日銀って株式あるんだ
for ofの中で非同期処理をしない · eai04191/next-dropzone-sample@eac72ec
https://github.com/eai04191/next-dropzone-sample/commit/eac72ecacb5015e4dd330e1362f323ec2377d858?diff=split
実務経歴n年なのにfor-ofのなかで非同期処理してぶっ壊れていた情けないコミットを見てくれ
event listenerの中でawaitすると復帰したときにイベント由来の変数が壊れてることがある、なるほど……
イベントハンドラ内でawaitするのがそもそもヤバいんだけど、実際こうやって示されると気付けるけど言われないと難しい
MFAがどういう攻撃を想定してどういう理屈でセキュリティを高めてるのかよく分かってないんだけど、1台のスマホにLastpass(等のパスワードマネージャ)とTOTPを両方入れてるのって安全なの?
@zundan パスワードが単独で漏れるタイプの攻撃が想定ってことなんですかね。現実的には1台のスマホに両方入れるのでスマホの紛失に対しては脆弱だけど、あまりそこを突っ込んだ議論はない?
TOTPとパスワードマネージャ入りのスマホを落としても、まともな実装のパスワードマネージャならマスターパスワードか指紋を毎回要求するからまだ二要素にはなってるのかな
@zundan まあそうですよね。とはいえ現実的には
・スマホは各種サービスにアクセスする汎用端末として使われるので、パスワードを扱う必要がある
・追加の投資が不要なTOTPデバイスとしてスマホが要求されがち
という状況なので、パスワードマネージャとTOTPを完全に別デバイスに分けろ!というのは理想論が過ぎると思っています。普通の人はスマホ以外にデバイスを持ち運ばないので……。
実際の運用としても https://social.mikutter.hachune.net/@osa_k/110268653739341786 のようにパスワードマネージャは追加の要素を求めるので、「MFAを設定しない」状態よりはだいぶ安全な気がしています。
@zundan TOTPのクラウド共有が気持ち悪いのはそうで、YubiKeyみたいなセキュリティトークンが流行るといいですね……。TOTP + バックアップコードしか2FAの手段がないサービスもいくつかありますが……(手元で調べた範囲だとRedditとさくらがそうでした)
二要素認証も正直めんどいし、アカシックレコードにアクセスして真正なユーザかどうか判定するようになってほしい
人間の画像認識力がガバいので、AIみたいな形で低コストで自動生成できるエンジンを公開すると、粗悪品を乱造してダンピングを起こす狂人とトレパク警察に代表されるガバガバ粗悪品判定をする狂人が跳梁跋扈して終わる(終わってる)という話だと理解しています
