IT ニュース&コラム 2021/ 5/17 通巻828号 ニュース版 ソフトウェアデザイン館 Sage Plaisir 21  ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ■■ GitHub のアカウント認証からパスワード認証が廃止へ ■■ 2021年5月11日、GitHub のセキュリティエンジニアであるケビン・ジョーンズ氏が SSH接続の認証に物理デバイス「セキュリティキー」が利用できるようになったと発表した。 GitHub はソフトウェア開発におけるソースファイルを保存してバージョン管理する クラウド サービスだ。 バージョン管理は Git を使う。 ソフトウェアは開発している 途中は機能の一部しか実装されていなかったりテストされていなかったりするため、 公開しているバージョンと開発しているバージョンは異なるのだが、そのバージョンを 簡単に切り替える機能や、複数の開発者(クライアント)が同時に編集しても マージ(合成)する機能を Git が持っている。 クライアントは通常1つかいくつかのバージョンだけダウンロード(クローン) している。 サーバー側(クラウド側)はすべてのバージョンに関わる設定ができたり、 グラフィカルにバージョンの違いを表示したり編集したり様々な機能がある。 Git のクラウド サービス(Git ホスティングサイト)はいくつか存在するが、 最もポピュラーなのが GitHub だ。 非常に多くのソフトウェアのソースファイルが保存されているのだが、 時々悪意のあるユーザーによってソフトウェアにマルウェアを仕込まれるなどの 事件が起こっている。 重要なソフトウェアは特定のユーザーしか更新(コミット) できないが、そのユーザーのパスワードが漏えいするリスクがある。 2020年12月19日、GitHub は、コマンドラインでの Git 操作ができるアカウントの 認証の1つであるパスワード認証を廃止すると発表した。 廃止日は 2021年8月13日。 対象ユーザーならメールで通知がされているはずだ。 GitHub Desktop には影響がないらしい。 また、パスワードであっても SSH キーを 使うケースは廃止されない。二段階認証を使っている場合、GitHub Enterprise Server、 GitHub Apps を利用している場合も今まで通り使える。 2021年5月11日、SSH接続の認証に物理デバイス「セキュリティキー」が 利用できるようになったと発表した。 現在一般的な、セキュリティキーを使わない SSH 接続の場合、秘密鍵が ~/.ssh/id_rsa ファイルに保存されている。 もし、マルウェアに感染したら簡単に漏えいしてしまい、危険と隣り合わせな状態である。 セキュリティキーを使えば秘密鍵を物理デバイス内に移動することができるので、 SSH に切り替えるこの機に検討してみるのが良いだろう。 また、これほどセキュリティが強化されると、GitHub がバージョン管理や バックアップがしっかりとした aws S3 や Google Drive のような オンライン ストレージとして使うことも考えられるようになる。 法律で特別なセキュリティが義務づけられていないデータは GitHub の プライベート リポジトリに移動することも検討して見るのが良いだろう。 もちろん、GitHub 以外の Git ホスティングサイトも検討に値するだろう。 ソース https://gigazine.net/news/20201219-github-token-git-operations/ https://gigazine.net/news/20210512-security-key-supported-github/ ■■ 注目ニュース 一覧 ■■ ◇ リクナビ問題に見る日本の個人情報保護法の欠陥を電子フロンティア財団が指摘。 https://gigazine.net/news/20210513-rikunabi-scandal-dangers-privacy-law-loopholes/ … 人生を左右するレッテルが密かに貼られていた。 ◇ Google検索を使って必要な情報を正しく検索するために役立つ10のテクニック。 https://gigazine.net/news/20210426-use-google-like-pro/ … AND OR は知らなかった。 ◇ Google検索では依然としてAIの分析よりもメタデータが重視されている。 https://gigazine.net/news/20210428-metadata-tends-displace-ai/ … AIっぽい検索結果を返すが、AIは使っていなかった。 ◇ テロ関連のコンテンツをプロバイダーに1時間以内に削除させる規則をEUが採択。 https://gigazine.net/news/20210430-eu-law-one-hour-terrorist-content-takedowns/ … テロリスト関連コンテンツを誰が判断するかは民主的であるべき。 ◇ Googleの広告新技術 FLoC をGitHubがブロック。 https://gigazine.net/news/20210503-github-floc/ … フリーソフトは Google の商業主義に合わない。 ◇ Amazonの配達ドライバーは安全運転監視アプリをオフにして配達を行っている。 https://gigazine.net/news/20210507-amazon-delivery-drivers-off-safety-apps/ … アマゾンはどうしよもないな。 ◇ Twitter、投げ銭できる新機能 Tip Jar を発表。 https://japan.cnet.com/article/35170358/ … 手数料を取らないのは革命的。 ■■ ソフトウェアデザイン館 Sage Plaisir 21 ■■ ホームページ >>> http://www.sage-p.com/ メルマガ >>> http://www.mag2.com/m/0000083983.html ブログ >>> http://blog.livedoor.jp/sage_p/ ツイッター >>> http://twitter.com/Ts_Neko ダウンロード >>> http://www.sage-p.com/freesoft.htm サポート掲示板 >>> http://www.sage-p.com/kg_ban09/z6037C8.cgi 東日本大震災 >>> http://www.sage-p.com/saigai.html メール >>> ts-neko◇sage-p.com ←◇を@に変えてください 緊急メールは件名に「うどんメール」を付けてください。 このメルマガの登録・解除 - http://www.mag2.com/m/0000083983.htm