Le #Royaume-Uni #UK impose une taxe d’entrée aux #Européens, une #ETA #Electronic #Travel #Authorization , ou #Autorisation #Electronique de #Voyage
Ça mériterait bien un petit #Liberation #Day et des #taxes #réciproques pour les #citoyens #britanniques.. (sorry guys..)
Next.js Middleware Flaw Lets Attackers Bypass Authorization https://hackread.com/next-js-middleware-flaw-bypass-authorization/ #Authorization #Vulnerability #Middleware #Security #Nextjs #React
Next.js Middleware Flaw Lets Attackers Bypass Authorization – Source:hackread.com https://ciso2ciso.com/next-js-middleware-flaw-lets-attackers-bypass-authorization-sourcehackread-com/ #1CyberSecurityNewsPost #CyberSecurityNews #Authorization #Vulnerability #Middleware #Hackread #security #Nextjs #React
Rust just got better access control! Gatehouse brings RBAC, ABAC, and ReBAC in one type-safe package 
#rust #security #authorization https://github.com/thepartly/gatehouse
Gatehouse – a composable, async-friendly authorization policy framework in Rust
Fake "Security Alert" issues on GitHub use OAuth app to hijack accounts
A widespread phishing campaign has targeted nearly 12,000 GitHub repositories with fake "Security Alert" issues, tricking developers into authorizing a malicious OAuth app that grants attackers full control over their accounts and code.
Is anyone out there familiar enough with the Google Zanzibar-inspired authorization space to help me figure out how OpenFGA, SpiceDB, and Permify compare with one another? They all seem quite similar, and I’m struggling to rank them objectively. #authorization #zanzibar #openfga #permify #spicedb
Very stoked to announce that I will be speaking at #OWASP #Snowfroc this Friday at 11:00 in the Great Hall. The talk is entitled "Patterns of failure in modern #authorization" and it's mostly about why #authz is getting harder (instead of easier). I'll be citing some academic research but also looking at some interesting examples of authz failure at some fairly large, well-known brands. Hope to see you there! 
p.s. I've never been to #Denver so looking forward to checking the city out a bit too. If you have suggestions for things to do (read: eat), let me know! 
Friday project discovery: Permify (https://github.com/Permify/permify) is an open source authorization as a service inspired by Google Zanzibar, and as they publish checksums, it can be downloaded with additional safety with asfald: https://www.asfaload.com/asfald/ #security #authorization
Разработка приложения с авторизацией пользователя Java 17 + SpringBoot 3.4 + Keycloak 26
Столкнулась на проекте с задачей по настройке флоу auth2 для Java приложения с использованием Keycloak в качестве сервера авторизации. Вроде бы информации много на разных ресурсах и документация есть, но встречаюсь с такими нюансами: версии Keycloak-а меняются так, что утсраевают старые примеры, никто уже не использует их адаптер, на который массу примеров; меняются версии Spring и их примеры тоже быстро устаревают и прошлые варианты реализации всё равно надо по новому переписывать в новых версиях. Плюс для меня это был новый опыт работы с auth2, потому, конечно, множество источников пришлось перелопатить. Потому решила написать небольшую инструкцию как в общем я реализовывала эту задачу. Версии на момент разработки: Java Coretto 17, SpringBoot 3.4.1, Keycloak 26.0.7. Репозиторий: https://github.com/ElenaSpb/keycloak-example 1. Настройка Keycloak для локальной разработки 1.1 Cкачиваем последнюю версию, запускаем. У меня он скачен в c:\distr\keycloak, перехожу там в папку \bin и запускаю сервер Keycloak командой kc.bat start-dev --http-port 8085 . На порту 8085 в dev профиле делаю. 1.2 При первом запуске он просит создать пользователя temporary admin user, админа сервера то есть, задав логин и пароль, создаю lenas / lenas . Вот логи:
Device Code Phishing
This isn’t new, but it’s increasingly popular:
The technique is known as devic... https://www.schneier.com/blog/archives/2025/02/device-code-phishing.html
Device Code Phishing – Source: www.schneier.com https://ciso2ciso.com/device-code-phishing-source-www-schneier-com/ #rssfeedpostgeneratorecho #SchneierOnSecurity #SchneieronSecurity #CyberSecurityNews #authentication #authorization #Uncategorized #Phishing #Russia
Используем API Key и JWT Bearer аутентификацию вместе в ASP.NET Core Web API
Я расскажу, как реализовать аутентификацию с использованием как JWT, так и API-ключа на одном и том же endpoint в ASP.NET Core Web API. Совмещение этих схем аутентификации полезно, если вы хотите использовать токен JWT Bearer для аутентификации пользователей и API-ключ для аутентификации между сервисами.
#Development #Explainers
What’s OAuth2 anyway? · How the most popular authorization framework works https://ilo.im/1623dq
_____
#Authorization #Authentication #Credentials #OAuth #OAuth2 #ClientServer #Security #WebDev #Frontend #Backend
API Key Authentication в ASP.NET Core Web Api
Недавно я столкнулся с задачей реализации аутентификации с использованием API Key в ASP.NET Core Web API. Хотя многие авторы рекомендуют использовать IAuthorizationFilter для этой цели, я обнаружил, что это не самый подходящий вариант. У меня есть более удачный подход, которым я хотел бы поделиться, включая примеры. Реализация была протестирована как в .NET 8, так и в .NET 9.
A big source of confusion & security issues & tech debt, comes from devs not understanding the difference between #Authorization and #Authentication.
Amplified by libraries bodging them together. Or naming it "auth".
But worse is when official protocols start mixing them up:
> Authorization Server – the place where, in a pure OAuth 2.0 authorization flow, end-users authorize third-party applications to act on their behalf; or, in an OpenID Connect flow, where end-users authenticate.
New Microsoft docs: Configure JWT bearer authentication in ASP.NET Core
https://learn.microsoft.com/aspnet/core/security/authentication/configure-jwt-bearer-authentication
#jwt #aspnetcore #dotnet #oidc #bearer #authorization #access #security
Thanks Mike Kistler Rick Anderson Stephen Halter
Blogged: ASP.NET Core user application access token management
https://damienbod.com/2025/01/20/asp-net-core-user-application-access-token-management/
Wow, dumpster fire much, WordPress? They can't BUY some good news. In case we forgot with all of the other drama, the plugin ecosystem is a trash heap too.
