Amazon Web Services ブログ

Category: AWS Community Heroes

Amazon Cognito を使ってユーザー名を安全に検証

こちらは AWS コミュニティヒーローの Larry Ogrodnek によるゲストポストです。Larry は、クラウドアーキテクチャ、DevOps、サーバーレス、そして AWS における一般的なソフトウェア開発を専門とする独立系コンサルタントです。彼は、コーヒーを飲みながらいつでも AWS について話したいと考え、開発や他の開発者のサポートを楽しんで行っています。 あなたのシステムではどのような方法でユーザーを識別していますか? ユーザー名? E メール? それらが一意であることは重要ですか? Amazon Cognito ではユーザー名も E メールも大文字と小文字を区別して取り扱っていると知ったら、あなたは驚くかもしれません。私も以前はそうでした。つまり “JohnSmith” と “johnsmith” は異なり、”jOhNSmiTh” もさらに別の人になります。 E メールアドレスも同様です。こちらはさらに SMTP RFC に指定されているので、”smith” および “Smith” というユーザーは、別のメールボックスを持つ可能性があります。すごいでしょう。 私は最近、Amazon Cognito にカスタムのサインアップ検証を追加しました。今回の投稿はこの実装についてお話します。 一意性にまつわる問題 一意性の判定は、大文字と小文字を区別すること以上に難しい問題です。私はこれまで、国際化ドメイン名のホモグラフ攻撃を取り上げたメールを多くの方々から受け取ってきました。あるサイトは、”example.com” というドメイン名で登録されていましたが、使用されている “a” はキリル文字で、真正のサイトになりすまして情報を収集することをたくらんでいたのです。こうした攻撃は、ユーザー名の登録でも行われる可能性があります。もし私がチェックをしなければ、誰かが私のサイトで別のユーザーになりすますことが可能かもしれません。 予約していますか? アプリケーションには、ユーザーが作成したメッセージやコンテンツが含まれていますか? 一意性に対処することに加えて、特定の名前を予約しておくとよいかもしれません。例えば、user.myapp.com または myapp.com/user といった場所に、ユーザーが編集できる情報を保持していた場合、誰かが “signup”、”faq”、”support” の登録を行ったらどうなるでしょう。 あるいはそれが “billing” だったら? 悪意のあるユーザーが私のサイトになりすまし、攻撃の一手段として私のサイトを利用することは起こり得るのです。ユーザーが、どんな種類のものであれ受信箱やメッセージングを利用していれば、似たような攻撃も可能です。ユーザー名を予約しておくことに加えて、混乱を避けるために、ユーザーコンテンツをそれ自身のドメインから分離させておくことも必要でしょう。GitHub が、こうした攻撃に対処するために、 […]

Read More

最新の AWS ヒーロー情報 – 2019 年冬

AWS ヒーローとは、高度な技術的スキルを持つスーパーユーザーで、出現したばかりのテクノロジーにも早期から挑戦する人々のことを意味します。ヒーローは AWS に関する自らの幅広い知識を他の人たちと共有することに熱心です。ヒーローの中には、集会やワークショップの開催に参加したり、カンファレンスで講演したりする人たちや、ソーシャルメディア、ブログ投稿、オープンソースへの寄与など、オンラインの AWS コミュニティで豊かな知識を共有する人たちもいます。 2019 年も華々しいスタートを切った今、最新の AWS ヒーローをご紹介しましょう。 Aileen Gemma Smith Ant Stanley Gaurav Kamboj Jeremy Daly Kurt Lee Matt Weagle 吉田真吾 Aileen Gemma Smith – シドニー (オーストラリア) コミュニティヒーロー Aileen Gemma Smith 氏は Vizalytics Technology 社の創立者兼 CEO です。Vizalytics のチームは輸送、ツーリズム、経済開発の分野で世界中の公共および民間部門の顧客にサービスを提供しています。彼女は 2017 年にキャンベラで開催された AWS サミットにおいて、クラウドにおける複雑なワークロードの構築セッションで同社の経験を語りました。Aileen 氏はダイバーシティとインクルージョン構想に造詣が深く、過小評価されたエンジニアや創設者の功績や声を広めるため、常に活動しています。2018 年に開催された AWS Public Sector Summit Canberra (AWS 公共部門キャンベラサミット) では、We […]

Read More

AWS AI と Amazon Sumerian を使用した IT 教育

この記事のゲストは AWS Machine Learning のヒーロー、Cyrus Wong です。Cyrus は、香港職業教育研究所(Lee Wai Lee)クラウドイノベーションセンターのデータサイエンティストです。AWS Certifications 9 つをすべて達成し、オープンソースプロジェクト、ブログ記事、イベントを通じて AWS の知識を他の人と共有することを楽しんでいます。 私たちの研究所(IVE)では、毎年数千人の生徒に IT トレーニングを提供しており、コースの 1 つで AWS プロモーションクレジットをうまく適用しています。最近私たちは、AWS AI、サーバーレス、AR/VR サービスを使用して学習経験を強化し、ラボで生徒が何をしているのかを理解するためにデータを収集するオープンソースプロジェクト「Lab Monitor」を構築しました。 問題 ラボアクティビティの一般的な問題の 1 つは、生徒がコースとは関係ないこと(動画視聴やゲームプレイなど)をしばしばしていることです。また、ラボの回答がソフトコピーになっているため、生徒がクラスメートの回答を簡単にコピーできます。一般的には答えが 1 つしかないので、教師は回答をコピーした学生を見抜くのに苦労します。どの生徒がラボに取り組んでいるのか、他の生徒の答案をコピーしているのかは誰にも分かりません! ソリューション Lab Monitor は、評価モデルの形から最終的な結果のみを以って、開発プロセス全体を変更します。AWS AI サービスを使用して、生徒をサポートし、モニタリングすることができます。 このシステムは、以下のパートで構成されています。 Lab Monitor エージェント Lab Monitor コレクター AR Lab アシスタント Lab Monitor エージェント Lab Monitor エージェントは、生徒のコンピュータアクティビティで動作する Python アプリケーションです。すべての情報は定期的に […]

Read More

新しい AWS コミュニティヒーロー (2017 年春)

新しい AWS コミュニティヒーローをご紹介します。 Mark Nunnikhoven SangUk Park James Hall Drew Firment AWS コミュニティヒーローは、さまざまな方法で AWS に関する知識を広め、情熱を伝えます。ソーシャルメディア、ブログ投稿、オープンソースプロジェクト、個人的なイベント、ユーザーグループ、ワークショップなど、あらゆる手段を駆使して AWS から得た洞察を共有します。 Mark Nunnikhoven Mark Nunnikhoven は、個人、組織、コミュニティへのテクノロジーの影響について、特にプライバシーとセキュリティの観点から検討しています。「情報の守りを固める方法」を求めて、サイバー犯罪について調査し、デジタル世界に対するリスクと脅威の理解を深めようとしています。Mark は、Trend Micro の Cloud Research 担当副社長であり、長年に渡るアマゾン ウェブ サービスのアドバンストテクノロジーパートナーおよび AWS クラウドのセキュリティツールのプロバイダーでもあります。これまでに培った知識に基づいて、AWS クラウドを活用してセキュリティ環境の最新化を図る世界中の組織をサポートしています。特に自動化に注目し、寄稿、講演、指導、AWS コミュニティへの参加を通じて DevOps と従来のセキュリティの橋渡し役を務めています。 SangUk Park SangUk Park は、Megazone のチーフソリューションアーキテクトです。Megazone は、2012 年に韓国初の AWS パートナーとなり、韓国で AWS サポートを提供する唯一の AWS プレミアコンサルティングパートナーです。SungUk は、KT のパブリッククラウドおよび VDI 設計のシステムアーキテクトを務め、YDオンラインおよびネクソンジャパン (大手オンラインゲーム会社の […]

Read More