Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Everyone Now Understands AuthZ/AuthN and Encryp...

Sponsored · Your Podcast. Everywhere. Effortlessly. Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
Avatar for sylph01 sylph01
November 26, 2024
120
1

Everyone Now Understands AuthZ/AuthN and Encryption Perfectly and I'm Gonna Lose My Job

11/26/2024 @ Kyoto.rb Meetup https://kyotorb.connpass.com/event/337169/

Avatar for sylph01

sylph01

November 26, 2024

More Decks by sylph01

See All by sylph01
人命を救う技術としてのEnd-to-End暗号化とMessaging Layer Security
Avatar for sylph01 sylph01
3
190
Updates on MLS on Ruby (and maybe more)
Avatar for sylph01 sylph01
1
270
End-to-End Encryption Saves Lives. You Can Start Saving Lives With Ruby, Too (RubyConf Taiwan 2025 ver.)
Avatar for sylph01 sylph01
1
150
PicoRuby's Networking is Incomplete
Avatar for sylph01 sylph01
1
240
The Definitive? Guide To Locally Organizing RubyKaigi
Avatar for sylph01 sylph01
9
3k
End-to-End Encryption Saves Lives. You Can Start Saving Lives With Ruby, Too
Avatar for sylph01 sylph01
1
200
End-to-End Encryption Saves Lives. You Can Start Saving Lives With Ruby, Too (JP subtitles)
Avatar for sylph01 sylph01
2
920
Introduction to C Extensions
Avatar for sylph01 sylph01
3
280
"Actual" Security in Microcontroller Ruby!?
Avatar for sylph01 sylph01
0
230

Featured

See All Featured
Faster Mobile Websites
Avatar for Dean Hume deanohume
310
31k
Fireside Chat
Avatar for paigeccino paigeccino
42
3.9k
What does AI have to do with Human Rights?
Avatar for Per Axbom axbom
PRO
1
2.1k
Improving Core Web Vitals using Speculation Rules API
Avatar for Sergey Chernyshev sergeychernyshev
21
1.5k
The Art of Delivering Value - GDevCon NA Keynote
Avatar for David Neal reverentgeek
16
2k
Highjacked: Video Game Concept Design
Avatar for Ryan Kendrick rkendrick25
PRO
1
360
Building a A Zero-Code AI SEO Workflow
Avatar for Ian Lurie portentint
PRO
0
520
Darren the Foodie - Storyboard
Avatar for Kevinho.art khoart
PRO
3
3.3k
Lessons Learnt from Crawling 1000+ Websites
Avatar for Charles Meaden charlesmeaden
PRO
1
1.2k
From π to Pie charts
Avatar for Rasagy Sharma rasagy
0
180
sira's awesome portfolio website redesign presentation
Avatar for ElsiraPls elsirapls
0
250
Marketing Yourself as an Engineer | Alaka | Gurzu
Avatar for Gurzu gurzu
0
200

Transcript

  1. Everyone Now Understands AuthZ/AuthN and Encryption Perfectly and I'm Gonna

    Lose My Job sylph01 @ Kyoto.rb Meetup Kaigi on Rails 2024 Recap, 2024/11/26 1

  2. だれ やせいのプログラマ。認証認可とか暗号と かできます けどKaigi on Rails を経てもうみんなで きるよって話をします RubyKaigi 2025

    のローカルオーガナイザー をしています 愛媛県松山市に住んでいます 画像はWeb サイトより 2

  3. 3

  4. 背景 Kaigi on Rails 2021 で "Build and Learn Rails

    Authentication" というトークをしました ログイン・ログアウト、クッキーから の自動再ログイン、パスワードリセッ ト、ロックアウト etc. の自作を通して 認証の動作原理を学ぶ、という内容で す 4

  5. Rails API モードのためのシンプルで効 果的なCSRF 対策 (@corocn) 「なんかとりあえずしーえすあーるえふとーくんとかいうのを発行 しておけばいいんでしょ」っていう状態を脱することができる内容 CSRF って何?→「ぼくはまちちゃん!」で検索だ!

    ( 一般的には) 悪意のあるサイトが被攻撃者の認証済みセッショ ンを利用してリクエストを実行できてしまうこと セッションCookie が自動的に送られてしまうことを利用 5

  6. Rails API モードのためのシンプルで効 果的なCSRF 対策 (@corocn) API モードにおいてCSRF トークンを受け渡しするのは極めてしんど い

    なので Web 標準を使って 対策しよう ("Standardization is King") Origin 検証をしよう SameSite 属性を適切に設定しよう 6

  7. OmniAuth から学ぶOAuth 2.0 (@ykpythemind) 要するに3 年前に話さなかった部分の話。 7

  8. Page 9 - https:/ /speakerdeck.com/ykpythemind/omniauthkaraxue-buoauth2-dot-0-kaigi-on-rails-2024?slide=9 8

  9. Page 17 - https:/ /speakerdeck.com/sylph01/build-and-learn-rails-authentication?slide=17 9

  10. なげえよ Page 17 - https:/ /speakerdeck.com/sylph01/build-and-learn-rails-authentication?slide=17 10

  11. Page 56 - https:/ /speakerdeck.com/ykpythemind/omniauthkaraxue-buoauth2-dot-0-kaigi-on-rails-2024?slide=56 11

  12. このネタ入れてきたの最高 Kaigi on Rails 2020 のときにDNS の話で「浸透」の話入れてきた のと同じ香りがしてよい Page 56

    - https:/ /speakerdeck.com/ykpythemind/omniauthkaraxue-buoauth2-dot-0-kaigi-on-rails-2024?slide=56 12

  13. 大事なデータを守りたい!ActiveRecord Encryption と、より安全かつ検索可能な暗号化手法の実装例の 紹介 (@free_world21) 「あくてぃぶれこーどえんくりぷしょんってのがあるから暗号化は 楽勝!w」という状態を脱することができる内容 「レコードごとに異なる暗号鍵を使う」っていうのがActiveRecord Encryption ではできない、のでattr_encrypted

    gem でそれを実現する カラムごとに違う鍵を使う、っていうのはできるように見える 13

  14. 大事なデータを守りたい!ActiveRecord Encryption と、より安全かつ検索可能な暗号化手法の実装例の 紹介 (@free_world21) 決定論的暗号化を使うと検索が可能になる 同じ平文に対して必ず同じ暗号文が得られる 当たり前では? → 初期化ベクタがランダマイズされてるとそ

    の限りではない なので決定論的暗号化は多少insecure 「検索可能暗号」っていう技術はあるけど一般での実用化はま だ遠そう 14

  15. https:/ /words.filippo.io/the-ecb-penguin/ "The ECB Penguin" 15

  16. 大事なデータを守りたい!ActiveRecord Encryption と、より安全かつ検索可能な暗号化手法の実装例の 紹介 (@free_world21) あと暗号化全般に関して、 「鍵管理は人類には早すぎるよね」っていう 結論になりがち。とてもわかる 16

  17. Identifying User Identity (@moro) これは後でluccafort さんが話すので私からは「えがった… (語彙力) 」で とどめておきます 17

  18. まとめ 全人類が認証認可と暗号化を完全理解してしまった 2024 の発表と2021 のスライドを合わせて読むとカバーしてないと ころもカバーできてさらに完全な理解が得られてしまう(宣伝) s01 氏、失職不可避 18