GNU social JP
  • FAQ
  • Login
GNU social JPは日本のGNU socialサーバーです。
Usage/ToS/admin/test/Pleroma FE

  • Public

    • Public
    • Network
    • Groups
    • Featured
    • Popular
    • People

Conversation

Notices

  1. Embed this notice
    (にゃーん)よぽど・ワークベンチ(にゃん) (amaiyo@mk.yopo.work)'s status on Thursday, 27-Apr-2023 15:31:57 JST (にゃーん)よぽど・ワークベンチ(にゃん) (にゃーん)よぽど・ワークベンチ(にゃん)

    Google Authenticatorのバックアップ機能はE2E暗号化されておらず重大なセキュリティリスクにさらされる可能性が高いことが判明
    https://gigazine.net/news/20230427-google-authenticator-isnt-e2e-encrypted/セキュリティ企業・Myskの研究者は、Google Authenticatorで当該ログイン情報がクラウドにアップロードされる際、E2E暗号化されていないことを発見しました。E2E暗号化されていないということは、Google AuthenticatorがGoogleのサーバーに送ったデータに本来は権限のないユーザーがアクセスできる可能性があるということです。そもそもコードベースのTOTPって端末を仮想的な物理トークンとして扱うためのものだし、エクスポートしてクラウド同期ってMFAが形骸化する気がする。

    In conversation Thursday, 27-Apr-2023 15:31:57 JST from mk.yopo.work permalink

    Attachments

    1. Domain not in remote thumbnail source whitelist: i.gzn.jp
      Google Authenticatorのバックアップ機能はE2E暗号化されておらず重大なセキュリティリスクにさらされる可能性が高いことが判明
      ログイン情報の複数デバイス間同期に対応した「Google Authenticator(Google認証システム)」のクラウドバックアップにおいて、エンドツーエンド(E2E)暗号化が行われていないことがセキュリティ研究者の調べで明らかになりました。Googleはこの懸念を受けて、Google Authenticatorの将来的なE2E対応を表明しています。
    • Embed this notice
      なうぞめ (nz@misskey.pm)'s status on Thursday, 27-Apr-2023 15:34:48 JST なうぞめ なうぞめ
      in reply to

      @amaiyo@mk.yopo.work
      これ、E2EEするとか面倒くさい事しなくても以前通りというかQrコードでダンプしたりして運用すればいいんじゃないかなぁ。
      わざわざクラウドにアップロードするメリットがわからない。
      まあ、私はできるだけ自由なソフトを使いたいのでFreeOTPを利用しているかなぁー。

      In conversation Thursday, 27-Apr-2023 15:34:48 JST permalink

Feeds

  • Activity Streams
  • RSS 2.0
  • Atom
  • Help
  • About
  • FAQ
  • TOS
  • Privacy
  • Source
  • Version
  • Contact

GNU social JP is a social network, courtesy of GNU social JP管理人. It runs on GNU social, version 2.0.2-dev, available under the GNU Affero General Public License.

Creative Commons Attribution 3.0 All GNU social JP content and data are available under the Creative Commons Attribution 3.0 license.