「トークン」を含む日記 RSS

はてなキーワード: トークンとは

2019-03-09

anond:20190309085233

からVISAMasterCard採用している最新の非接触決済では決済情報トークナイゼーションでトークン化することにより店側に情報が渡らないようになってるよ

QR決済も似たような仕組みだね

2019-02-14

マイナンバーカードはどこで間違ったのか

詳しくはないんだが

カード情報は重大で他人に見せるものではない

・本人認証できるから便利

という矛盾した感じになってない?

 

まりこれは認証の話だよね

マイナンバー権限が強力すぎるってことだろ?

マイナンバーアクセスできる一時アクセストークンを発行すればいいんじゃないのか

1個の番号で一元管理しようとするからダメなわけで

2019-01-30

anond:20190130232951

あなたのターンのアップキープ・ステップの開始時に、速攻を持つ赤であり白である1/1のパパ(Papa)・クリーチャートークンを1体生成する。次の終了ステップの開始時に、それらのトークン追放する。

anond:20190130030740

平文のパスワード漏れてないからやね。

アクセストークンハッシュ化したパスワードログイン検証用)が漏れただけで、

設定したパスワードがそのまま漏れたわけではない。

まあヤバいことにはかわりはない

2019-01-29

anond:20190129122704

流出したのはパスワードじゃなくてアクセストークンだけどな。

アクセストークンだけだと、それに紐づくコンシューマーキーがないと使えないはずなんだけど、そこはどうなんだろう?

セッションハイジャックができるようなら話は変わってくるが。

2019-01-28

空っぽにして書いたら怪文書になってしまった

大判事ドビン、3マナトークン3枚+α+除去や攻撃避雷針になると考えれば悪くないよな

腐っても3マナの非PWデッキPWやぞ

タンなら流石に居場所が……無くても顔がいい

顔がいいしスタイルもいい

本当のことを言えば300円PWになってほしい

たくさん集めたい

たくさん集めて箱に詰めて背徳感と征服感を味わいたい

でも彼を使ってあげたい

カラデシュドビンより何もしない置物である彼を使ってあげたい

から私はしつこい請願者デッキのサイドボードにそっとドビンを挿したのです

本当はわかってる、彼の就職先はそこじゃないってこと

順風とかもっと、ふさわしい場所があるってこと

でもごめんなさい、私は請願者も好きなの

ジョニーおもちゃとか散々言われてる請願者が好きなの

英語日本語簡体字繁体字ロシア語スペイン語ドイツ語………とにかく色々な言語でしつこく相手ライブラリーを削りたいの

除去対策に光輝の運命を入れたら意外と殴れそうな気がしてきたからサイドでもっと強化できないか考えてるの

おかしいでしょ、墓地対策すればいい話なのに

でもこれはドビンにサイドに入ってほしくて無意識に考えが誘導されたのだと思う

そう、だってこれは運命から

14パック剥いて2枚(うち一枚簡体字)も私のもとに来てくれた

これは光輝の運命〜〜人間指定〜〜

2018-11-30

「会話」というボードゲームの「共感する女」ルールについて

このルールでは、場のテーマに合うカードを、手番プレイヤーが手札にある限り続けて出すことができます

手番を持っていないプレイヤーは、承認トークンを手番プレイヤーに渡すことで手番を握ることができます

承認トークンを渡さずに手番を奪いとってしまった場合ペナルティチップを場からとることになります

このペナルティチップは、ゲーム終了時において3つでマイナス10点になるので、できる限りもらわないようにしましょう。

2018-11-14

接続環境が変化した、不審なアクセスを検知したためログインを制限

やってみたがテザリングだとめっちゃ頻繁にパスワード変更要求されるな

パスワード変更リンクが届くGMail開きっぱなしだ

PASSWORDPASSWORD+2→PASSWORDPASSWORD+2→ で乗り切ってるが

アクセストークンとか保存しろよと思うが、満喫とかで不特定人がログインするような環境も想定してるんだろうな

スマホアプリで表示するワンタイムパスワードとどっちが面倒だろうか…

2018-11-05

【Dead By Daylight】パーク・アドオン運用研究

11/04実施

ランク帯は紫~赤

ドクター

破滅、バベチリ苦悶ナスコ+カーターメモ「秩序」&「鎮静」

ドクター心音範囲内にいる鯖を発狂させて索敵、遅延、妨害を行うキラー

その心音範囲を広げてさら発狂の進行速度を上げてみたらどうなるか。

パーク自体鉄板金策ドクター。索敵補助にナスコを採用して挑戦。


結論

強い。

現時点の調整で、鯖は回復速度が遅くなりセルフケア不採用する人が多くなった。

となると負傷自体を避けたいと考えからか、都会の逃走術や鋼の意思などで隠密重視をよく見る。

しかしこれがドクターからするとカモ。電撃が純粋に板窓妨害に使える。

しゃがみ状態なら心音範囲から逃げることはまずできないし、秩序の効果発狂が進む進む。

Lv3になれば発狂から復帰しないといけないが、ナスコが刺さって狙える狙える。

爆音編成だからかもしれないが、意外とナス圏内でも狂気回復をする鯖は多かった。

ただ、秩序も鎮静もコモンアンコモンベリーレアで低いレア度だと効果が薄く、高い効果だとBWから出にくいデメリットがある。

バベチリで稼いでBW回して…結果的にはプラマイゼロになりそうな。


マイケルマイヤー

破滅、バベチリ、野蛮、蜘蛛+ジュディスの日記&鏡のかけら

いわゆる蜘蛛マイケル

蜘蛛トークンを貯めつつ凝視を稼ぎ、早くなった足で他の鯖を見つけ、Lv3でザクザク戦法。

鏡のかけらは代わりに思い出で凝視加速したり、ウサギ心音狭めたり、墓石で立ちメメしたり、リボンや髪束でLv3持続を延ばしたり、なんでもイケる。

高速Lv3マイケルとか恐ろしいことこの上ないはず。


結論

極端。

蜘蛛マイケルの立ち回りがだいぶ特殊で、Lv2になるのとトークン貯めの初動がどれだけ早いか勝負になってくる。

序盤で破滅を壊されるとほぼ間違いなくハッチ戦、もしくは通電する。

執念者が徹底して隠密したり、マップ農場を引くと何もできずに終わったりする。

蜘蛛トークンをためてLv3になるとチェイスが数秒で終わるので、Lv3になってからの爆発力はすさまじい。

野蛮があると板も意味をなさないし、Lv3の射程が長いので窓越えをスムーズに行けなかったらほぼ間違いなくダウンする。

スポーン地点やマップ運が絡んでくるが、上位ランクでも十分通用すると思うから、もう少し立ち回りを練習してこなせるようになりたい。

蜘蛛効率よく回せればアドオンもいらなくなるかも。

2018-10-30

IEO(1satoshi上場):仮想通貨資産短期間で数倍にできる新しい投資

2017年ICO

2017年は「ICOの年」といっても過言ではないぐらい、仮想通貨ICOが盛り上がった。

私も海外ICOプロジェクトを探し回り、ホワイトペーパーを読み漁り(英語が読めてよかった)、様々なプロジェクト投資してきた。

「とりあえずICOに突っ込んでおけば値上がる」と言われた、まさにバブルさながらな様子が懐かしい。

2018年・・・

気がつけば2018年ももう間もなく終了。

昨年の今頃はICO真っ盛りで、仮想通貨相場も吹き上げる手前の「噴火前」の状態

さて、2018年仮想通貨はいかがだっただろうか?

コインチェック流出に始まり政府規制が始まり相場全体は年間を通じて冷え込んでしまいました。ICOも年明け早々に影に潜んでしまった。

しかし、日本においては相場はともかく、仮想通貨またまた隆盛していたといっても間違いない。

今年はまさしく「IEOの年」だった。

IEOで、短期間のうちに莫大な利益を稼いだトレーダーもたくさん生まれたそうだ。

IEOとは?

IEOはInitial Exchange Offering(イニシャルエクスチェンジオファーリング)の省略として広く使われ、ICOと対をなす言葉

ICOは発行主体が直接/間接問わず、対価となる仮想通貨(主にBTCやETH)と交換で、自社トークン販売するのに対し、IEOは「海外取引所上場して間接的にトークン販売する」ことを指す。

国内では2月に発足したNANJCOIN(なんJコイン)が先駆けとなり、3月16日に草コイン巣窟と言われていた「CoinExchange」に上場

当時の相場で2億円程度のBTCを調達したと言われており、半年以上経った今でも国内で最も著名な仮想通貨ひとつだ。

群雄割拠国産IEOプロジェクトたち

NANJCOINから始まったIEOは、様々なプロジェクトに伝染し、多くのプロジェクト海外取引所上場

VIPSTARCOIN、ExculiburCoin、CryptoHarborExchange、SKILLCOIN、ICOLCOIN、YUKIなど、挙げ始めたらきりがないぐらい。

覚えている限りでは、毎月2つ以上の国産プロジェクト取引所上場していたように感じる。

なぜここまで盛り上がったのか?

短いながらも仮想通貨投資に身を投じてきましたが、「IEOの盛り上がり」と、それと天秤にかかるような「ICOの衰退」は、とても顕著であり、単純に「なぜ?」と感じた。

国産コインで一番多く資金調達したのは、VIPSTARCOINの約9億円。上場ときに観戦していたが、上場先のCoinExchangeには一時20億円以上の買いが入るという、目を疑うような光景だった。ところが、投資家の立場で冷静に考えると、そのワケは非常に単純明快

・最大のリスク資産喪失)がない

ICOにおける最大のリスクは、「通貨上場前にプロジェクト頓挫する」また「プロジェクト自体詐欺(=上場するつもりがない)」など、投資した資産ゼロになることだ。その点、IEOは「すでに上場取引されることが約束されている」という大きなメリットがあり、これが参入障壁を限りなくゼロにしている。

トークン価格の下がり幅がない

ほとんどのプロジェクトが、トークンを1satoshiから販売した。1satoshiはビットコインの最小単位であり、ビットコインとのペアでは1satoshi以下での注文が出せないため「1satoshi以下に価格が下がらない」という利点がある。

もちろん、「1satoshi売り張り付き(=買いがゼロ)」や「ビットコイン以外の通貨ペアになることで1satoshi以下の価格になる」などのリスクが内在するが、それでも高価格からスタートする多くのICOよりは下がり幅も下がる可能性も少ない、という特長がある。

簡単資産が増える

前述の通り、1satoshiで購入できた人が、仮に2satoshiで売った場合資産簡単に2倍。一番最初にIEOを行ったNANJCOINは、上場後まもなく7~8satoshi(7〜8倍)まで上昇し、そこからは蓋が外れたように最高値である65satoshi(65倍!)まで上り詰めた。もし10万円購入していて、65satoshiで売ったとしたら、650万円相当。このマネーゲーム感が、新興仮想通貨投資家の「タガ」を外してしまったのかもしれない。

コミュニティ形成がされている

一番最初ICO投資する際に、手順や金額など不安なことだらけだった。多くの国産コイン独自コミュニティ形成し、ユーザー満足度を高める努力をしている。疑問があればすぐに運営日本語で質問できるし、わからないことは運営の方や詳しい方が手取り足取り教えてくれる。そしてなにより参入障壁を下げてくれるのは、コミュニティ内で話すことで「同じように買おうとしている人がたくさんいる、というのがわかる」こと。

その他の細かなメリット

取引所で購入するのでICOに付き物だった「ガス戦争」がない

上場先の取引所を利用する海外ユーザーにも訴求できる

・大概のプロジェクト日本法人を立ち上げている

デメリットはあるのか?

ICO比較して、IEOのデメリットほとんどない、といっても過言ではない。

「発行主体がきちんとプロジェクトを進めるかどうか」という懸念はIEOにもICOにも存在し、むしろコミュニケーションやすいIEOプロジェクトのほうが信頼感があるように感じる。

リスクがあるとすれば「取引所上場の取り決め(日付や時間)を守ってくれない」ということ。過去ExculiburCoin(えくすこ)は「CoinExchange側に上場約束の日から3日間も遅らされた」という話もある。

ただし、繰り返しになるが、「運営との距離が近く」、「上場し、取引市場が用意されることが確定している」というのは、本当に投資家に優しい仕組みだ。

今後は規制などが入る可能性もあるが、数多の国産コインがIEOによる資金調達を行い、金融庁から罰則を受けたという話は今のところ聞こえてこない。今後もIEOは、仮想通貨による資金調達方法ひとつとして、広く活用されていくと考えている。

今後IEOを控えている国産プロジェクト

これからIEOを行おうとしている国産仮想通貨プロジェクトがいくつか紹介したい。

二次元コイン

2018年8月から発足しているプロジェクトのようで、二次元クリエイター漫画イラストバーチャルユーチューバーなど)を支援することを目的にした国産仮想通貨プロジェクト版権物に付き物の「違法アップロード」や「海賊版」への対策としてブロックチェーンの利用を考えているようだ。上場前にプレセールも行われているそうで、上場先はまだ決定していない。

会社設立情報も公開され実名も明かしているので、本気度は伺える。

公式サイトhttps://nizigencoin.com/

公式Discordhttps://discord.gg/kp2ydEN

公式Twitter:https://twitter.com/2dcoin

NinjaCoin

すでに事業を行っている「株式会社セームページ」と「手ぶら観光協会」、双方の代表者が立ち上げた仮想通貨プロジェクト2017年10月にプロジェクト発足し、700イーサリアム(1500万ぐらい)を調達しているのだとか。ブロックチェーン仮想通貨の利点を生かして、旅行観光市場分散型を導入しようとしているようだ。

公式Discord10000人以上参加しており、Airdropや大量のトークンが当たるキャンペーンも様々やっているみたい。11月3日にMercatoxへ上場しIEOを行うことが決定しているし、運営実態のある会社実名も明かしているというのは安心感がある。

公式サイトhttps://tebura.ninja/ico/?lang=ja

公式Discordhttps://discord.gg/kp2ydEN

公式Twitter:https://twitter.com/samepage33

SOCCERCOIN

サッカーに特化して、提携業務拡大、決済などを目標としたプロジェクト。大体のプロジェクトは「上場します」だけで、上場先は明言しないが、サッカーコイン上場先をCoinExchange指定宣言している。Discord内ではサッカー情報がいろいろと配信され、サッカー好きには面白いかもしれない。

しかし、会社情報運営者の名前などはわからないし、世界的に見たときロナウジーニョが「ロナウジーニョサッカーコイン」という仮想通貨プロジェクトを立ち上げている(名前だけの可能性もあります)ので、ネームバリュー的にも資金力としても劣ってしま可能性が高い。

公式サイト不明

公式Discordhttps://discord.gg/7WSfuvg

公式Twitter:https://twitter.com/soccer_coin

Dead By Daylightパーク構成メモ

個人的メモ

ドクター

破滅バベチリ肉屋タナト+懲罰電極

治療速度低下により、発電機妨害よりも治療遅延を考えた構成

肉屋セルフケアに40秒、タナトが乗ると42秒、狂気回復時間を含めて53秒くらい

吊った後に治療を優先すると発狂で居場所が通知され、離脱を優先すると治療時間がかかるという編成

索敵と考えてアドオンと鎮静秩序にするのもありか?


破滅バベチリ苦悶不安

ハッキリいってこの構成はもう弱いと思う

どれだけ心音広げてもマップ全体はカバーできない(ギデオン除く)

チェイスで離れれば不安苦悶関係なし

オバチャをつけていったとしても人数減らせなければ泥沼になる

何故か沼地で偏りやすイメージ(泥沼だけに)


バベチリボア狩の興奮看護師+インタビューテープ高刺激電極

ネタ構成

ボアに触れたり治療中のところを電撃でスナイプする方法

ドクター妨害遅延に強いけど結局歩いて殴るしかないのでデボアで補強

電撃は直線で35m~40mくらいまで届くからよっぽど広くない限り間に合う

ただネタ構成に過ぎないし、チェイスで電撃が使いにくくなるのが欠点

あと遅延が何もないか発電機ガンガン回る


アドオン運用考察

ドクターアドオンは基本メリットしかいからなんでもいいけれど

懲罰電極

とにかくLv3に早くする構成

電極はコモンレアが良いと思う

巷じゃレア電極使えない、特にいから板グルグル拒否に使えないとか

電撃は広ければ広いほどチェイス以外にも索敵や破壊行動修理行動の拒否に使える

秩序鎮静

苦悶の根源セットだとなお良しな歩いてるだけでLv3構成

潜伏や都会を一切させないスタイル

不安とセットで爆音化や野蛮セットで幻覚(秩序の効果)加速でもいい

欠点チェイス中に心音狭まること

虹キン電極

ゴミアドオンと名高いキングだけど意外と使うと便利

ランダムとはいえ電撃が1,2回なんてことはまず無い

抑制懲罰オーラステインが見えて、服従でデッハしなやかバランス阻止

さらに秩序の幻覚で逃げ場所ミスを誘い隠れても抑制で見えるドクター長生

ただこれ狂気回復したら効果全部リセットなのかは謎

あとドクターからどの効果のってるか分かりにくい

マイケルマイヤー

大人殺人鬼

破滅観虐肉屋ナスコ+ウサギ

心音範囲4mで不意打ち特化

一発攻撃を当てたらなんとかなるから意外と初心者向きかもしれない

Lv2になってしまえば天敵のモロコシや竹藪がメリットになるし、壁エリアはなおさら

観虐の代わりにタナトを入れてより治療意識を高めるのもありかも


破滅バベチリ[野蛮まやかしor怨霊不屈]+思い出思い出

Lv3ザクザク構成

野蛮とまやかしで板グルグル拒否か、怨霊不屈で脳死突撃

マイケルのLv3は射程がめちゃくちゃ長くて板前待機で相打ちを取りやす

思い出髪束にして野蛮の代わりにファイヤーアップもあり


破滅バベチリ蜘蛛怨恨+日記

オブセを利用する構成

日記はオブセ対象者をかなり凝視できるようにするアドオン

オブセ一人の凝視で欠片発動できるくらいになる(はず)

欠片をもっていってオブセで蜘蛛凝視をためて他鯖で爆発とか

通電してもオブセだけは生きて返さないかキラーらしさは満点



ハグ

大幅強化されて強キラーの仲間入りか

破滅天秤肉屋ナス

アドオンは無くてもいいけど距離増加、罠範囲拡大、幻像時間増加がいいか

ミントがあれば一番良い

治療弱体化でウィルメ持ち込みが増えたのでそれを利用

一回吊ったら救助者か被救助者どちらも一撃になるから吊りループを狙う

ただしゃがんで救助されると天秤も効果が無いから悩みどころ

ミントと枷があればもう見捨てるしかなくなる

デモア狩りの興奮天秤肉屋+ミント

↑の構成の超強化版で殺意シマ構成

罠は誤爆防止のためにトーテム位置と吊った位置のみに設置

罠に触れたらワープして攻撃して再設置、治療して触りに来れば遅延になるし放置するなら万々

一度吊ってからが本番

吊る→救助→ワープ→救助者or被救助者を狙う→吊る→ループ

天秤で一撃も可能だし、デボアが溜まれば天秤無くても一撃になる

ワープミスさえしなければ最強クラスのハズ

やったことはない

アドオン運用考察

未検証だけどもしかしたら…?


心臓

罠が作動すると本体心音が消えて、幻像心音が広がるアドオン

肉屋タナトナスコのテンプレ構成でかつ心音が消えたならかなり攻撃やすくなる?

ただ本体心音がどの程度消えるのかが疑問で幻像が消えるまでだとかなりシビアになりそう?

カメの卵で幻像時間を延ばすと心音消失時間も延びるのか?

心臓+枷

幻像が出現せず、罠を踏むとチェイス中に突然ハグ心音が消えるかもしれない

他の罠にワープしたと勘違いして攻撃が出来そう

とするとあらゆる戦法が使えそう?

後で検証してみたい

靴+手

ワープを封じる代わりにチェイス妨害特化

板窓を封じるだけじゃなく、狭い通路を封鎖できるから救助されて離脱するときに閉じ込めれそう?

とすると天秤や肉屋との相性が良さそうか

靴で鈍足化できるけど、手で通行止めにするなら要らない気もする

カメ幻像時間を伸ばしたほうがよさそう?

アマンダ

SAWシリーズ大好きだから上手くなりたい

破滅バベチリ肉屋ナス

キラーでもやるテンプレ構成

アマンダ心音範囲が狭い+背が低い+しゃがめば心音消失があるのでナスコがより刺さりそう

バベチリを天秤にして救助後即治療を狙うのもありかも

アドオンは無くてもいいというかアマンダアドオン使いにくい

破滅肉屋ノックアウトタナト+錆びた部品フェイスマスク

這いずり放置特化

ノックアウトフェイスマスクで鯖の治療をとにかくしにくくする構成

重傷アドオン肉屋と重複するという情報があるのでより遅延になるはず

タナトの代わりにナスコにして治療を阻止させる手も

ただアプデでダウン中に95%まで貯めれるからノックアウト無しでナスコの方がいいかもしれない


破滅リメンバー番人ノーワン+改造タイマー[箱追加or探索時間増加]

通電後に本気出す構成

地道に吊ったりトークン貯めたりして、通電前にオブセを殺せたら準備完了

ゲート近くで待機して開けに来たところを襲い、罠をつけて吊る

リメンバーで開けにくくして、相手も番人で逃がさな

ノーワンでダウンして罠をかけたら通常より30秒早い罠を急いで解除しに走り回る

通電後が忙しすぎるけど、ジグソウのゲームらしいロマン構成


ラッパー

ハグと一緒に強化されて、それなりにまた見かけるようになってきた看板キラー

破滅鉄腕興奮自由+虹色カバン

アドオンはあればいい程度

何とかダウンさせたら無理やり地下まで運ぶ。小屋タイプが一番いい

吊ったら罠を地下周辺に置きまくって救助者を地下に運ぶ構成

虹色の石があれば解除されてもそのうち空くから再設置に戻る必要が無い

カバンがあれば拾っておいての往復が無くなるから便利

自由候補

祭壇 - 地下吊り加速だけどそんな恩恵無さそう

天秤 - 救助して罠意識してもたもたしてるところをザクっとただそんな離れないよなあ

肉屋 - 困ったら肉屋、だけど罠踏めば一撃もくそもない

死恐 - 救助を促す 血塗れのコイルをもっていけば罠解除にもリスクがつく最適解か?

不屈 - DS対策 非オブDSはこの戦法の敵

不安 - 上に同じあんまり効果いか


以上

2018-10-12

ジャパンネット銀行カードトークン

新しいカード型のトークンが届いた

ボタン電池が入ってる様な、いにしえのカード電卓みたいなモノかと思ったら全然違った

薄さがガチカードだわ、一部が厚かったりとかもないし

ノギスで測ったら0.9mmくらいだった、クレカよりは若干厚い程度か

最近技術というのはすげぇな

正直、国内4箇所の内の一か所くらいのカジノを餌にアメリカに譲歩を引き出せるなら

すげーお安いトークンじゃねえか?

年売上9000億試算(ディズニーランドの2倍)だからせいぜい2000億円くらいでいいんだし。

2018-09-29

anond:20180929074243

フェイスブックFacebook)は28日、ハッカーによるアカウント乗っ取り可能にするセキュリティー上の欠陥を発見したと発表した。影響を受けたアカウントは5000万件に上るという。

 発表によると、同社に対するサイバー攻撃により、アカウントへのアクセス可能にする「アクセストークン」と呼ばれるデジタル認証情報流出したことが今週に発覚。同社のガイローゼンGuy Rosen)副社長プロダクトマネジメント担当)はブログ投稿で「攻撃者らがフェイスブックコード脆弱(ぜいじゃく)性を悪用したことは明らかだ」とした

2018-09-22

JWTに関してのお伺い

http://b.hatena.ne.jp/entry/s/co3k.org/blog/why-do-you-use-jwt-for-session

適当コメントを書いたら

スーパーエンジニアに「そういうことではない」

と厳しい叱責を受けたため、無能の見識を書いてみた。

「聞くは一時の恥、聞かぬは一生の恥」のとおり、

せっかくの機会のため、びしばしセキュリティに関する認識の甘さを指摘してほしい所存

expの期限と任意セッションが切れないデメリットに対する私見

作ったシステムではexpは約1時間でやってしまいました(機密保持契約違反を恐れ多少ぼかしております)

私は無能なのでたぶんユーザーから報告を受けて

確認している間に1時間はかかるからいいやと思ってしまっていた

師はきっとJWT生成直後3秒でユーザー

「これは、セッションハイジャックか・・・!?

と気づいて通報

そして師が2秒で

「これは、セッションハイジャックだ!」

と検知してセッション遮断、秒速で一億円の被害が出るところを阻止する前提なのではないかと推測している

これは確かにJWTだと厳しそうだ

そもそもログインできるアプリなら

セッションハイジャック成功直後にパスワードを変更された場合

セッション任意に切れることに意味はないのでは、と思えてきたが、浅はかだろうか

(師はログインを即座に検知してセッションを切れるから問題ないのか)

とにかくアカウントロック機能を作れば上記懸念全てにきれい対応できそうに見えている

「定期的な鍵交換が必要」に関する私見

この理屈だと例えば.envに書くような他のkeyも定期的な交換が必要に見える

これはまずい、自分の今までの見識の甘さを思い知らされた

今使っているフレームワークリファレンスを見たが

keyは初回に設定したのみで、定期的な交換を勧める文が見つからない

私の検索力不足なのかと思ったが、もしかして彼らもこの危険性に気付いていないのではないか

JWTはhash化してつないでいる前提で

hashのkeyを総当たりで破る仮定で書く

私は無能なのでライブラリを用いることにしている

32文字keyが生成された

解読時間は下記を参考に、計算windows10電卓アプリを用いて手動で行った

https://ja.wikipedia.org/wiki/%E7%B7%8F%E5%BD%93%E3%81%9F%E3%82%8A%E6%94%BB%E6%92%83

数字大文字文字で約60の時は10桁で20万年と書いているが

現代の解析技術20万倍は速度が出ると仮定して1年として計算する

果たして、どのくらいの速度で鍵はやぶられると推定されるのか

とりあえず60を10乗した時点で(20文字相当)

6.0466176e+17

日本語に直すと60京4661兆7600億年かかる計算となった

実際にはこれが6.0466176e+17倍されさらに3600倍されつまりどういうことだ

これだけ長くともkeyの交換は必要なのであろうか

そもそも師は何年で交換したら安全と書いていないが、何年なら安全という意見だったのだろうか

「JWTはセッションIDを含めれば安全」に関する私見

から「そういうことではない」と指摘された点である

私の理解ではとかくuser_idのみ必要なら意味がないと思っていたため落ち込んでいる

まず、IDとpassを内蔵するネイティブアプリに対するapiサーバでの実装経験しかないこと

JWTが切れたら都度IDとpassを投げる方向でリフレッシュトークン実装しなかったことを告白しておく

そのためapiサーバ上記前提で用いた場合に考えたことを書く

webアプリのJWT実装経験はないので、そちらの論は差し控えさせていただく

JWT送信→user_id取得

では危険

JWT送信セッション(cookie形式?)送信切り替え→セッションからuser_id取得

だと安全になるのか検討する前提で記載する

とりあえず思いついたのは下記だった

通信途中で傍受されてログイン情報が奪われる危険が上がる
アプリから直接ログイン情報が奪われる危険が上がる

通信途中で傍受される危険に関して

tokenはheaderにbearerで付けユーザーID(あるいはそれに代わる特定可能識別子)が含まれ

おそらく一般構成仮定で書く

https通信するのでパケットキャプチャによる傍受は不可能と思っていた

(http通信するのはJWTとかcookieとか関係なく傍受できるため考慮しない)

0に何をかけても0なので、何回送っても解読されないならJWTを何回送っても問題ない

というかJWTが抜けるなら同様にheaderに付けるcookieでも抜けると思うので

JWTだからといって危険性に差はない、という論拠により安全性は変わらないという個人的結論になった

※余談だが、たまに送る回数が少ない方が安全という

言説を見るのだが、個人的には上記理由で納得できていない

アプリから情報が抜かれる危険性に関して

クライアントネイティブアプリ場合

攻撃者がアプリに保存されたJWTが取得できるならIDもpassも同じ方法で抜けそうに見えた

(厳密には保存場所が違ったかもしれんが実装依存なので同一とする)

その前提のため、わざわざ

JWT送信セッション(cookie形式?)送信セッションからuser_id取得 

接続しても、おそらくcookie形式で送れる何かもJWTらと同じ方法で抜かれると思われる

まりcookieだろうがJWTだろうがアプリから直接情報が抜かれる危険性には変わりがないという結論になった

結論

まりcookieだろうがjwtだろうがidpasswordの組だろうが同じ危険性で抜かれる可能性があり、いずれでも同じことができるなら

JWT→user_id

でいいじゃん、わざわざcookieと同様の形式を間に挟むの無駄じゃん、となりコメント発言に至った

ここまで書いて、常にJWTにsession_idを含めておいて送ることを意図されていた可能性にも気づいたが

それならもっと無駄なため考慮しない

セッションにするメリットとして唯一思いついているのは任意サーバ側でセッションを切れることだが

それを指していたのであろうか

それは最初段落問題と同一と思っている

余談だが、ブコメ雰囲気日和って「ユーザーIDのみ入れ」(そもそもJWTを自然に作れば入るのだが)

というセッションストア的にJWTに他の情報を入れると入れない時に比べて危険性があがることに同意したような記載をしてしまったが

結局JWTが奪えたら中身に関係なくbearerとしてセットして接続するだけなので

正直JWTを使った時点でついでにセッションストアのように使おうが使わまいがセキュリティ的にそこまで変わらないのでは、と思っている

強いて上げるならセッションに保存している内容が分かる可能性があり、サーバー内部の実装が推測できる危険があるくらいだろうか

でも暗号化したらよいのでは、と思った

私的結論

expの期限と任意セッションが切れないデメリットに関して

expを適切に設定しつつ、必要ならアカウントロック機能を入れる

(アカウントロック機能はJWTに関係なく被害の増加を抑えられる可能性がある)

定期的な鍵の交換について

長いkeyを設定すれば不要

「JWTはセッションIDを含めれば安全」について

少なくともapiサーバネイティブアプリに関して、セッションIDを含めても危険性は変わらない

正直webアプリでも大して変わらんのでは、と思っているのは内緒である

と思ったので短慮なところ、見落としている視点があるようなら今後のためにご教示をいただきたく

以上、よろしくお願いいたしま

2018-08-28

anond:20180828181619

どっちかってーと今回のペンギン・ハイウェイ問題であるとお姉さんが「謎の女性」のままで物語上人格を付与されているけれども取り立てて「自我」らしきものを持っていないキモヲタ御用達キャラだったというところがデカいんじゃなかろか。

多分本来原作には1つ2つの「これがお姉さん」的なフレーバーセリフがあったんだろうけど、それが省かれているのかしらんがトークンヒロインに成り下がっていたというのがある。

からワイなんかは「エロゲスタイルやなこれ」と思ってるし、おフェミさんもそこらへん感じ取ったんじゃないかとは思われるぜ。

女性キャラクタではないものにするためのなんかが欠けていたんだよ。

それが何かとはあんまり明言したくないところだが。

2018-08-23

anond:20180823144858

うーん、トークン的に配置されてる女キャラは違うんだなあ。

情報ありがとう。見ないでおくわ。

2018-08-22

ブロックチェーンのことは1つもわかんないよ!!!

わかんないよ。わっかんないよ!

ブロックチェーンのことは一つもわかんないよ!ブロックチェーンは何がいいのかわかんないよ!

わかんない!私にはわかんないの!

Proof-of-Workって何がカッコイイの?計算なんていやだよ!無駄なだけだよ!これのどこがカッコイイの?

Proof-of-Stakeもどこがいいのかわかんない!

ASIC耐性って何なの?ASIC耐性があると何がいいの!?マイニングがカッコイイの?

そもそもマイニングって何!?51%攻撃がない?だから何なの!?

トラストレスって何?信用がなければいいの!?信用が不要必要だと何で不要がいいの!?

何で信用がない方がいいの?信用がないかダメなんじゃないの!?

中央集権だと何でカッコイイの?自分の力で制御できる感じが堪らないって、何それただのわがままな人じゃん!

ちゃん組織される方がカッコいいよ!立派だよ!

ICO調達してると何が凄いの?そんなのただのスキャムだよ!

隠したりしないでオープンソースで全力で開発する人の方がカッコいいよ!

どうしてユーティリティトークンとかセキュリティトークンとか色々つくるの?

いっぱいトークンがあったってわかりにくいだけじゃん!

英語でもなんでもカタカナつけないでよ!覚えられないんだよ!

SHA-256って書いてシャーニゴロって読まないでよ!

P2Pって書いてピアツーピアって読まないでよ!

BFTって書いてビザンチンフォールト・トレランス性って言わないでよ!

楕円曲線暗号とかシャミアの秘密分散法とかSchnorr署名とか、ちょっと調べたくらいでそういう話ししないでよ!

内容もちゃんと教えてくんなきゃ意味が分かんないよ!

教えるならちゃんと教えてよ!ホワイトペーパーに出てくる暗号説明されても楽しくないよ…!

PlasmaもRaidenもShardingもSidechain意味不明だよ!

なんでEthereumがスケーリングするのかぜんっぜんわかんない!

他の用語も謎なんだよ!

AtomicSwapとかSolidityとかViperとかCasperとかTwo-way Pegとか・・名前が良いだろってどういうこと?雰囲気で感じろとか言われても無理だよ!

インセンティブ設計とかコンセンサスアルゴリズムとか、ちょっとネットで調べただけで知ったかぶらないでよ!

中途半端説明されてもちっともわからないんだよ!

サトシナカモトとかビタリクの言葉引用しないでよ!

知らない人の言葉使われても何が言いたいのか全然わかんないんだよ!自分言葉で語ってよ!

お願いだから私が分かること話してよ。ブロックチェーンって何なの?ブロックチェーンってどういうことなの?

わかんないわかんないわかんないわかんない!わかんなーい!

ブロックチェーンのことは昔っから何一つ、これっぽっちも、わかんないのよー!

元ネタhttps://www.youtube.com/watch?v=6A_pU1Tdhjo

2018-08-21

今こそウルティマオンライン

基本プレイ無料になったしアカウント残ってるから今こそおっさんウルティマオンラインやるべき!

課金してもいいなら2500円分のトークンで5つのスキルを90.0にした状態にできるから

昔は憧れでしかなかったドラゴンテイマーとか!

生産スキルでお家の内装楽しんだりとか!

のんびり船でSOSボトル釣ったりとか!

そういうプレイがお手軽にできちゃうぞ!

シャードは飛鳥が人多いぞ!

英語大丈夫ならアトランティックだ!

待ってるぞ!おっさんたち!

2018-07-30

anond:20180730225329

そこら辺なんだよなあ、増田の考え方が硬いのは。

例えば、今までソロバンを使って演算処理をしてきた人間はごく最近AWS EC2というお金計算能力を買えるというシステムに取って代わられた。

これはつまりソロバンマスター人権AmazonというAI人権を奪われたという事を意味する。

増田の身近な例でいうと(島根県在住だったらゴメン)かつて東京の駅では人間切符っていう紙のトークンを駅の入り口でチェックして入場管理をしていたんだ。

ところが、ある日その入場管理仕事コンピュータ搭載の自動改札機というロボットがやる仕事ということになった。

これはGHQの指令だったとも言われている。結果、国鉄解体して10万人規模のリストラが発生した訳だ。

これも「AI人間人権蹂躙された例」だよな。細かいところは微妙に違うけれども。

そういう例が東京などのモダン都市には今までも、これからも沢山あるんだよ。

別に未来の話ではない。今現在進行形で、人間尊厳AIに侵されてるのだよ。

そう設計している。AIが、角度とかを……

anond:20180730223441

増田はelastic searchとかは使ったことあるか? 在庫検索系のプログラムを作ったことは?

あるなら分かるはずだが、別に文脈を読まずとも検索された文章を分解するなりトークン分割してwhere文に入れるだけで、関連性が少なからずあるデータは「取れてしまう」んだよ。膨大にな。

それの中でより正確に近いだろうデータを出してあげるのが検索エンジンの仕事なんだが、そもそも沢山候補を引っ掛けてしまうことは検索としては失格なので、関連が疎なデータは結果から予め除外する。また、正当からは遠いと判断されるデータは正当の候補に挙げない。

この二つを高速に繰りかえすことにより検索結果を出力するんだが、

増田の言うようなファジィな検索は、そもそも結果が一意ではないという問題があるよな。人間が同様の質問をされた場合に、答えてくれる場合においてすらも返ってくる答えは「あまり正答率は高くない」よな。答えの一つではあるんだが、増田の求めたことでは無い。

逆に増田意思疎通出来ている関係なら問題への返答はそこそこ正答率が高いはずだ。

まり増田質問っていうのは質問文章以外に「増田のそれまでの思考」というコンテキストがあって初めて解ける問題であって、

コンテキストなしの検索であればgoogleだろうが赤の他人だろうが正答率は一緒だよ。

下手したらgoogleの方が正答率高いくらい。

なん度も繰り返している話ではあるんだけど、AIが出来ない無理無理言ってる奴らって「僕の考えた最強のAIが出来ない」ってだけの話で、増田認識だけの問題なんだよ。

人間フレーム問題解決なんかしてないし、膨大な情報も扱ってない。

人と人とが生きていく中でお互いを気遣って意思疎通しているような気になってるだけだってーの。

人間あんまり神格化すんのそろそろやめーや。

2018-07-25

銀行ゴミアプリ決定戦

銀行系のアプリが使いにくくて、驚いたが、一番面白いのは、銀行系のアプリについての罵倒批判改善要求コメント。そこで、この場を借りて紹介してみよう

千葉銀行

・これは、すごい。このアプリを作った会社天災だが、このアプリ採用した千葉銀行天災だ。千葉銀行を使っている自分ホコリに思える。もしかしてショートカット作成AIでも導入されているのか、ブラウザを開いているような新技術が使われているのか、絶妙すぎで凄すぎる。流石に儲かっている銀行提供するアプリだけあってユーザービリティ再考

バカが作ると出来上がるアプリの良い見本、本社セキュリティが甘いため、アクセスのために様々な煩わしさをユーザーに強いる。 何が悲しくてパスワード以外に3つもキーワード入力させるのか? この仕様提案OKを出している連中は人々に迷惑しかかけられない能無しなので全員廃業しろっての

・使えなすぎ。 ただのショートカットアプリワンタイムパスワードが夏から必須になるけど、アプリで使えるようにして。トークンなんて不便すぎ。技術低すぎ。解約したい

新生銀行

・最悪すぎる。 スマホ認証で、キー発行アプリを参照すれば、当アプリバックグラウンドになり、最初の画面からやり直し。 認証出来るわけない!嫌がらせか!! そもそもバックグラウンドに行ったらログインし直しじゃ、、メールで振込先口座見ながらとか全く無理。 設計ミス。使い手のイメージ出来てない証拠利用者視点テストを考えてない証拠。いろいろ怪しくなってくる。 今後が不安なため、メインバンク変更決めました

銀行アプリは多く使っておりますが、こんなに使えないものをよく世に放出出来ましたね。何をするもにも再ログインしかも口座番号を覚えてくれる機能もないので支店番号暗証番号ダイレクトパスワード全て1から入力時代は移りゆくものですが、ネット銀行員の知能の低さすら垣間見ますアプリ操作方法に関して問い合せても「アプリというかブラウザの○○をご覧下さい」。アプリについて尋ねたのですが。蛇足ですが。全額出金しま

素人が作って素人承認した未完成アプリです。 フリーズが頻繁に発生し、まともに進むことができません。 また無駄セキュリティチェックが多く、ログインしても振込時に、いちいちセキュリティカード記号を入れようとさせます自分で作ったアプリに自信がないからそうするのでしょうが利用者からすると迷惑です。 だったらアプリじたい提供しないでほしい

みずほ銀行

・メチャメチャレスポンスが悪い。普通にブラウザからアクセスしたらサクサクなので、ネットワークの問題ではない。即アンインストール

・どうして更新する度にお客様番号が消えるのか。 とても面倒で煩わしいです。 基本重いです。 正しいパスワード入力しても入れない時もある。 時間置くと入れるけど、時間かかるので面倒です。 他銀行サクサク行くんですけどね… 銀行行った方が早いって思ってしまうので、何のためのスマホバンキングなんだろうって感じです。 それでも使う時もあるので、頑張って欲しいです

くそアプリアプリは削除してワンタイムパスワードカードに移行します。不便だけどアプリよりは多分マシ

三菱UFJ銀行

スマホ変えたらまた再登録ワンタイムパスワードがどうたらこうたらでよく分からん登録画面が複雑怪奇過ぎて…、これ1人で出来る1人何割くらいいるの?

メニュー画面を 開くための左下の表示がわかりにくすぎ。最低ランクユーザーインタフェースと言わざるを得ない

・なんで銀行アプリ広告があるんだよ、あほか あと画面勝手に横にすんな使いにくすぎ。正直★1やるのも惜しいくらいのクソアプリ。やっぱりufjゴミだな

コメントは、全て、「goole play」から引用

アーカイブ ヘルプ
ログイン ユーザー登録
ようこそ ゲスト さん