タグ: security

ASP.NET Core 11 における TokenValidationParameters の完全ガイド: ValidateIssuer、ValidateAudience、ValidateLifetime の動作、実際のデフォルト値、なぜ Authority が発行者と署名キーを自動構成するのか、5 分間の ClockSkew の罠、そして一見有効なトークンが拒否されたときに IDX エラーコードを読む方法を解説します。

ASP.NET Core 11 における bearer トークン API の CORS 完全ガイド。認証に対する UseCors の正しい順序、Authorization ヘッダーの bearer トークンが CORS の資格情報ではない理由、AllowAnyHeader は機能するのに手書きのワイルドカードが Authorization を含めない理由、そして preflight を失敗させない方法を解説します。

.NET 11 Preview 5 は System.Security.Cryptography に第一級の X25519DiffieHellman 型を追加し、BouncyCastle や NSec なしで Curve25519 の鍵交換ができます。

Anthropic は Claude Code 向けの無料プラグイン security-guidance をリリースしました。エージェント自身の編集を 3 つの層で脆弱性スキャンし、コストなしのパターンマッチから commit 時のエージェント的レビューまでをカバーします。

NuGet パッケージプルーニングが net10.0 プロジェクトでデフォルト有効になり、transitive な脆弱性レポートを 70%、restore 時間を最大 50% 削減します。

Microsoft の新しい Microsoft.AgentGovernance パッケージは、MCP ツール呼び出しをポリシーカーネル、セキュリティスキャナー、レスポンスサニタイザーで包みます。各部品が何をするのか、C# での配線がどうなるのかを見ていきます。

Aspire 13.2.4 は CVE-2026-40894 に対応する OpenTelemetry の更新を含みます。baggage、B3、Jaeger プロパゲーターのパースで Gen0 のアロケーションが増幅される問題です。Aspire を使っていなくても OpenTelemetry.Api と OpenTelemetry.Extensions.Propagators を 1.15.3 に更新してください。

Microsoft.AspNetCore.DataProtection 10.0.0 から 10.0.6 の HMAC 検証不具合は攻撃者に ciphertext の偽造を許します。.NET 10.0.7 は必須の修正です。

.NET 10 はポスト量子暗号アルゴリズム ML-KEM、ML-DSA、SLH-DSA をネイティブ サポートし、量子耐性のある未来に向けてアプリケーションを準備します。