Webサービスにおけるログイン機能の仕様とセキュリティ観点 - Flatt Security Blog
はじめに こんにちは。株式会社Flatt Securityセキュリティエンジニアの村上 @0x003f です。 本稿では、Webアプリケーション上で実装される「ログイン機能」の実装パターンをいくつか示し、その「仕様の中で起きうる脆弱性」とその対策について解説していきます。 「ログイン機能」はToB、ToC問わず多くのWebアプリケーションで実装されている機能で、XSSやSQL Injection、Session Fixationといったような典型的な脆弱性の観点については、なんらかの解説を見たことのある方も多いと思います。 しかし、「仕様の脆弱性」というのはあまり多く語られていない印象です。今回はそのようなタイプの脆弱性についての解説を行います。なお、IDaaSを用いずに自前でログイン機能を実装しているケースを複数パターン想定しています。 はじめに ログイン機能の仕様パターンとセキュリティ
Meet Face ID and Touch ID for the Web
People often see passwords are the original sin of authentication on the web. Passwords can be easy to guess and vulnerable to breaches. Frequent reuse of the same password across the web makes breaches even more profitable. As passwords are made stronger and unique, they can quickly become unusable for many users. Passwords indeed look notorious, but are passwords themselves the problem, or is it
AWS Single Sign-On が東京リージョンで利用できるようになりました | Amazon Web Services
Amazon Web Services ブログ AWS Single Sign-On が東京リージョンで利用できるようになりました みなさん、こんにちは。アマゾン ウェブ サービス ジャパン、 シニアアドボケイトの亀田です。 AWS Single Sign-On (SSO) が東京リージョンでご利用頂けるようになりましたのでお知らせいたします。 AWS SSO AWS SSOは複数の AWS アカウントとビジネスアプリケーションへのアクセスの一元的な管理を実現し、1か所からのシングルサインオンアクセスをユーザーに提供し、AWS Organizations にあるすべてのアカウントに対するアクセスとユーザーアクセス許可を簡単に一元管理することができます。AWS Organizationとの連携により、個々のAWS アカウントにおける追加のセットアップを必要とすることなく、アカウントに必要なア
SSL (TLS) 対応プロトコルのリスト - Qiita
御社の常時SSL (TLS) への対応はお済みですか。というわけで本稿ではRFCで標準化されているプロトコルのうち、SSL (TLS) に対応済みのものを列挙していきたいと思います。 用語の定義 本稿では、以下の用語を使います。 Implicit TLS (暗黙のTLS) TCPコネクション開始と同時にTLSセッションがいきなり始まる方式です。httpsなどはこれです。平文通信用と暗号通信用に別々のポートを割り当てる必要がありますが、そのぶん低レイテンシーを実現できます。 Explicit TLS (明示的TLS) TCPコネクションが確立すると、最初は平文で通信が始まり、そこからTLSへ移行する方式です。STARTTLSとか、そんな感じのコマンドが用意されているのがこれです。特徴としては、平文通信と暗号通信を同じポートでカバーできます。平文で始まって暗号へ切り替わるという手順を踏む分、レ
AWSアカウントを作ったら最初にやるべきこと ~令和元年版~ | DevelopersIO
はじめに 中山(順)です 4年ほど前にこの記事のタイトルと同じテーマで資料を作成したことがあるのですが、古い内容があったり新しいサービスのことが含まれていなかったりするので改めてまとめてみました。令和だし! その時の資料はこちらです(クラスメソッドにジョインするくらい2年前です)。 AWSアカウントを作ったら最初にやるべきこと サインアップ (業務利用の場合)非個人メールアドレスでサインアップ サポートプランの確認 ID管理 / 権限管理 CloudTrailの有効化 ルートアカウントのMFA設定 IAM User / IAM Groupの作成 パスワードポリシーの設定 GuardDutyの有効化 Security Hubの有効化 請求 IAM Userによる請求情報へのアクセス許可 支払通貨の変更 Budgetの設定 Cost Explorerの有効化 Cost Usage Report
リンクを作る時の target="_blank" の危険性 - 隙あらば寝る
html で リンクを新しいタブ(やウィンドウ)で開かせたい場合、target="_blank" を指定するが、 この使い方には落とし穴があるらしい。 www.jitbit.com リンクを開いた先の javascript から、開いた元のページを操作できてしまうとのこと。 気になったので確認してみた。 悪用のパターン insecure.html が最初に開くページで、ここに target="_blank" なリンクがある。 このリンクを押すと new_window.html を新しいタブで開く。 この new_window.html に javascript が仕込まれており、元ページを操作されるという話。 具体的には window.opener.location="./evil.html" と実行すると、元タブは evil.html に遷移する。 実際試してみたのが ここ。 リンクを開
SSL証明書とは? 基礎から学ぶSSLコラム | さくらのSSL
さくらのSSLコラム SSLとは?といった基本の理解から、その必要性や選び方のコツ、最新情報まで、 初心者にも上級者にも役立つコラムを更新しています。 先日「RSA暗号を高速で解読できるアルゴリズムを開発した」と主張する”未査読”の論文が発表され、SNS上で「RSA暗号」がトレンド入りする珍しい事態が起きました。今回は実際にRSA暗号を高速で解読できたら何が起きるのか?本当にインターネットは終わるのか?という点について考えてみましょう。 SSL証明書が発行されるのを待っていると「発行に失敗しました。設定をご確認ください」といった内容の通知が来て、対応に困った経験をした方も多いのではないでしょうか?発行の失敗には様々な原因がありますが、今回はその原因についてご紹介します。
Let's Encrypt 総合ポータル
Let's Encrypt 最新情報 ・ワイルドカード証明書と ACME v2 へ対応が完了しました(2018年03月15日 更新) ※技術的な詳細については ACME v2 とワイルドカード証明書の技術情報 をご覧ください。 ※ワイルドカード証明書の取得には、ACME v2 プロトコルに対応したクライアントと DNS による認証が必要です。証明書の取得・更新の際に、DNS の「TXT レコード」にワンタイムトークンを登録する必要があります。 ※サブジェクトの代替名(SAN : Subject Alternative Name)を使用した 複数のドメイン名・サブドメイン名に対して有効な証明書 も引き続き取得可能です。 Let's Encrypt について Let's Encrypt は、認証局(CA)として「SSL/TLSサーバ証明書」を無料で発行するとともに、証明書の発行・インストール・
Webアプリの脆弱性調査ツール、脆弱性学習ソフトなど
ラック ITプロフェッショナル統括本部 ESS事業部 システムアセスメント部 担当部長。入社以来、ユーザー企業などのセキュリティ診断を手掛ける。最近飼い始めたフェレットと前からいる愛しの猫とのけんかに悩まされている。 セキュリティ技術者の山崎 圭吾さんがオススメするフリーソフトは、セキュリティチェックに使う「OWASP Zed Attack Proxy(ZAP)」とセキュリティの学習に使う「AppGoat」、Windows上でLinuxコマンドによる操作を可能にする「Cygwin」の三つ。最初の二つは、企業のセキュリティ担当者やシステム開発者が、セキュリティを学習するための入門ツールとしてぴったりだ。 OWASP ZAPは、Webアプリケーションの脆弱性を調べられるソフト。通信の中身を確認したり止めたりする「プロキシー」と、Webサイト内のコンテンツをリストアップする「スパイダー」、セキュ
ルーターの欠陥で被害相次ぎ異例の社告 NHKニュース
パソコン周辺機器メーカーのロジテック社は、3年前に販売を終えた「ルーター」と呼ばれるインターネット接続機器の欠陥がサイバー攻撃に悪用される被害が相次いでいることから、2日、大手新聞5紙に社告を掲載し、利用者にパスワードの変更などを呼びかける異例の対応を取りました。 この欠陥を放置したままで、ルーターを利用した結果、ネットの接続に必要なIDとパスワードが外部に流出し、サイバー攻撃に悪用される被害が続いているということです。 メーカーでは、3年前にホームページなどを通じてこの欠陥を公表していますが、2日改めて、大手新聞5紙に社告を掲載し、ルーターの利用者に、ホームページを通じて最新のソフトウェアに更新するとともに、ネット接続の際に必要なパスワードを変更するよう異例の呼びかけを行いました。 また警視庁も特設ページを開設し、ロジテック社のルーターの利用者に注意を呼びかけています。 製品に関する詳し
Home
Workbench is a powerful, web-based suite of tools designed for administrators and developers to interact with Salesforce.com organizations via the Force.com APIs. Workbench includes robust support for the Force.com Partner, Bulk, Rest, Streaming, Metadata, and Apex APIs that allows users to describe, query, manipulate, and migrate both data and metadata in Salesforce.com organizations directly in
SAML認証ができるまで - Cybozu Inside Out | サイボウズエンジニアのブログ
こんにちは、Slashチームの渡辺です。 Slashチームでは、ユーザー管理や認証周りなどの、cybozu.comの各サービスに共通する機能を開発しています。今回は、3月にリリースされた、SAML認証を用いたシングルサインオン機能1についてお話させて頂きます。cybozu.comでのSAML認証の概要にくわえて、それらの機能をどのように設計・実装していったか、という誰も興味ないニッチな話題を扱います。 SAML2 って? 「SAMLなんて聞いたこと無いけどなんとなく興味があるぞ!!」という物好きな方のために、SAMLの概要とcybozu.comでの利用について、簡単に説明します。そんなものは既に知っているというSAML猛者な方は読み飛ばして頂いて構いません。 SAMLはSecurity Assertion Markup Languageの略で、OASIS3によって策定された、異なるセキュリ
ログアウト機能の目的と実現方法
このエントリでは、Webアプリケーションにおけるログアウト機能に関連して、その目的と実現方法について説明します。 議論の前提 このエントリでは、認証方式として、いわゆるフォーム認証を前提としています。フォーム認証は俗な言い方かもしれませんが、HTMLフォームでIDとパスワードの入力フォームを作成し、その入力値をアプリケーション側で検証する認証方式のことです。IDとパスワードの入力は最初の1回ですませたいため、通常はCookieを用いて認証状態を保持します。ログアウト機能とは、保持された認証状態を破棄して、認証していない状態に戻すことです。 Cookieを用いた認証状態保持 前述のように、認証状態の保持にはCookieを用いることが一般的ですが、Cookieに auth=1 とか、userid=tokumaru などのように、ログイン状態を「そのまま」Cookieに保持すると脆弱性になります
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
