日本国旅券はNIST SP800-63Aで言う強度Superiorのエビデンスに相当します。ところで、旅券を取得するときに危険物取扱者免状を本人確認書類として使えるかは都道府県ごとに異なります。 satob.hatenablog.com 危険物取扱者免状以外にも、旅券法施行規則第二…

Googleスプレッドシート（Google Sheets）では、作成したスプレッドシートを[ファイル]-[ウェブに公開]で公開できる。 support.google.com この場合、ドキュメントには記載がないが、以下のような制約事項があった。 [ファイル]-[ウェブに公開]で[PDFドキュ…

Webアプリケーション向けセキュリティ診断ツールの一部は、トークンありの場合となしの場合でレスポンスが変わらない場合に「CSRF脆弱性あり」と判断する。ただ動作としてはキャプチャ/リプレイツールなので、場合によってはトークンありの場合でもアプリが…

長いHTMLの途中の見出しにジャンプするリンクを作りたい でも見出しにid属性がついていない という場合、HTMLのURLの末尾に「#:~:text=」に続けてリンクしたい文字列を指定すると、指定した文字列がハイライトされた状態で、フォーカスもその文字列にあてら…

横浜市のサイトの「Q&A番号：154891」に面白い内容があった。電子証明書申請*1の際に使える本人確認書類として、旅券法施行規則別表第二に記載のない証明書を挙げている*2。 qa.city.yokohama.lg.jp 旅券法に記載のないのは「在留カード」「特別永住者証明書…

システムの運用担当者のユーザ名、ちょっかい出されそうな名前になってないよね？ということを確認する際に便利なのがOWASP SecLists。owasp.orgただ、どのファイル名が何に由来するものなのか書かれた資料がなかったので調べてみた。 # Path Origin Origina…

NIST SP800-63および63Aの「Identity proofing」に対応する語として、IPAでは「身元識別*1」、JIPDECでは「本人確認*2」の語をあてている*3。 じゃあ「身分証明」「本人確認」「身元確認」「身元識別」「本人認証」ってどれも同じ意味なの？というと、どうも…

危険物取扱者免状は知事名で発行される公文書であり、かつ氏名・生年月日・顔写真が印字されていることから、本人確認書類として使おうとするケースも多いように見うけられます。一方、発行時の個人情報は自己申告でreal-life identityの確認も行われないと…

やりたいこと Chromeでアクセスしているサイトのサーバ名でなくIPアドレスが知りたい。たとえばアクセス先のサイトをホストしているのがAWSなのか、Azureなのか、はたまた自社サーバなのかを知りたい。nslookupで引こうと思ったけど、設定がマズいのかなぜか…

HTTP Strict Transport Security (HSTS)では、HSTSの結果をキャッシュする期間（max-age）をパラメータで指定できる。ただし、このmax-ageの推奨値は資料によってバラバラ。 hstspreload.org （ブラウザのHSTS preload listの管理元*1） Mozilla Web Securit…

行政等が発行する各種身分証明書自体のエビデンス強度はこんな感じでした。 satob.hatenablog.com一方、昨今ではオンライン手続きが拡充され、eKYCを含めオンラインでの身分証明が求められるケースも多くなりました。 犯罪による収益の移転防止に関する法律…

Red Hat Learning Subscriptionによる試験の受験申込時には、運転免許証 or パスポート or 顔写真付きの社員証＋健康保険証が画像データとして要求されます。練習問題として、この本人確認がSP 800-63AのどのIALに当たるか調べてみました。 www.jipdec.or.jp…

多くのRDBMSでは、それぞれ監査証跡を記録する機能を備えている*1*2*3。一方で、RDBMSの監査証跡機能を利用せず、ビジネスロジックとして証跡を取得する（監査証跡を機能要件として定める）ケースもある。そこで、RDBMSの監査証跡機能を利用しない・できない…

注意事項 逆順（reverse order）でなく逆引き順（reverse index）であることに注意。また日本語の「逆引き」は、文字列の先頭と末尾を逆にした並び（reverse index）の意味と、意味から単語を探す（reverse lookup）の意味の両方で使われる。ここではreverse…