JWT形式を採用したChatWorkのアクセストークンについて - ChatWork Creator's Note
JWTを使うことは難しい? こんにちは、かとじゅん(@j5ik2o)です。最近、JWTに関する以下のブログが話題です*1。 どうしてリスクアセスメントせずに JWT をセッションに使っちゃうわけ? - co3k.org このブログで言及されているのは、JWTをセッションの保存先に選ぶことで「何が問題なの?」に書かれているリスクがあるよ、という話*2。確かにいくつか検討することがありますね。 auth0.hatenablog.com auth0の中の人?よくわからないけど、反論的なブログエントリが公開されています。この記事では、指摘の問題が起こらないように設計するのはあたり前では?という意見みたいです。まぁごもっともではないでしょうか。 私も技術そのものというより、要件に合わせて技術を組み合わせる設計の問題だと思っています。加えて、JWTを利用することはそんなに難しいことかという疑問があった
Dockerコンテナを本番環境で使うためのセキュリティ設定 - Qiita
はじめに Dockerを開発環境で使うことが多くなってきてますね。 使い捨てできる環境は本当に便利なので、本番環境にも使いたいなーと思って、本番運用で注意すべきセキュリティ周りを調べてみました。 基本的な考え方 基本的な考え方は以下になります。 コンテナ内部に入られるな 権限は最小限にせよ 監視を怠るな DockerといえどVPSやオンプレのセキュリティ設定と考え方は同じですね。 ここではDockerにまつわる話を書いていきます。 コンテナ内部に入られるな 信頼できるイメージを使う 多くの場合、ベースとなるピュアなOSイメージはDockerHub上のイメージを使いますが、元となるイメージがセキュアであるかどうかを確認して使うようにしましょう。 既知の脆弱性を含んでいる場合や、最悪の場合、悪意のあるスクリプトが仕込まれている場合があります。 既知の脆弱性が含まれているかどうかはDocker
「DNSリフレクション(リフレクター)攻撃」とは? | サイバーセキュリティ情報局
「DNSリフレクション(リフレクター)攻撃によってWebサービスが不能となった」という報道を見たことがあるのですが、どういう意味なのでしょうか? A DNSリフレクション(リフレクター)攻撃とは、リフレクション、つまり反射を用いた攻撃です。攻撃の仕組みは単純で、送信元のIPアドレスを偽装したDNSリクエストをDNSサーバーに送ることによって、偽の送信元である攻撃対象に大量のDNSパケットを送り付ける、というものです。攻撃対象を直接スキャンしたりすることなく、間接的に攻撃を仕掛けるため、攻撃元の特定が難しくなります。 DNSという通信手段はプロトコルがUDP(User Datagram Protocol)であるため、IPアドレスを詐称することがTCPに比べて容易です。同じUDPを通信手段としているプロトコルにNTP(Network Time Protocol)がありますが、こちらも同様に詐称
セキュリティアナリストのつぶやき
2022.03.09 Azure AD導入環境に対するペネトレーションテストの資格「Certified Az Red Te...
ざっくり分かる脆弱性指標 - CVE CVSS CWE - Qiita
背景 ソフトウェアの脆弱性を確認する際、必ず出てくる用語であるCVE, CVSS, CWEをざっくり把握しておく。 簡単に言うと、 CVEは世の中の脆弱性の一元的なID、 CVSSはその脆弱性の深刻度点数、 CWEはその脆弱性がどのカテゴリなのか を表す。 参考文献 情報セキュリティスペシャリスト - SE娘の剣 - IPA - 共通脆弱性評価システムCVSS概説 CVE Details CVE (Common Vulnerabilities and Exposures) - 共通脆弱性識別子 一言でいうと、「世の中の脆弱性情報を一意に管理するためのID」 様々のソフトウェア製品の脆弱性に一意の識別番号「CVE識別番号(CVE-ID)」を付与し、脆弱性を管理 命名規約は、「CVE-YYYY-XXXX」 : YYYYは年、XXXXは一意の番号を表す。 例)CVE-2014-3566(SSLv
デジタル証明書の仕組み
◆ デジタル証明書とは デジタル署名によりデータの改ざんは検知することが分かりました。しかしながら、デジタル署名だけでは そもそも配布されている公開鍵が本当に正しい公開鍵(下図ではAさんの公開鍵)なのかを確認することが できません。デジタル署名の解析用の公開鍵が正しいことを証明するためにはデジタル証明書を使用します。 デジタル証明書をデジタル署名に付属させることで、データの改ざんを検知できるだけでなく、公開鍵が 正しいものであると確認できて、さらに認証局(CA)を通してデータの作成者を証明することができます。 デジタル証明書のフォーマットはITU-T X.509で規定されています。印鑑証明書と比較して見てみましょう。 デジタル証明書のフォーマットの詳細は、「バージョン情報、シリアル番号、公開鍵証明書の署名方式、 公開鍵証明書の発行者である認証局の X.500 識別名、有効期限、本証明書内に
デジタル署名の仕組み
◆ デジタル署名とは 例えば、Aさんという送信者からデータを受信できても、そのデータが本当にAさんから受信できたのかを 確認することが出来ませんし、下図のように、伝送経路上でデータが改ざんされている可能性もあります。 そこで、送信者が本当にAであり、データの改ざんがないことを確認するためにデジタル署名を使用します。 デジタル署名とは、送信されてきたデータが間違いなく本人のものであるのかを証明するのための技術。 デジタル署名はデータの送信者を証明できるので、データの改ざんが行われていないことを確認できます。 デジタル署名は公開鍵暗号を応用した技術でもあり、デジタル署名の仕組みのなかで公開鍵と秘密鍵も 登場します。ハッシュも使用しています。デジタル署名を実現できる方式にはRSAやDSAなどがあります。
SSLは無料と有料で何が違うの!?今さら聞けないSSLの仕組みと導入のメリット
(この記事は2022年9月29日に更新されました) 「SSLっていう言葉、よく聞くけど、どんな意味なんだろう?」 「自分のWebサイトをSSL化する必要ってあるの?」 「無料のSSLと有料のSSLって、何が違うの?」 こんにちは。 京都のWebプランニング会社「ウェブライダー」の松尾です。 某社のレンタルサーバーからCPIのサーバーに乗り換えたことがきっかけで、このコラムを書かせていただく機会を得ました。 現在、ウェブライダーでは、CPIの専用サーバーと共用サーバーのふたつを借り、さまざまなWebサイトを運営しています。 さて前回、Webセキュリティに関する記事を書きました。 Webセキュリティを語る上では、「SSL(Secure Sockets Layer)」についての話は外せません。 SSLとは、インターネット上の通信を暗号化する技術のこと。 この技術はネット上のさまざまな場面で使われ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
セッションの危険性と対策 | 365日の紙PHP(10日目) | Feijoa.jp
DNSリフレクション | 情報セキュリティの勉強部屋
たんめも!