保存することはとても重要かと思います。 もちろん、独自にユーザーを識別するシステムを開発することは可能ですが、複雑なロジックになってしまい、メンテナンスコストが嵩んだり、不具合につながってしまう可能性があります。 そこで、議論のテーブルに上がってくるのが認証基盤を提供してくれるSaaS。 今回は、その中でもメジャーなFirebaseについて、実装する上で直面した課題をあげ、あらかじめ考えて
エクストーンの豊田です。先日、エクストーン社内で技術勉強会があり、そちらでFirebase Authenticationを利用してWebサービスを設計・運用した際に困った話をさせていただいたので、こちらでも紹介させていただきたいと思います。 Firebase Authentication FirebaseはGoogleが提供しているモバイル・Webアプリケーション向けのプラットフォームで、認証やストレージ、関数実行等の機能を提供します。今回はFirebaseが提供する認証サービスであるAuthenticationについてお話しします。 Firebase Authenticationはユーザーの管理や認証を行うサービスで、メールアドレス・パスワードによる認証の他に、同じユーザーに対してGoogleアカウントやApple IDを利用した認証を紐づける等が可能です。ユーザーの管理自体をFireb
はじめに AWSには認証・認可のサービスとしてAmazon Cognitoというものが存在します。ややこしいのですが、認証のためのコンポーネントがAmazon Cognito user pools(以下、user pool)で認可のためのコンポーネントがAmazon Cognito identity pools (以下、identity pool)です。ちなみにidentity poolのほうはfederated identityと表記されている場合もあります。 そのうち、今回はidentity poolの話です。 identity poolは認証機構は持たず、大雑把にいうと任意のログインプロバイダで認証されたユーザに対してIAMロールが設定されたidを紐付けた上でテンポラリのAWSクレデンシャルを提供するといったサービスです。 この任意のログインプロバイダとしてFacebook、Twit
はじめに Recoil のAtom Effectsという機能を使えば Firebase Authentication の認証状態をシンプルに管理することができます。 この記事ではまずAtom Effectsについて解説してから、後編で具体的な実装を説明します。 この記事【前編】 Atom Effects とは? Atom Effects の詳細 Atom Effects の使用例 Atom Effects 使用における注意点 次回の記事【後編】 Firebase Authentication との使用例 Recoil とは?atom とは? Recoil は React の状態管理ライブラリです。 atomは Recoil の中で状態を保持する単位です。 この記事では Recoil 自体の解説はしません。 Atom Effects とは? atomにとっての Atom Effects は
はじめに 2024年4月に株式会社プレックスにエンジニアとして新卒入社した佐藤祐飛と申します。現在はサクミルという建設業界向けのSaaSプロダクト開発を行っています。 sakumiru.jp Firebase Authentication(以下Firebaseと略します)を利用した認証において、ユーザー作成時に分散トランザクションによってデータの整合性を担保する実装をRuby on Railsで行ったのでその知見について共有したいと思います。 firebase.google.com はじめに 背景 サクミルにおけるユーザー認証について ユーザー作成方法について 課題 ユーザーデータの不整合が生じる可能性がある Firebaseのコミット制御やロールバックができない サーガパターンによる整合性担保 サーガパターンとは サクミル管理画面 APIの実装 最後に 背景 サクミルにおけるユーザー認証
DMM.com Advent Calendar 2018 12日目の記事です。 GitHub : https://github.com/karayok/nuxt-firestore-sample-app 内容に間違い等あれば、 Pull Request / 編集リクエスト等いただけると幸いです。 よろしくお願い致します。 はじめに 本記事では簡単なブログライクなアプリケーションを例に、 Firestore + Firebase Authentication を使う際の基礎部分を説明します。 特徴 ログインユーザのみが記事を作成できる 記事の作成者のみが記事の削除・更新を行える ログイン・非ログイン問わず、すべてのユーザはすべての記事を閲覧できる Firestore について Cloud Firestore は GCP(Google Cloud Platform)のサービスの1つで、クライア
Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article?
RustとFirebase Authenticationでユーザー認証を導入2020年08月23日-2020年08月26日 Rust で書かれた web API サーバーに Firebase Authentication を導入する機会があったので、導入手順の備忘録をまとめます。 ユーザー認証が手軽に導入できる Firebase Authentication には公式から提供されている SDK が存在しますが、残念ながら 2020 年 8 月現在ではサポート対象言語に Rust は含まれていません。そこで JWT ライブラリを使って認証トークンの生成・検証を行い、API サーバーに認証機能を導入します。 カスタム認証システムFirebase Authentication には、Instagram や Spotify などの外部サービスから提供される認証を使ったカスタム認証システムがあります。今
概要 すでにたくさん記事があるから書く必要はないが... 最近やったことをすぐに忘れちゃうおじさんなので 後で振り返るように全部書き出しておく! 直近の案件では認証にFirebase Authenticationを使ってたけど ローカル環境でも実際のサービスにアクセスして認証行っててもったいない感が強かったので ローカル開発用のdocker-compose環境にemulatorを導入してみた Firebase Authentiationのservice作成 docker-composeの書きっぷり こんな感じ。firebase serviceの方みてくだされ version: '3.8' services: nextjs: build: context: ./frontend dockerfile: ./docker/Dockerfile container_name: frontend
概要 Java や Node などは Firebase Admin SDK を使用することで、Firebase Authentication の操作をサーバーサイドで行うことが出来ますが、ruby には gem が用意されていません。 そのため、google-apis のライブラリを利用する必要があります。 その使い方のメモです。 利用可能なAPI github のレポジトリ の generated/google-apis-identitytoolkit_v3 にライブラリのソースコードが配置してあります。(v3 部分が変わっているかもしれません) https://github.com/googleapis/google-api-ruby-client/tree/master/generated/google-apis-identitytoolkit_v3 [lib/google/apis
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く