あなたの知らない
データベースのロギングの世界 / logging queriesbuilderscon tokyo 2018 の発表資料です。 https://builderscon.io/tokyo/2018/session/87e13506-2f80-4fae-af9c-2421c7dbb460 ※発表後に分かったこと、教えていただいたことにより、発表時の資料から若干の変更を加えています
パスワードが漏洩しないウェブアプリの作り方 〜 ソルトつきハッシュで満足する前に考えるべきこと
■■序論 徳丸さんのスライド「いまさら聞けないパスワードの取り扱い方」に見られるように、昨今、ウェブアプリケーションの設計要件として、サーバ内に侵入された場合でもユーザーのパスワードをできるだけ保護すべきという論調が見受けられるようになってきました。 上掲のスライドでは、その手法としてソルトつきハッシュ化を勧めています。しかしながらスライドに書かれているとおり、ソルトつきハッシュには、複雑なパスワードの解読は困難になるものの、単純なパスワードを設定してしまっているユーザーのパスワードについては十分な保護を提供できないという問題があります。そして、多くのユーザーは適切なパスワード運用ができない、というのが悲しい現実です。 ソルトつきハッシュを使った手法でこのような問題が残るのは、ウェブアプリケーションサーバに侵入した攻撃者がユーザーの認証情報をダウンロードして、認証情報をオフライン攻撃するこ
ちょっと変わったSQLインジェクション
@IT編集部のセミナーに出てきました 3月2日に、@IT編集部主催の「@IT セキュリティソリューション Live! in Tokyo」にて、NTTデータ先端技術の辻さんとインターネットイニシアティブの根岸さんとともに、ランチセッションに出演してきました。辻さん&根岸さんのトークに絡ませてもらい、あっという間にランチセッションは楽しく終了しました。 事前の準備中はあれだけいろいろと話そうと思っていたのに、いざ始まると時間が足りないくらい盛り上がりました。ちょっと物足りないと思うくらいがいいのかもしれませんね。その会場で使った、2002年と2012年付近の出来事を示した資料がこちらです。 私はちょうど10年前の2002年にラックに入社しました。振り返ってみればあっという間の10年の社会人生活です。こうしてみると、いろんなインシデントがリアル世界とサイバーの世界で起こっていたんだなと懐かしくな
MySQLで機密データを保護するための6ステップ - builder by ZDNet Japan
テクノロジーを基盤とした組織において最も重要な資産は、データベースに含まれている顧客や製品の情報であるのが普通だ。そのため、そのような組織でのデータベース管理におけるクリティカルな部分では、外部からの攻撃やハードウェア、ソフトウェアの障害からデータベースを保護することが必要となる。 多くの場合、ハードウェアやソフトウェアの障害は、データのバックアップを正しく管理することで対処できる。多くのデータベースにはその作業すべてを自動で行うツールが用意されているので、この種の作業は比較的簡単に行うことができ、エラーも発生しにくい。しかしながら、そう単純に行かないのはパズルの2つ目、つまり、外部からハッカーがシステムに侵入するのを防ぎ、システム内部に含まれている情報が盗まれたり破壊されたりしないようにすることだ。残念ながら、この問題を自動的に解決するような方法はないのが普通である。システム管理者である
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
とある診断員とSQLインジェクション
