「安全なウェブサイトの作り方」は、IPAが届出(*1)を受けた脆弱性関連情報を基に、届出件数の多かった脆弱性や攻撃による影響度が大きい脆弱性を取り上げ、ウェブサイト開発者や運営者が適切なセキュリティを考慮したウェブサイトを作成するための資料です。 「安全なウェブサイトの作り方」改訂第7版の内容 第1章では、「ウェブアプリケーションのセキュリティ実装」として、SQLインジェクション 、OSコマンド・インジェクション やクロスサイト・スクリプティング 等11種類の脆弱性を取り上げ、それぞれの脆弱性で発生しうる脅威や特に注意が必要なウェブサイトの特徴等を解説し、脆弱性の原因そのものをなくす根本的な解決策、攻撃による影響の低減を期待できる対策を示しています。 第2章では、「ウェブサイトの安全性向上のための取り組み」として、ウェブサーバの運用に関する対策やウェブサイトにおけるパスワードの取扱いに関す
HTTP/3はどうやってWebを加速するか? TCP、TLS、HTTP/2の問題とHTTP/3での解決策~Fastly奥氏が解説(前編) Webの世界では新しいHTTPの標準として「HTTP/3」の策定が進み、現在最終段階にあります。このHTTP/3はこれまでのHTTPをどのように改善し、高速化を実現していくのでしょうか。 2020年11月25日と26日にオンラインで開催されたFastly Japan主催のイベント「Yamagoya Traverse 2020」のセッション「Webを加速するHTTP/3」で、同社の奥一穂氏がHTTP/3の解説を行っています。 奥氏はHTTP/3に対応したHTTPサーバ「H2O」の開発を行うだけでなく、IETFでHTTP/3の標準策定にも関わるなど、日本においてもっともHTTP/3に詳しい人の一人であるといえます。 本記事では奥氏のセッションをダイジェストで
CloudflareとGoogleのChrome(Canary)がHTTP/3のサポート開始 Firefox(Nightly)も間もなく CloudflareがエッジネットワークでのHTTP/3サポートを利用可能にしたと発表した。GoogleのChromeもCanaryバージョンで利用できる。MozillaのFirefoxも次のNigtlyバージョンでサポートする見込み。 米CDN(Content Delivery Network)大手のCloudflareは9月26日(現地時間)、同社のエッジネットワークでQUICおよびHTTP/3のサポートを利用可能にしたと発表した。 クライアント側としては、米GoogleのChromeのCnary版で利用可能で、米MozillaのFirefoxのNightly版も間もなくサポートする見込みだ。 HTTP/3は、以前は「HTTP-over-QUIC」と
概要 インターネットに関する技術の標準化を司る、IETF(Internet Engineering Task Force)のWG(Working Group)において、HTTP-over-QUICが正式にHTTP/3という名前になることで合意が取れました。(ゆきさんからのご指摘内容を修正しました) しかし、そもそもこのQUICやHTTP/3って何なんでしょうか? Webに関わる僕たちエンジニアにとってどういう関わり方をするのか、考えてみました。 この記事は怪文書ですので、雑と書いてあるところは私見として軽く流してください。 追記 詳解HTTP/3を翻訳しました!雑に理解したあとはこの本を読んでみるといいと思います。 QUIC・HTTP/3ってなに? QUIC QUICは、Googleのエンジニアが提案した仕様が発端となって作られている、新しいトランスポート層のプロトコルです。 従来はgQU
「Always on SSL(常時SSL)」の略。 基本的にサイトは非HTTPSで提供し、ログインページ・ショッピングカート・フォームページなど、認証情報・個人情報・クレジットカード情報など重要なデータを扱うページだけHTTPSで提供するスタイルに対し、すべてのページをHTTPSで提供するWebサイトやサービスのスタイルを指す。 以前は、SSLの処理やサーバー証明書の管理などの都合で、HTTPSが必要なページは最小限に抑える傾向にあったため常時SSLは一般的ではなかった。しかし、FacebookやGoogleなどがプライバシーの保護を目的に常時SSLを進めたことや、GoogleがHTTPSページを優遇すると発表したことなどにより、常時SSLが広がっていった。 背景には、米国NSA(国家安全保障局)による盗聴からサービス利用者のプライバシーを保護する目的があったとも言われる。 しかし実際には
■パスワードの文字を作成 アカウント発行の時に「○桁以上のパスワードを決めてください」とお聞きすると「何にしようか~??」と大変お悩みになる方が多いので作りました おすすめは数字だけなら12桁以上、英数なら10桁以上です(8桁だと1時間足らずで破られちゃうかも・・・!?) 無線LANなどのランダム16進文字にも対応しました ※ ApacheのBasic認証用パスワードにしたい方はここ(Perl CGI)にあります ・桁数 ・使用する文字の種類 アルファベット大文字 アルファベット小文字 数字 記号 16進文字 ・オプション 同じ文字を使用しない 紛らわしい文字を使用しない 連打して気に入ったのを採用してね! (※連続作成もあります▼)
2014-05-11 DNSを設定して、セキュアなインターネット接続を手に入れる Tech Security インターネット接続というのは、意外とアバウトです。 私たちが、「〜のサイトに行きたい」というリクエストに対して答えてくれるのがインターネットです。そのとき、私たちのリクエストに、直接相手のサーバーが答えてくれるのではなくて、実際はDNSサーバー(Domain Name System)というものが間に入って仲介します。 DNSは、自分が保有しているデータ(キャッシュ)をもとにこちらのリクエストに応えて、返してくれるようになっているのです。しかし、そのデータが古かったり、意図的に悪意のあるデータに置き換えられていたりする場合、正しいサイトに飛んだつもりで危険なサイトに飛ばされてしまうことがあるのです。このような攻撃を「DNSキャッシュポイズニング(DNS毒入れ)」といいます。 セキュア
NTPの弱点を突いて不正なトラフィックの量を増幅させる「NTP増幅攻撃」が発生。ピーク時で400Gbpsの規模に達したという。 ピーク時で400Gbpsに達する大規模なサービス妨害(DDoS)攻撃が欧州で確認されたという。2013年に発生した300Gbps級の攻撃を大幅に上回り、過去最大規模の攻撃になったと伝えられている。 セキュリティ企業CloudFlareのマシュー・プリンス最高経営責任者(CEO)は2月10日、「非常に大きなNTPリフレクション攻撃が発生している。昨年のSpamhausに対する攻撃よりも大きそうだ」とツイート。不正なトラフィックの規模は400Gbpsを超えていると伝え、「NTPリフレクション攻撃は極めて厄介になりつつある」と警告した。 「NTPリフレクション攻撃」は「NTP増幅攻撃」とも呼ばれ、インターネットで時刻の取得に使われるプロトコル「Network Time
Capyの岡田が発表させていただきます。 みなさん、このような歪んだ文字、今まで見られたことあると思うのですが。何回入力しても間違えてしまう。 そしてこんな感じで諦めてしまう。 最近アメリカではこういう現象が起きている。 入力者が人間か、ボットかを判別する技術です。歪んだ文字をタイプインさせることで。例えばどういうところに使われているかと言えば、ログインのページで1回2回3回やって、キャプチャがあればそこで止まるのですが、キャプチャがないと1秒間で30回、1時間で10万ちょいトライすることができるので、いつかは入られてしまう。 で、結果、こういうことになってしまう。これが我々のポテンシャルカスタマーです。歪んだ文字のキャプチャには2つ問題があって、ひとつはスマホで歪んだ文字をタイプインすると、非常にフラストレーションがたまる。もうひとつは、5年前はよかったんですけれども、だんだんボットも賢
BAYAREAD ─読書記録と忘備録─:家入一真氏の影響で高校生や大学生が電話番号&口座晒しをしている件について考えてみた。、Togetter:家入さんの電話番号さらしへの便乗を読んで、私も注意喚起エントリーを書こうと思ったので書きました。 以前から、ネットで口座番号を出して物乞い行う人がいて、特にトラブルに直面している様子はなかったけど、人生経験が少なく、かつ、口座番号を公開している人が多くなると新たに詐欺が生まれる可能性がでてくるので注意した方が良いと思う。 まとめ あなたが口座番号を全世界に公開しているということを家族に教えておきましょう 押し貸しや詐欺が来ても余裕をもって対処できるように準備しましょう 運よくお金を贈与してもらった場合、贈与税について頭の片隅にいれておきましょう 押し貸し 「押し貸し」という単語ができる程度に良くある話のようです。 次のような、預金口座を悪用した事件
auが最近始めたサービス、「Wi-Fi HOME SPOT」。 「Wi-Fi HOME SPOT」を申し込むと、「HOME SPOT CUBE」という無線LANルータをレンタルすることができる。 その「HOME SPOT CUBE」を、ただ単に使うのではなく最低限のセキュリティなども考えた設定方法を紹介しよう。 家族に凝った設定を見せ付けて男らしさを演出するのもまた一興・・。 「無線LANがなんぞや」な人にもわかりやすく説明したい、そんな気分なんだ! 「Wi-Fi HOME SPOT」とはどんなサービスなのか?どんなサービスかというと「HOME SPOT CUBE」という無線LANルータをレンタルし手軽にWi-Fi環境を構築できるサービス。 auのWiMAX端末でない人は、モバイルネットワークでは体験できない高速通信をWi-Fiによって楽しめるだろう。 そして「HOME SPOT CUBE
http://ma.la/fb/ というのを書いたので、経緯と補足を書きます。 読むのが面倒くさい人向けに、ものすごく簡単に要約しておきます。 Facebookにはリンクを他人と共有するいいねボタン(likeボタン)というのがある。 Facebookの「ファンページ」なるものをつくると、いいねボタンを押したのが誰だか分かる機能がある。 ユーザーに気付かれないように細工したiframe内のボタンをクリックさせたりするクリックジャッキングという攻撃手法があり、いいねボタンを強制的に押させることが出来る これによって悪意のあるサイトは、訪問者のFacebookアカウントを特定することが出来る この手の問題はFacebookに限った話ではない。CSRFやクリックジャッキングで行われたアクションの結果が第三者から観測可能な全てのサービスにある。 例えば強制的にはてなブックマークさせたりはてなスターを
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く