バックポートの利用法:安定版ディストリビューション上で新規パッケージを実行する | OSDN Magazine
安定性を最優先したシステムの運用を続けていると、アプリケーションの最新版がリリースされたのに対応性の問題から使用できない、というケースにしばしば遭遇する。だが、そこでくじけてはいけない。新規リリースされたパッケージを既存の旧版ディストリビューション用に“バックポート”(backport)し直した、いわゆるバックポート版を用いれば活路が開けることもあるからだ。 バックポートとは、新規リリースされたソフトウェア(たいていはベータ版ないし開発リリース段階のもの)を既存の旧版ディストリビューションで使えるように古いライブラリを使ってコンパイルし直したものである。つまり最新版ソフトウェア用にアップグレードされていない“安定”システムであっても、こうしたバックポート版ならば実行できるかもしれないのだ。お気に入りのソフトウェアの最新バージョンがリリースされたが、対応性の問題から手元のシステムでは使用でき
AWSでの脆弱性対策の考え方と対策ソリューション | DevelopersIO
はじめに AWSの運用構築を任されたかたに向けて、OS/ミドルウェア/アプリケーションにおける脆弱性対策の基本的な考え方と対策ソリューションをご紹介します。 脆弱性とは 脆弱性とはアプリケーションやOSなどの不具合などによって発生するセキュリティ上の欠陥です。 悪意のある攻撃者が脆弱性を利用した攻撃を行うと、アプリケーションやOSが意図しない動作をする事で情報が流出したり、悪意のあるマルウェアに感染するといった恐れがあります。 多くの開発者が安全なウェブサイトの作り方やOWASP Top 10などを参考にするなど脆弱性の少ないソフトウェア開発に努めていますが、脆弱性が全くないソフトウェアは現実的ではありません。 セキュリティインシデントの中で、脆弱性をついた攻撃は最も多い原因の1つです。 システムを安全に維持運用していくためには、脆弱性と上手に付き合っていく事が大切です。 脆弱性対策を行わ
JWT形式を採用したChatWorkのアクセストークンについて - ChatWork Creator's Note
JWTを使うことは難しい? こんにちは、かとじゅん(@j5ik2o)です。最近、JWTに関する以下のブログが話題です*1。 どうしてリスクアセスメントせずに JWT をセッションに使っちゃうわけ? - co3k.org このブログで言及されているのは、JWTをセッションの保存先に選ぶことで「何が問題なの?」に書かれているリスクがあるよ、という話*2。確かにいくつか検討することがありますね。 auth0.hatenablog.com auth0の中の人?よくわからないけど、反論的なブログエントリが公開されています。この記事では、指摘の問題が起こらないように設計するのはあたり前では?という意見みたいです。まぁごもっともではないでしょうか。 私も技術そのものというより、要件に合わせて技術を組み合わせる設計の問題だと思っています。加えて、JWTを利用することはそんなに難しいことかという疑問があった
JOSE(JavaScriptオブジェクトへの署名と暗号化)は、絶対に避けるべき悪い標準規格である | POSTD
注: 本稿は元はJSON Web Tokens(JWT)について書いたものですが、JWTはJavascript Object Signing and Encryption(JOSE)のサブセットであるため、以下の批評はどちらかというとJOSE全体に焦点を当てています。 もし既にJavascript Object Signing and Encryption(JOSE)を実装することを決めているなら、それがJSON Web Tokens、JSON Web Encryption(JWE)、JSON Web Signatures(JWS)のいずれであっても、その決断に疑問を持つべきです。間違いを犯そうとしている可能性があります。 この投稿に書いたことはすべて、RFC 7519、RFC 7515、そしてRFC 7516に則っています。将来、新規のRFCでは以下に挙げるような欠陥はなくなっている可能
HTML5のLocal Storageを使ってはいけない(翻訳)|TechRacho by BPS株式会社
概要 原著者の許諾を得て翻訳・公開いたします。 英語記事: Randall Degges - Please Stop Using Local Storage 原文公開日: 2018/01/26 著者: Randall Degges 日本語タイトルは内容に即したものにしました。 画像は元記事からの引用です。 初版公開: 2019/10/19 追記更新: 2024/04/05 -- リンク情報を記事末尾に移動しました 本気で申し上げます。local storageを使わないでください。 local storageにセッション情報を保存する開発者がこれほど多い理由について、私にはさっぱり見当がつきません。しかしどんな理由であれ、その手法は地上から消えてなくなってもらう必要がありますが、明らかに手に負えなくなりつつあります。 私は毎日のように、重要なユーザー情報をlocal storageに保存す
JWT認証、便利やん? - ブログ
どうして JWT をセッションに使っちゃうわけ? - co3k.org に対して思うことを書く。 (ステートレスな) JWT をセッションに使うことは、セッション ID を用いる伝統的なセッション機構に比べて、あらゆるセキュリティ上のリスクを負うことになります。 と大口叩いておいて、それに続く理由がほとんどお粗末な運用によるものなのはどうなのか。最後に、 でもそこまでしてステートレスに JWT を使わなくてはいけないか? とまで行っていますが、JWT認証のメリットはその実装のシンプルさとステートレスなことにあります。現実的には実際はDB参照とか必要になったりするんですが、ほとんど改ざん検証だけで済むのは魅力的です。トレードオフでリアルタイムでユーザー無効化ができないことくらいですかね。ライブラリなんて使う必要ないほどシンプルだし、トレードオフさえ許容できればむしろ、なぜこれ以上に複雑な認証
ファイアウォールiptablesを簡単解説~初心者でもよくわかる!VPSによるWebサーバー運用講座(4) | さくらのナレッジ
Webサーバーだけの機能を持つサーバーの場合、以下のようにSSH(SFTP)、HTTP、HTTPSのポートを許可して、他の通信は拒否する設定にします。 よく使われるサービスのポート番号は、ウェルノウンポート番号(WELL KNOWN PORT NUMBERS)といって 0〜1023までのポート番号のどこかに割り当てられています。 詳しくは、以下のページをご覧ください。 TCPやUDPにおけるポート番号の一覧 - Wikipedia あなたのサーバーについて、どのポートを許可すべきかをあらかじめ調べておきましょう。 ファイアウォールiptablesの設定を行う それでは実際にiptablesの設定を行います。 はじめに、iptablesがインストールされていることを確認しましょう。 # which iptables /sbin/iptables whichコマンドで、iptablesがインス
AWS設定のセキュリティリスクを自動で発見!ドコモのツール「ScanMonster」を使うべき理由 - Qiita Zine
2018年度にNTTドコモに入社。ドコモCCoEチームとして、社内向けにパブリッククラウドの導入支援や問い合わせ対応、共通基盤の開発運用を行う。また、社外向けに「ドコモ・クラウドパッケージ」のコンテンツ開発やAWS環境アセスメントツール「ScanMonster」の開発も担当している。 目次 ・厳格なセキュリティ要件を持つドコモがAWS活用ノウハウを公開する理由 ・人の代わりに機械にやらせる、それがクラウドのいいところ ・他のセキュリティツールとScanMonsterの違いは? ・誰よりも先に落とし穴に落ちたドコモだからこそ、AWSでビジネスを加速する手助けができる 厳格なセキュリティ要件を持つドコモ、AWS活用ノウハウを公開する理由 ——NTTドコモとAWSの付き合いは古いのでしょうか? 守屋:2009年、まだ東京リージョンが開設される前から、まず研究開発部門でAWSの活用を開始しました。
AWS運用担当者のためのセキュリティ入門 | DevelopersIO
はじめに AWSの運用構築をまかされたインフラエンジニアのかたに向けて、セキュリティで考えるべき視点と代表的なソリューションをご紹介します。 AWSでのセキュリティを考える前に、私達自身のセキュリティを考えてみましょう。 "外出前に鍵をかける"、"ひとけのない道はなるべく通らない"など最低限やっておくべき対策があります。 たくさんのお金をかけてボディガードを雇っても、鍵をあけて外出しては意味がありません。 AWSのセキュリティ対策も同様です。 追加のコストを払ってセキュリティソリューションを導入する前に、最低限やっておくべき対策があります。 特に代表的なものをご紹介します。 出所が不明なAMIは使わない EC2の作成元となるAMI(マシーンイメージ)は誰でも公開できます。 中には悪意のあるソフトウェアが含まれるAMIも含まれます。 AWSや信頼できるベンダーが提供するAMIを使いましょう。
AWSを使うときに確認すべき52のセキュリティチェック項目と15分でできる簡単なチェックの方法|DevelopersIO
はじめに 自分が使っているAWS環境のセキュリティに問題がないかと心配になることはないでしょうか?私はよくあります。そこでCIS Amazon Web Service Foundations Benchmark というAWSのセキュリティのガイドラインに沿って使っているAWSアカウントのセキュリティの状況をチェックしてみました。チェック項目は全部で52あります。内容を一通り確認したところ知らなかったAWSのセキュリティの機能やノウハウを知ることができ、見ただけでもとても勉強になりました。簡単にチェックする方法も併せて紹介しますのでぜひ使っているAWS環境でチェックしてみてください。 1 IAM 1.1 rootアカウントを利用しない rootアカウントは強力な権限を持つため、rootアカウントを利用せずIAMユーザーを利用してください。通常運用でrootアカウントが利用されていないか確認し
サーバー作成直後に設定しておくべき初期セキュリティ設定
本マニュアルは、さくらのVPSで Linux ディストリビューションを利用する方を対象とし、管理者として注意したいセキュリティ設定をご紹介します。 具体的には、一般ユーザー及び sudo を用いた操作、 ファイアウォール及びパケットフィルター機能、SSH サーバー設定などです。 Note さくらのVPSで提供されている標準OS AlmaLinux 9 もしくは標準OS Rocky Linux 9 を前提に記載します。 他のディストリビューションやサービスを利用する場合は、必要に応じて読み替えてください。 警告 本ページでは、多くのサーバー構築で共通するセキュリティ設定のみを扱います。 利用されるソフトウェアや用途によって、適切なセキュリティ設定を選択したり、追加で実施する必要があります。 加えてVPSは、管理者権限をお渡ししているサービスの為、記載内容についてはお客様にてご確認のうえご利用
VPS 借りたら、せめてこれくらいはやっとけというセキュリティ設定 - dogmap.jp
さくらのVPSやら、ServersMan@VPS やらの出現で、やたらと敷居のさがった感のある VPS 。 かく言うこのサーバもめ組VPSで運用されてるわけですが、VPSを既存のレンサバ感覚で使ってる人にせめてこれくらいのセキュリティ設定はやっておいたほうが良いよっていうお話です。 今回、対象にする OS は CentOS です。 さくらVPS 借りて Ubuntu とか、別の OS で運用するような中上級者は自分でできるよね。 リモートからの root ログインを無効にする ssh 経由で root でログインして作業したりしてませんか? これ root パスワードが破られたら、サーバが乗っ取られちゃうので、大変に危険です。 root ログインを無効にして、権限のあるユーザでログインしてから sudo or su して作業するようにしましょう。 root ログインを無効にする方法は、こん
Railsユーザーが真っ先にするべきセキュリティチェック – Brakeman
(Last Updated On: 2018年8月13日)Railsユーザーがソースコード検査やWebサイト診断を受ける前に真っ先に使った方が良いセキュリティ検査ツールがあまり使われていないように感じています。 Brakemanはかなり良くできたツールです。私は何年も前から補助的に使っています。 Brakemanのインストールと使い方 Brakemanのページを見れば説明の必要もないですが、一応説明します。 rbenvを使っている場合、Railsで利用しているRubyのバージョンをローカルに合わせておきます。Rubyユーザーは普通にrbenvなどを使うべきでしょう。 $ cd MyRailsProject $ rbenv local 2.3.3 Brakemanのgemをインストールします。 $ gem install brakeman Brakemanを実行します。BrakemanはRa
AWSを使い始めたら絶対にやるべきセキュリティ対策 | ロードバランスすだちくん
シンジです。クラウドサービスに必要な物は、インターネット・アカウント名・パスワードですが、アカウント名とパスワードが漏れたら確実に死ぬと考えて良いです。AWSも例外ではありませんが、AWSのサービスをうまく活用することで回避出来る部分もあります。今回はその設定方法と、設定することでのデメリットを書きます。 その1 多要素認証を設定せよ MFAとも言います。2要素認証とも言います。これには様々な方法があるのですが、オススメはiPod や iPhoneなどのスマホを使った方法です。認証用の専用アプリをダウンロードする必要があるのですが、シンジのオススメは2つ。 二要素認証(二段階認証)用無料アプリ「IIJ SmartKey」 http://www.iij.ad.jp/smartkey/ Google Authenticatorを App Store で https://itunes.apple
必須化まで約2ヵ月半!App Transport Securityについて | LAC WATCH
App Transport Security(以降、ATS)が必須化されるまで約2ヶ月半と迫ってきたので、ATSに関してご説明します。詳しくはCocoa keys*1 をご覧ください。 【追記:2017/01/04】 Appleは2016年末を目途にApp Storeのすべてのアプリケーションに対し、ATSを必須化すると発表しましたが、米国時間12月21日にAppleの開発者向けサイトで「準備期間をさらに延ばすため」という理由により延期すると発表しました。現段階では期限は未定となっており、決定次第、発表するとしています。 Appleの開発者向けサイト: Supporting App Transport Security - News and Updates - Apple Developer App Transport Security(ATS)とは ATSとは、iOS 9.0およびOS
最近PHPとかRailsを始めた人のためのセキュリティの話 - Qiita
CakePHPとかLaravelとか、Ruby on Railsとかを最近始めてみたけど、 セキュリティについては全然わからなくて、ちゃんとできているか怖いという人のための、 少なくともこれだけは気を付けてコードを書いた方がいいよというお話。 この記事ではコードを書き始めた初心者が、 気づかぬ内に脆弱性を作りこみやすい場所をピックアップして、 勉強のとっかかりになることを目標にしています。 それとセキュリティに詳しい方々、 もしこれも書いた方がいいよというのがあれば、どうかご教示ください。 アプリケーションの話 Viewの変数は全てエスケープする どの変数がエスケープ必要で、どれが必要じゃないかは判断するのがとても難しいので、 片っ端からエスケープしまくりましょう。 // PHPのコード内でエイリアスのメソッドを用意して function h($str){ return htmlspeci
SSL証明書をSHA–1からSHA–2に更新する際にはご注意を! | さくらのナレッジ
現在SSL証明書の署名アルゴリズムがSHA–1からSHA–2へと変更になる過渡期となっています。今後はSSL証明書の新規取得や更新を行う際にはSHA–2の証明書を取得することになると思いますが、いつも通りの慣れた作業と思っていると、思わぬところでハマるかも知れません。 今回は実際に更新作業をした経験を踏まえて取得/更新作業の注意点について簡単にまとめてみました。 そもそもなぜSHA–2に移行する必要があるのか? 署名アルゴリズムがSHA–1の証明書は非推奨となり、ゆくゆくは廃止となる流れとなっています。基本的にSHA–1の証明書は2017年1月1日以降使えなくなると考えてよいでしょう。そして2016年12月31日までにSHA–2に移行する必要があります。 詳細はここで説明すると長くなりますので、次のようなSSL証明書の発行元のサイトの解説を参照してください。 SHA–1証明書の受付終了とS
iOS9 で導入される ATS とは結局何なのか - 水深1024m
iOS9 で導入される ATS (App Transport Security) の話です。 ATS は OSX, iOS アプリケーションが NSURLConnection, CFURL, NSURLSession を利用してサーバに接続する際 現時点で最善に近いセキュアな接続をデフォルトとする仕組みです。 この記事で言いたいことはだいたい 公式ドキュメント に書いてあるのですが、"よくわからんから全てにおいて ATS を無効化する" で終わらないためにどうすれば良いかについて書きます。 個人的に AWS をよく使っているので、AWS における事情なども適宜付加します。 何が変わるのか "Default Behavior" の項目に記載されていますが、 ATS が有効になっていることによって外部接続先に要求される要素は、以下のものです。 サーバは TLS 1.2 をサポートしていなければ
JPCERT コーディネーションセンター Weekly Report
Weekly Reportとは Weekly Reportとは、JPCERT/CCが得たセキュリティ関連情報のうち、JPCERT/CCが重要と判断したものを抜粋してまとめたものです。多様なセキュリティ情報源や膨大なセキュリティ情報の量に対応し、情報を取捨選択する際の目安となるべく、JPCERT/CCが整理した情報を日本語で紹介するものです。 公開日は毎週水曜日となります。ただし、月曜から水曜の間に祝祭日が含まれる場合やGW、年末年始の時期はこの限りではありません。 掲載する情報につきましては、「紹介するセキュリティ関連情報の選定基準」をご覧ください。 Weekly ReportはWebページでの公開のほか、メーリングリストを通じて発行されます。また、過去に公開したWeekly Reportやひとくちメモはライブラリにて公開しております。
WEBサイト改ざん検知 自動修復サービス SiteKeeper(サイトキーパー)
Webサイトの健全性を維持することができる 改ざん検知と自動修復のサイトキーパー Webサイトの 改ざん検知 と 自動修復 のサイトキーパー 不正改ざんを検知し、自動修復まで Gumblarに代表されるように、Webサイトの改ざんの手口は ますます高度化、巧妙化する傾向にあります。 改ざんの有無を正確に把握するためには、 計画的な更新か常に厳格なチェックを行うしかありません。 改ざん対策に伴うコストや負荷の最小化を実現する 最も効率的かつ効果的な手法で、 Webサイトの健全性を維持することができる 革新的なサービス、それがサイトキーパーです。 修復までもが全自動 改ざんを検知して自動的に正規ファイルに修復し、不正なファイルがアップされたら自動的に削除します。自動修正により、改ざん対策に伴うコストや負荷の最小化を実現します。 WEBサーバを選びません 共用レンタルサーバでも運用可能です。監視
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
