Node.jsのセキュリティ・チェックリスト | POSTD
(訳注:2016/1/5、いただいた翻訳フィードバックを元に記事を修正いたしました。) セキュリティ – 誰もが見て見ぬふりをする問題 。セキュリティが重要だということは、誰もが認識していると思いますが、真剣にとらえている人は少数だと思います。我々、RisingStackは、皆さんに正しいセキュリティチェックを行っていただきたいと考え、チェックリストを用意しました。皆さんのアプリケーションが何千人というユーザやお客様に使用される前にセキュリティチェックを行ってください。 ここに挙げたリストのほとんどは概略的なもので、Node.jsに限らず、全ての言語やフレームワークに適用することができます。ただし、いくつのツールは、Node.js固有のものとなりますので、ご了承ください。 Node.jsセキュリティ に関するブログ記事も投稿してありますので、こちらも是非読んでみてください。 構成管理 HT
シェルスクリプトの平文パスワードをセキュアにする方法 - 余白の書きなぐり
追記: (2015/8/3) 大量のはてブが付いたので 続き を書きました。 sshを使用している人は文字列を手軽に暗号化・復号化できるという話。 このテクニックを使えば色々セキュアになるのでおすすめ。 今回はシェルスクリプト中の平文パスワードをセキュアに代替する。 平文パスワードはやめよう シェルスクリプト中でパスワードが必要になったとき、 とりあえず平文で書いてしまいがち。 #!/bin/sh PASSWORD="hoge" これをセキュアにしたい。 面倒くさいのは嫌なので、なるべく手持ちのツールで暗号化、復号化したい。 ssh用の rsa 秘密鍵と、openssl(大抵の環境に入っている)を使って改善しよう。 秘密鍵の準備 パスワードを暗号化するにあたって、秘密鍵を使用する. sshを常用している場合は ~/.ssh/id_rsa という秘密鍵が存在するだろう。 もし秘密鍵が無ければ
HTTPS 化する Web をどう考えるか - Block Rockin’ Codes
Update 2015/5/8: 指摘頂いたタイポや誤訳などを更新しました。 2015/5/8: 構成を一部修正しました。 Intro 4/30 mozaiila のセキュリティブログに下記のようなエントリが投稿されました。 Deprecating Non-Secure HTTP | Mozilla Security Blog エントリはそこまで長くないので、ここに翻訳の全文を記載します。 そして、元エントリのライセンスである CC BY-SA 3.0 に則り、 本エントリも同じく CC BY-SA 3.0 とします。 Deprecating Non-Secure HTTP 原文: Deprecating Non-Secure HTTP 今日は、 non-secure な HTTP から、徐々に廃止していくという方針についてアナウンスします。 HTTPS が Web を前進させる手段である
Android OSのパターンロック認証はアルファベット3文字程度のセキュリティ
Androidスマートフォンのロック画面の解除方法にはパスワードやPINコードの入力に加えて、9つのドットをなぞっていく「パターン」があります。しかし、このパターンによる認証のセキュリティは高そうで高くなく、かといって低いのかというと低くもないようです。 delight-im/AndroidPatternLock · GitHub https://github.com/delight-im/AndroidPatternLock 世界中の人々に自分のソフトウェアのプログラムコードやデザインデータを公開し共有できるサービスGitHubに、Android OSのパターン認証全リストなるものが公開されています。パターンリストを作成したのはdelight.imで、パターンロック認証で使われるドットに1から9までの番号を振り、ドットをなぞる順序を数字で羅列することでパターンを文字化しています。 例えば
たったひとつでいいから、完璧にランダムなパスワードをつくって覚えよう! - ICHIROYAのブログ
パスワードが悩みの種だ。 あちこちのサイトでパスワードを入れるように言われるので、なるべく同じパスワードをと思って入れようとするが、小文字と大文字を使えだの、記号を使えだの、8文字以上だのと条件が異なって、同じパスワードを使うことができない。 それに、パスワードを同じにしている場合、万一の場合に、全部のサービスがハッキングされるリスクがあるので、それもやばいと気づき、やっぱり覚えられないので、ついにあるところに書き留めることにした。 どこに書いたかは秘密だが、ほんとうは、足の裏に「入れ墨」で入れたい気分である。 今朝、How to Outguess Passwordsという記事を読んで、悩みはみんな一緒なのだなと改めて思った。 その記事にあった、かなり怖い事実。(以下引用) ◆パスワードを収集するために、つまらないサービスを提供しているサイトがある。収集したメールアドレスとパスワードは、2
サービス終了のお知らせ - NAVER まとめ
サービス終了のお知らせ NAVERまとめは2020年9月30日をもちましてサービス終了いたしました。 約11年間、NAVERまとめをご利用・ご愛顧いただき誠にありがとうございました。
50,000 ドルの価値がある Twitter アカウントが盗まれたその経緯 : にぽたん研究所
ひろしまさん (廣島さん) は、これまでたった 1 文字の Twitter アカウント @N を持っていました。 何故「持っていました」と、過去形なのかというと、どうやら先日、巧妙な罠に、本人ではなく 2 社の有名 IT 関連企業がハメられたことによって、ひろしまさんの稀少なそのアカウントが第三者によって盗まれてしまったそうなのです。 2014/02/26 追記: 記事掲載時点では「持っていました」と過去形で表現していますが、ひろしまさん本人によるツイートで、2014/02/25 の昼過ぎ (日本時間 2014/02/26 の早朝) に、この事件によって盗まれてしまったアカウント @N がようやく取り戻されたことがわかりました。 Order has been restored. — Naoki Hiroshima (@N) February 25, 2014 解決まで一ヶ月以上という相当な
6月9日(日) に放映された「ほこ×たて」の「たて」の裏側について
2013/06/11 コース:元祖こってり 「元祖こってり」記事はネットエージェント旧ブログ[netagent-blog.jp]に掲載されていた記事であり、現在ネットエージェントに在籍していないライターの記事も含みます。 6月9日(日) に放映された「ほこ×たて」の「たて」の裏側について 2013年6月9日に放映されました、フジテレビ「ほこ×たて」に関しまして、反響が大きいようですので撮影の裏側をご紹介いたします。 まず、番組コーナー内の冒頭にご紹介いただきました弊社製品「防人」については、弊社がどのような会社なのかを簡単に紹介するということでお見せしましたが、防人はメールによる標的型攻撃を防ぐための製品ですので、その後の対決には一切使用していません。 実際の対決に際して防御側に求められたのは、サービスパックや修正プログラムの全く当てられていないパソコン上で、脆弱性が確実に存在しているサー
BYODに直面するIT部門、まずやるべきは「利用制限の撤廃」
2013年初頭から企業のIT部門は、従業員によるBYOD(私物端末の業務利用)の拡大に直面することになる。厄介だが、最善の策は、エンタープライズモバイル戦略の一環としてそうした端末をサポートすることだ。 モバイル化の流れはとどまるところを知らない。いったん企業がその事実を受け入れ、対策に着手すれば「新しい端末はもはや問題にはならないはずだ」と業界観測筋は指摘する。 「現実から目を背けるのをやめて、現実を直視できるようになる」と語るのは、米データセキュリティ企業ImpervaのCEOを務めるシュローモ・クレイマー氏だ。「従業員は自分が使い慣れたツールを自分好みの端末で使いたがる。IT部門は、こうしたアプリケーションや端末の利用を制限することをやめるべきだ」と同氏。 関連記事 【事例】DeNAがBYODをやめた理由 【事例】ユナイテッドアローズがBYOD解禁、そのセキュリティ対策は? BYOD
Windows 8に搭載の「IE 10」、閲覧行動の追跡拒否「Do Not Track」をデフォルトで有効に
Windows 8に搭載の「IE 10」、閲覧行動の追跡拒否「Do Not Track」をデフォルトで有効に 「あまりに多くのユーザー情報がオンラインで収集される時代にあって、Windowsユーザーのプライバシーがデフォルトで守られるようにする」とMicrosoft。 米Microsoftは、次期OS「Windows 8」に搭載されるInternet Explorer(IE)10で、Webサイトによる行動追跡拒否の意思を示す「Do Not Track」(DNT)機能をデフォルトで有効にすると発表した。 DNTは、ユーザーがWebサイトに対して自分のネット閲覧行動が追跡されることを望まないと通知する機能。2011年2月からIE 9のオプションとして提供されているほか、Mozilla Firefoxなどの主要Webブラウザもサポートしている。しかしMicrosoftによれば、デフォルトで有効に
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
“IP直打ち”ですり抜ける手口が横行? ブロッキングについての素朴なFAQ