Install and Deploy - Linux | Bitwarden Help & Support
https://bitwarden.com/help/install-on-premise-linux/
Minimum 2 GB RAM か……
らりお・ザ・何らかの🈗然㊌ソムリエ(@lo48576@mastodon.cardina1.red)の投稿
Install and Deploy - Linux | Bitwarden Help & Support
https://bitwarden.com/help/install-on-premise-linux/
Minimum 2 GB RAM か……
KeePass が単なるファイル同期で済むからリソース食わずに済むという点では圧倒的なんだよなぁ
self host できるなら普通に選択肢としてアリだし、すんばらしいと思ったら金だって払えるので、一応検討対象には入ってるのよね >Bitwarden
なんだけど、結局 Nextcloud サーバを既に立てていていろいろなアプリから WebDav によるデータ共有をさせている以上は、専用サーバでそこそこのメモリを要求するなら相応の優位性が欲しい (が、使っていないのでその部分がピンときていない)
一応 Rust 実装の省リソースな unofficial なものもある > bitwarden
GitHub - dani-garcia/vaultwarden: Unofficial Bitwarden compatible server written in Rust, formerly known as bitwarden_rs https://github.com/dani-garcia/vaultwarden
あ、これクライアントとかじゃなくてサーバ実装なのかwww
インフラ見直し月間なのでピッポワーデン本格的に再検討してみるか
このアカウントは、notestockで公開設定になっていません。
pass コマンドね、 YubiKey 使えそうな雰囲気だったので (もう忘れたけど) CLI からシュッとやりたい系のタスクとかの自動化には相性良さそうだなという感想
具体的には、たとえば ansible の encrypt された vault のパスフレーズを与えたりとかですね
平文でファイルに保存するのも嫌だし、かといって playbook 実行するたびに入力もしたくないし。こういうときには pass は輝くだろうなと
アンヨヨイヨのパスワード自動入力は Keepass2Android も対応してて、あれは実際クッッッソ便利なので対応がもはや必須要件と化している
KeePassXC、 CLI インターフェースがあるらしいのだが使ったことがない
Two-step Login via FIDO2 WebAuthn | Bitwarden Help & Support
https://bitwarden.com/help/setup-two-step-login-fido/
読んでる
このアカウントは、notestockで公開設定になっていません。
防音についてはほぼ完璧だろうけど、電磁ノイズと安定した電源の供給は逆にかなり難しそう
@reroute 気に入らないというより、使ったことがないだけです。基本的に GUI で事足りているので (CLI でパスワードが必要な場面は案外少ないもので)
@orumin 太陽光パネル、あまり面積広げると劣化とかデブリや別の星の影とか諸々どうなんだろうと思ったんですが、よく考えると宇宙ステーションとかで生活できる程度には使い物になるはずだし全然問題なさそうですね
宇宙用の太陽電池は地上用のものとどこが違うのですか | JAXA 有人宇宙技術部門
https://humans-in-space.jaxa.jp/faq/detail/000473.html
> 人工衛星の太陽電池パドルは多くの太陽電池セルが敷き詰められていて、影になったり、劣化して発電能力が落ちたセルをバイパスさせることにより、電力損失を押さえるなど工夫がされています。
㍂
全裸自転車で石油依存に抗議 英ロンドン 写真6枚 国際ニュース:AFPBB News
https://www.afpbb.com/articles/-/3409386
なんだ乳首解放運動みたいなやつじゃないのか。残念
Bitwardenのmin 2GB要求ってもしかしてMSSQL...
これ2年前にそれらしいことを言ってる人がいて、マジでそうなのかもしれん……
New UUID Formats
https://www.ietf.org/id/draft-peabody-dispatch-new-uuid-format-03.html
ふーん、そういう感じになるのか
追加されるバージョンとかタイムスタンプ精度とか、軽く流し読みするだけでも最低限知りたいことはわかるので読むのがおすすめ
https://www.ietf.org/id/draft-peabody-dispatch-new-uuid-format-03.html#section-5.2-2
> Implementations SHOULD utilize UUID version 7 over UUID version 1 and 6 if possible.
かなり思い切った話だなぁ (まあ妥当)
UUIDv7 は “ちゃんとした” UUID なので variant と version 用のフィールドが確保されていて、そのぶん ULID よりもランダム部分が6ビット少ない。
あとは ULID は32進数表記があるが、 UUIDv7 は普通の UUID 記法が前提になりそう。
UUIDv6–v8 Support · Issue #523 · uuid-rs/uuid
https://github.com/uuid-rs/uuid/issues/523
👀
YubiKey Bio について調べている (購入を検討している)
たとえば git commit のたびに PIN を入力する (まあ厳密には30秒くらい以内なら連続するコミットで入力省略できるが) のがかなり嫌な気持ちになるので、指紋認証でそこを通せるなら $85 くらいは払う価値がある
もしかして YubiKey Bio シリーズって OpenPGP 機能は実装されてないな?
人々は YubiKey をウェッビでの認証だけに使っているかもしれないが、私は OpenPGP 関係で主に使っているので……
うーん、でもまあたとえば旅行中に寝ている間にユビキーを勝手に使われて指を押し付けられた場合に署名が成功してしまうという脅威を考えると、 knowledge factor を必須とするのは妥当ではあるのか……
認証専用デバイスに $85 出せるかというと、かなり微妙なラインだな…… (即時却下するほどではないが、迷わずポチーできるほどでもない)
このアカウントは、notestockで公開設定になっていません。
Das keyboard 5QS Smart Keyboard
https://www.daskeyboard.com/p/5qs-smart-rgb-mechanical-keyboard/
㍂
YubiKey Bio、 OpenPGP は使えないが、 SSH の resident key を使うには最適だな。
普通の YubiKey 5 で resident key の verify-required すると PIN 入力必要になるらしいし、かといって verify 不要にすると挿しているだけで鍵が使えてしまうのでそれも嫌だけど、指紋認証が使えるなら問題が綺麗に解決する
Yubikey Bio Reviewed (GitHub Auth & Linux Login) - Gadgetoid Gadgetoid
https://www.gadgetoid.com/2021/12/05/yubikey-bio-reviewed-github-auth-linux-login/
いや、しかしこの記事を見ると Bio で verify-required 使ってなくて普通に ssh-add -K 時に PIN を入れる感じでやってるっぽいし、よくわからんな……
このアカウントは、notestockで公開設定になっていません。
このアカウントは、notestockで公開設定になっていません。
一応生体と所有の2要素になっているので、そちらを目指すという話では (というかパスワードレスを目指すにはそれしかない)
寝ている間に指使われたらどうすんのというのは割合深刻なリスクだとは思うが、一方それって PIN やパスワードを使ってもキーロガー仕込まれてたらどうするのというのと同レベルの話だとも思う
弱点となる状況が違うというだけで、一方が一方的に優位というわけではなさそう
このアカウントは、notestockで公開設定になっていません。
https://mastodon.cardina1.red/@lo48576/107424461398249499
YubiKey の FIDO U2F による SSH 鍵、この問題もあるんだよな
ホストが UP を要求しているときは touch が必要なモードにフォールバックなどしてくれれば良いのに、鍵ごと無視されてしまうのか……それはちょっとなぁ
かといって no-touch-required なしで日頃「デバイスを取り外すまではタッチなしでいける」みたいなのが可能かといえば不可能だし…… (ssh-add してももちろん駄目)
-O no-touch-required で作成した SSH の -sk 鍵、 authorized_keys に no-touch-required がなかった場合は普通にタッチ必要なのかなと思ったら、そんなことはなくて完全に無視されるのか……嫌だなぁ
GitHubのSSH接続でセキュリティキーを使ってみた - Qiita
https://qiita.com/gebo/items/50c8da8d5159da879588
> いちいちタッチするのめんどくさいんだけど GitHub は -O no-touch-required には対応していないみたいですねぇ。
これマジ? (2021-06 情報)
試してみたが、たしかに no-touch-required 指定できないし、省いたら省いたで認証通らなかった
つまりこれ、 no-touch-required を有効にしてしまうと一部サービスでその鍵が使えず、かといって無効にすると今度はいかなる場面でもタッチが必要ってことでしょ。
内部的に複数回 ssh を起動するようなスクリプトとかあったら毎度様子を見てタッチしないといけないわけだ
このアカウントは、notestockで公開設定になっていません。
そもそも FIDO2 とかの passwordless authentication って私有鍵をデバイス外に取り出せない前提になっている気がするので、それはあまり関係ない気がする
認証デバイスがサービスから認識されていることをもって所有が検証され、かつそのデバイスが生体要素を検証することで正しいレスポンスを返すという機序になっているのではと思うんだけど、サービスとデバイス間では普通にチャレンジレスポンス的な何かをしているのだろうし、認証デバイスがいくつに増えようがちゃんと信頼できる (≒ FIDO の認証を受けている) 認証器であれば問題ないのでは
そもそもパスワードマネージャは共通鍵で情報を暗号化しているはずだから、その共通鍵をマスターパスワードから derive しないのであればどこから鍵を持ってくるんじゃ (あるいはどこに鍵を保存してしまうんじゃ) という話か。
まさかそれなりのサイズになりうるパスワードストアを非対称鍵暗号を直に使って弄っているとも思えないしな。
LastPass と 1Password (それ自身) がパスワードレス認証に対応したがっているらしいという話なので、ログイン時にマスターパスワードがユーザから供給されなくなるはずで、そのとき秘密情報の暗号化をどうするか? という
[Feature Request] Allow use of "no-touch-required" for sk ssh keys · Discussion #10593 · github-community/community
https://github.com/github-community/community/discussions/10593
When can I use ssh public key type like ed25519-sk and ecdsa-sk - GitHub Help / How to use Git and GitHub - GitHub Community
https://github.community/t/when-can-i-use-ssh-public-key-type-like-ed25519-sk-and-ecdsa-sk/3144/40
GitHub の no-touch-required 非対応なぁ
Security keys are now supported for SSH Git operations | The GitHub Blog
https://github.blog/2021-05-10-security-keys-supported-ssh-git-operations/
> you might wonder why we require verification (via the security key “tap”) when you can configure your security key to allow operations to proceed as long as the security key is present. While we understand the appeal of removing the need for the taps, we determined our current approach to require presence and intention is the best balance between usability and security.
意図した仕様なんだろうなぁ
でも user presence と verification って違うんじゃねえの……? という気持ちがあります
Yubikey - PIV vs Security Key
Ansible
https://www.jdieter.net/posts/2021/11/30/piv-vs-sk/
> Due to the way that Ansible re-uses SSH connections, you only have to tap the Yubikey once when deploying a change to a single server. However, when deploying a change to many servers (we have over 100 call servers around the world), you have to tap the Yubikey for every. single. server.
ansible はコネクションを使い回してくれるからホスト単位のタッチで済む、なるほどね
Add support for security key/FIDO2-based ssh keys (#213259) · Issues · GitLab.org / GitLab · GitLab
https://gitlab.com/gitlab-org/gitlab/-/issues/213259#note_827207788
> We are not going to `support no-touch-required` at the moment. We understand the appeal of removing the need for the touches, but we think that the approach to require user presence is the best balance between usability and security.
GitLab も同様に現時点で no-touch-required のサポート予定はなしと。
mitome.in へ fix typo のプルリコを出した
PIV PIN and touch policies
https://docs.yubico.com/yesdk/users-manual/application-piv/pin-touch-policies.html
PIN policy と Touch policy があるらしく、 PIN policy で once にするとセッション中ずっと持続するみたい。で、 Cached にすると15秒だけ持続するらしいから、私の環境だと PIN policy がこれになってるのかな
> If you want a policy different from the default for a private key, you must specify that policy when the key is generated or imported. Once the key is on the YubiKey there is no way to change the policy.
ほげー
うーん、でもこれが OpenPGP での利用に本当に影響しているのかちょっと自信ないな
このアカウントは、notestockで公開設定になっていません。
このアカウントは、notestockで公開設定になっていません。
このアカウントは、notestockで公開設定になっていません。
このアカウントは、notestockで公開設定になっていません。
The Fomu family. | I’m Tomu - A tiny ARM microprocessor which fits in your USB port.
https://tomu.im/
Solo V2 - Safety Net Against Phishing | Indiegogo
https://www.indiegogo.com/projects/solo-v2-safety-net-against-phishing#/
Solo 2 Getting Started - HackMD
https://hackmd.io/@solokeys/solo2-getting-started
Web3 の次は Web3.1, Web3.14, Web3.141... とバージョンが進んでどこかで Webπ として固定されるんだろ。俺は詳しいんだ
このアカウントは、notestockで公開設定になっていません。
HTML とか XML 系ベースなら @ lang とか @ xml:lang とか使ってインラインに言語を設定できるんだけど、 fediverse の処理系でそれをさせてくれるものがあるかは疑問
markdown を直接受け入れる (かつ HTML をエスケープしない) ような処理系であれば可能か?
このアカウントは、notestockで公開設定になっていません。
よくシンクせずシープを乗せまくったらシップがシンクしたのか
このアカウントは、notestockで公開設定になっていません。
GAFA の A について「Apple となんだっけ…… たぶん配達系の……そう AliExpress!」となったけど冷静に考えると絶対違うんだよな
このアカウントは、notestockで公開設定になっていません。
たった今人を殺してしまっていそうなクソデカテックじゃん
Microsoft
Apple
Netflix
Cisco
Oracle
このアカウントは、notestockで公開設定になっていません。
このアカウントは、notestockで公開設定になっていません。
USB のメジャーバージョンと Gen などもさることながら、 PCIe のレーン数とかの概念も絶妙にわかりづらい
このアカウントは、notestockで公開設定になっていません。
このアカウントは、notestockで公開設定になっていません。
Revealed: Our Plans For Thunderbird On Android
https://blog.thunderbird.net/2022/06/revealed-thunderbird-on-android-plans-k9/
ほぇー
このアカウントは、notestockで公開設定になっていません。
