Collect and Share Your Favorite WordsHighlight & save notes on any web page ✍️ Take a look 👀 >
はじめに 問:署名証明書の有効期限切れ=署名の有効期限切れ…なのか? PKI(公開鍵基盤)ベースのX.509電子証明書(以後、証明書)を使ったデジタル署名の電子署名方式には有効期限があるのでしょうか?署名に使った証明書の有効期限が切れてしまった場合に、その署名は無効になるのでしょうか? 答:署名証明書の有効期限切れ=署名の有効期限切れ…とは限らない。 デジタル署名の検証結果は「有効/VALID」と「無効/INVALID」の2種類と思われがちですが、実はその間に「不明/INDETERMINATE」と言う状態があります。不明状態とは検証に必要となる検証情報が不足している状態です。過去に「電⼦署名検証を10分で説明してみる」でも説明していますのでお時間があればご覧ください。 さて検証に必要な情報には大きく分けると「認証パスの証明書群 以後、認証パス」「各証明書の検証情報(CRL/OCSP等) 以
こんにちは、 @okazu_dm です。 この記事は、CookieのSameSite属性についての解説と、その中でも例外的な挙動についての解説記事です。 サードパーティCookieやCSRF対策の文脈でCookieのSameSite属性に関してはご存知の方も多いと思います。本記事でCookieの基礎から最近のブラウザ上でのSameSite属性の扱いについて触れつつ、最終的にHSTS(HTTP Strict Transport Security)のような注意点を含めて振り返るのに役立てていただければと思います。 前提条件 Cookieについて Cookieの属性について SameSite属性について SameSite属性に関する落とし穴 SameSite属性を指定しなかった場合の挙動 SameSite: Strictでも攻撃が成功するケース 例1: スキームだけ違うケース 例2: サブドメイ
こんにちは、 InfraAcademyというLinuxやネットワークの学習サービスを作成しております、ryuと申します。 サーバー構築が練習できるLinux学習サイトInfraAcademyについてご紹介します! シミュレーターを使ってサーバー構築の練習ができる InfraAcademyでは、Linuxのシミュレーターを使ってサーバー構築の練習ができます。 今までは、VirtualBoxで学習を進めていた人も多いでしょう。 私自身もVirutalBoxでサーバーの学習をしていました。しかし、環境構築に時間が掛かります。特に、複数台の連携したサーバー構築の準備に時間がかかりました。 しかし、InfraAcademyではそのような手間は一切かかりません! 関連記事:インフラ学習におすすめのサイトInfraAcademyとは? 環境の準備が1クリック Linuxの環境準備は1クリックで完了です!
フロントエンドエンジニアや、主流のフロンエンドフレームワークの React と Vue.js を触った経験がある方なら、仮想 DOM という言葉を聞いたことがあると思います。仮想 DOM はフロンエンド開発において、パフォーマンスを向上させるスタンダードになるほど、普及してきました。しかし、その一方で仮想 DOM を使わないトレンドも最近流行っています。この記事では、仮想 DOM について、また仮想 DOM の時代はもう終わりなのかを討論したいと思います。 The DOM 最初に、DOM についてみてみましょう。MDN docsによると、 DOM (Document Object Model) はウェブ文書をノードとオブジェクトで表現します。そうやって、プログラミング言語をページに接続することができます。 すなわち、DOM のおかげで、HTML のノード上に直接作業し、Javascript
はじめに こんにちは、エンジニア2年目の嶋田です。 まずは、この記事を開いていただきありがとうございます! セキュリティは現代のテクノロジー社会において非常に重要なテーマとなっています。 ウェブアプリケーションやシステムの開発において、セキュリティの脅威を理解し、対策を講じることは不可欠です。 今回は、セキュリティの中でも代表的な脅威とその対策について紹介します。 目次 脆弱性とは何か? セキュリティの基本 認証と認可の重要性 データの保護と重要性 2023.0829更新 パスワードの取り扱い クレジットカード情報の取り扱い 暗号化の役割 セッション管理の重要性 主要な脆弱性の概要 クロスサイトスクリプティング(XSS) クロスサイトリクエストフォージェリ(CSRF) SQLインジェクション 2023.0829更新 セッションハイジャック パラメータ改竄 2023.0829更新 データ暴露
HTTP/3|Webエンジニアが知るべき新常識 ─ QUICやコネクションマイグレーションなどを学ぶ 新しい通信プロトコルとして普及が進んでいるHTTP/3については、エンジニアHubでも過去に概論的な記事を掲載しています。今回はアプリケーション開発者が自社サービスでHTTP/3を採用することを想定して、仕様上の留意点や、どのように使い始めるか、そしてサイトを制作する際に注意しておきたいポイントまでを藤吾郎(gfx)さんに解説していただきました。 本記事ではHTTP/3およびその通信プロトコルであるQUICを、アプリケーション開発者として活用する立場で入門します。HTTP/3は、HTTP/1.1とHTTP/2に続く新しいメジャーバージョンのHTTPプロトコルです。HTTP/3はHTTP/1.1およびHTTP/2を置き換えるポテンシャルを持っています。将来的にほとんどのインターネットトラフィ
セキュリティ本部 セキュリティ情報統括室に所属 システム開発者。2000年問題で「2038年問題は定年で対応しなくていい!」とフラグを...。 cats_dogs開発者のヒラマツです。 HTTPキャッシュをうまく使う技術、HTTPキャッシュ制御を解説します。 HTTPキャッシュは、WebアプリなどのWebサービスの通信を最適化する技術です。 HTTPのCache-Controlヘッダーの使い方の話でもあります。 HTTPキャッシュ制御と言っても、Cache-Controlヘッダーの設定だけなので、簡単そうに思えます。 しかし、正しく設定しようとすると、案外、複雑で苦労します。 また、理解なしに使うと、情報漏えいの問題を起こす可能性もあり、適当に設定するのは危険です。 ぜひ、この文章を読んで、理解した上で、Catch-Controlを設定してください。 cats_dogsの仕様を書くときに、
Chrome 113 で、 DevTools の Network ペインで HTTP ヘッダを好きなように編集して、いろんな状態をお試しできるようになっている。 What's New in DevTools (Chrome 113) - Chrome Developers で紹介されている。 GitHub から example.com を fetch してみる GitHub の CSP ヘッダを上書き example.com の CORS のヘッダを上書き 途中で指定したフォルダの中身は何? 上書きをやめるには? 感想 GitHub から example.com を fetch してみる 試しに、 CSP で外部への通信がそれなりに制限されている GitHub から、 example.com への fetch を成功させてみる (外部サイトへの通信は、認証情報や秘密の情報の漏洩などに気をつ
こんにちは、馬場です。 これは、TECHSCORE Advent Calendar 2016 の1日目の記事です。 この1-2年、マイクロサービス・サブシステムに分割し、AWSとオンプレミスを使い分けてシステムを構築しています。システムを運用していく中で、オンプレミス環境/モノリシックデザインのシステムにはない経験をしました。それはネットワークの不安定さによる障害です。 通信障害は発生する前提でシステムを構築する。 AWS関連のさまざまな記事や、このブログでも書かれていることです。 わかっています。わかっているつもりだったのですが、1年間運用してみて、本当に定期的にネットワーク断が発生し、夜中に起こされ、休日に調査したりして、やっぱり1年前の私はわかっていなかったのだな、と感じました。 この記事ではどうやって乗り越えたか、シェアしたいと思います。 リトライする 基本は「リトライ」 ネットワ
【変更履歴 2018年2月15日】当初の記事タイトルは「いまなぜHTTPS化なのか? 技術者が知っておきたいSEOよりずっと大切なこと ― TLSの歴史と技術背景」でしたが、現行のものに変更しました。現在GoogleではWebサイトのHTTPS対応と検索結果の関係を強調しておらず、本記事の趣旨の一つにも本来は独立した問題であるSEOとHTTPS化を関連付けるという根強い誤解を解くことがありますが、当初のタイトルではかえってSEOとHTTPSを関連付けて読まれるおそれがあり、また同様の指摘もいただいたことから変更いたしました。 HTTPとHTTPSは、共にTCP通信上で動作します。したがって、いずれもTCPハンドシェイクで通信を開始します。 HTTP通信の場合には、このTCPハンドシェイク直後に、HTTPリクエストとレスポンスのやり取りが始まります。このHTTPのやり取りは平文通信であり、途
データセンター内のIP共有サーバー間でIPを共有するという考え方は新しいものではありません。ルーター上のSource-NATで実現してきた方法です。残念なことに、必要なエグレスIPの数が非常に多く、また運用のサイズも大きいため、ルーターレベルでステートフルファイアウォールまたはNATに依存できません。また、当社は共有状態を好まないので、NATの分散インストールは避けたいところです。 代わりに選択したのは、ポート範囲によるサーバー間におけるエグレスIPの分割です。特定のエグレスIP に対して、各サーバーは使用可能な送信元ポートのごく一部(ポートスライス)を所有します。 インターネットからリターンパケットが届くと、それを正しいマシンに戻すルーティングをしなければなりません。このタスクのために、L4 XDPベースのロードバランサーである "Unimog "をカスタマイズしました。当社のL4 XD
導入 OWASP Top 10 - 2021 へようこそ OWASP トップ 10 の最新版へようこそ! OWASP トップ 10 2021年版は、グラフィックデザインが一新され、1ページのインフォグラフィックになっています。インフォグラフィックは、ホームページから入手でき、印刷することができます。 今回のトップ10の作成にあたって、貴重な時間やデータを提供してくださったすべての皆さんに感謝します。皆様のご協力なくしては、OWASP トップ 10 2021年版は存在し得ません。本当に、感謝いたします。 2021年版トップ10の変更点 2021年版トップ10では、3つの新しいカテゴリー、4つのカテゴリーの名称とスコープの変更がありました。統合されたものもいくつかあります。 A01:2021-アクセス制御の不備 は、5位から最も深刻なWebアプリケーションのセキュリティリスクへと順位を上げまし
Google ChromeやMicrosoft Internet Explorerといった主要ブラウザは、セキュリティ強化のため2020年上半期からTLS1.0/1.1の接続無効化の対応を進めています。「TLS」は、ネットワークにおけるデータ暗号化の仕組みで、暗号化プロトコル「SSL」の後継規格として2000年前後に発足し、現在TLS1.3までリリースされています。TLS1.0/1.1を利用している場合、Webサイトに接続できなかったり、安全な通信ではないことを示す警告が出てしまったりするため、ユーザは正常にアクセスが出来なくなることが想定されます。自社サイトのユーザビリティやPV数を下げないためにも、サーバ管理者は早急にTLS1.2への移行を検討すべきでしょう。ここでは、TLS1.0/1.1を使い続けるリスクや、1.2へ移行した場合のメリットについて解説します。 TLSとは何か? まずT
内容 SSL/TLS、インターネット技術、セキュリティに興味のある人周辺で『プロフェッショナルSSL/TLS』 の読書会を2017/5からやっています。W3CのHTTPS in Local Network Community Group (ローカルネットワークにも適切な証明書を発行できる機構を作ってHTTPS/WSSを使えるようにしよう!ということを目指す団体 )の勉強会のスピンオフ企画のようなものです。 今のところ資料まとめて発表+気になるネタを持ってきてもらってそれについて質疑応答(発表者以外も大歓迎!)、というスタイルでやっています。 会場 httpslocal CGの参加メンバーが主に会場を確保していますが、まだ確定ホームがあるわけではありません。
この文書は「RFC 9113」の日本語訳です。 原文の最新版は、この日本語訳が参照した版から更新されている可能性があります。 この日本語訳は参考情報であり、正式な文書ではないことにも注意してください。また、翻訳において生じた誤りが含まれる可能性があるため、必ず原文もあわせて参照することを推奨します。 公開日: 2022-08-08 更新日: 2022-08-08 翻訳者: Moto Ishizawa <[email protected]> 概要 この仕様は、HTTP バージョン2 (HTTP/2) と呼ばれる、最適化された Hypertext Transfer Protocol (HTTP) のセマンティクス表現について説明します。HTTP/2 は、フィールド圧縮を導入し、同一接続上での複数同時通信の実現により、ネットワークリソースのより効率的な利用とレイテンシの削減を可能にします。 この
Resource株式会社は、3,000の実績データをもとにwebエンジニアの業務委託単価表を公開したと発表した。 現在の単価が適正単価なのか、次の単価レンジに行くにはどうすれば良いか、開発発注プラットフォーム「ISSUE」の実績を使い調査したとのことだ。 2022年11月ではISSUE上に1,800人以上のユーザーデータと2,000以上の単価診断結果があるという。またISSUEではクラウドソーシング形式で企業とマッチングすることにより、報酬を獲得することができる。その際の契約時給単価を今回の相場作成の参考にしているとのことだ。 ・1,000〜2,000円 インターン・アルバイトレベル。プログラミングを始めたての学生や勉強中の人が対象になる。実務経験としては0〜1年ほどの人が当てはまる。プログラミングの概念を学んでいる段階なので、外部APIなどの公式ドキュメントを理解するのが難しい場合もある
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く