2023-05
クレデンシャル管理に真剣
OAuth2 を使ったトークンの取得 + OS のクレデンシャル管理機構への保存を行う 今まで macOS では osxkeychain helper を,Linuxデスクトップでは gnome-keyrings-helper を使っていたが,無期限の PAT に依存するという問題があった YubiKey の PIV スマートカード機能を使って SSH の鍵管理をしているが,macOS では刺すのが面倒だったり PIN を打つのが面倒だったりする タップで解除できるようにはできるが所有認証一本は若干の怖さがある
e.g. JWT などの軽量な規格にはトラストチェインの概念が存在しない X.509 なら拡張として記録するような情報しか無い(公開鍵を持たない) X.509 証明書を公開鍵の代わりに使って PKI の仕組みに乗って認証できるし なぜか2023年になっても公開鍵のリストで認証が管理されがちなので公開鍵による認証の仕組みを理解するには単純でわかりやすい
authorized_keysが大きくなったら?→公開鍵を他の鍵で署名してその鍵の公開鍵だけ書いておけばいいんだ!みたいな導入でトラストチェインを理解している
e.g. keys.openpgp.org は Third party signature をサポートしていない
こうなると本当に暗号メッセージの送受信と署名にしか使わない
主鍵で副鍵を署名する以外のトラストチェインが存在しない
これなら別にオレオレ CA と証明書の関係でよくね?となってしまう
鍵サーバがある以外にいいところがなくないか?
現状(おそらく最大手の用途である)Git のコミットへの署名という観点ではまだ一番使えるということを書いておく SSH 鍵は(少なくとも GitHub の仕組みの上では)チェインを構成できないので永続性の観点で問題があり 署名の意味という観点では……
S/MIME はインターネットを普通に使うのなら信じていいはず PGP は信用関係を真面目に構築しているのなら意味があるだろう どれだけの人間が真面目にやっているのかという問題がある
というか下の2つは GitHub を CA として究極的に信用する限りでは信じられるという話にはなる GitHub のユーザーと commiter を厳密に結びつける手段ですと言われれば確かにそうではあるし,そのための目的ならば SSH 鍵であってもよいはず GitHub によるコミットは PGP を使って署名されている これを認めているなら,(そういう信用関係が PGP の上に存在するわけではないが)GitHub を中心とする信用構造ができていることになるのでは Server Actions ってコア側のサポートがあるんだ
知った
名前空間がフラットなのは気に食わないが,「全シークレットを読む」権限を持つコンポーネントが出現することを防げるのはポイントが高い
Pod が自らシークレットを取ってくるので,Pod に結びつけられた Service Account を workload idenitty federation を用いて必要な最小権限を持った GCP Service Account と結びつけてやることでシークレット単位の権限管理が可能になる 任意ブランチへの同期できるようになってたんだ
みた
偽りすぎるだろ
みた
ギースギスギス
ありす 顔芸 コレクション
みた
本質情報
選択肢がないので初手でセキュリティキーを使おうとする
通知許可とかの UI を流用しているっぽくて体験が絶妙に悪い
caBLE くらいは使えるようになってもいいんじゃないでしょうか この場合,
1. 「他のデバイス」を選び
2. caBLE のためのQRコードが出るのでこれをキャンセルして他のデバイスの選択に移動し 3. 「USB セキュリティキー」を選ぶ
そうではない場合,
1. 他の方法が出てくるので「USB セキュリティキー」を選ぶ
「近くのデバイス」の表示がない
パスワードマネージャ選択から「iCloud キーチェーン」を選ぶとその中に「パスキー」の表示があってそこから「近くのデバイス」に飛ぶことができる
異常すぎ