HTTPS(Hypertext Transfer Protocol Secure)はHypertext Transfer プロトコルとSSL/TLS プロトコルを組み合わせたものです。WebサーバとWebブラウザの間の通信を暗号化させて、通信経路上での盗聴や第三者によるなりすましを防止します。
2018/06 追記 古い記事ですがちょこちょこアクセスいただいているので更新。 最近は常時SSL、IPv4枯渇、CDN導入などの理由でSNIが良く使われるようになってきていますが この場合、ホスト名(URL全体ではない)は平文で送信されます。 client 側でキャプチャしたパケット curl -k https://sni.example.com/hogehoge $ sudo ngrep -d en3 -q -W byline port 443 and host 192.0.2.1 interface: en3 (192.168.6.0/255.255.255.0) filter: (ip or ip6) and ( port 443 and host 192.0.2.1 ) T 192.168.6.108:55460 -> 192.0.2.1:443 [AP] ...........
タイトルの内容を思ったきっかけは社内勉強会で体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践を読んだことでした 改めてなぜダメなのかと言われるとしっかり根拠を持って説明できないなと思い調べてみました Getでもいいのかなと思ったパターンは以下のようなケースです 例えば、会員登録機能などで確認画面から戻るボタンで入力フォームに遷移する場合に、入力した内容をそのまま保持したままにしたい。その際にはHTTPSの場合であればGetで戻っても大丈夫なのかな? GetとPostの使い分けはどういう場合? GetとPostの使い分けは以下のようなケースの場合で考えればいいようです Getメソッドは参照(リソースの取得)のみに用いる Getメソッドは副作用がないことが期待される 秘密情報の送信にはPOSTメソッドを用いること 引用:安全なWebアプリケーションのつくり方
一般的なブラウザーでアクセスできるウェブサイトは、通称「サーフェスウェブ」とも呼ばれている。インターネットの表面、薄皮1枚というわけだ。その下には「ディープ(深層)ウェブ」という世界が広がっている。この多くはデータベースが占めているのだが、その最下層にあるのが通称「ダーク(闇の)ウェブ」だ。 今回はダークウェブがらみの犯罪を取り締まる、警察庁の情報技術犯罪対策課に取材した。 複数サーバーを自動で経由し匿名化する「Tor」とは? ダークウェブは、たとえURLを手に入れても、IEやChromeなどのブラウザーからは、アクセスできないサイト群。しかも、そこへのアクセスは匿名化され、追跡が著しく困難になっている。当然、世界中から犯罪者が集まり、非合法コンテンツがやりとりされている。拳銃からドラッグ、コンピュータウイルス、盗んだクレジットカード番号などが、ショッピングモールに並んでいるかのようだ。
「DNSリフレクション(リフレクター)攻撃によってWebサービスが不能となった」という報道を見たことがあるのですが、どういう意味なのでしょうか? A DNSリフレクション(リフレクター)攻撃とは、リフレクション、つまり反射を用いた攻撃です。攻撃の仕組みは単純で、送信元のIPアドレスを偽装したDNSリクエストをDNSサーバーに送ることによって、偽の送信元である攻撃対象に大量のDNSパケットを送り付ける、というものです。攻撃対象を直接スキャンしたりすることなく、間接的に攻撃を仕掛けるため、攻撃元の特定が難しくなります。 DNSという通信手段はプロトコルがUDP(User Datagram Protocol)であるため、IPアドレスを詐称することがTCPに比べて容易です。同じUDPを通信手段としているプロトコルにNTP(Network Time Protocol)がありますが、こちらも同様に詐称
どうも先日(2016年9月現在)からさくらインターネット様や技術評論社様でDDoS被害が相次いでいますね。 「DDoS対策しとけ」なんてよく言われていますが、セキュリティにステータス振ってない場合は「DDoSってF5連打じゃないの?」みたいな人も結構いるんじゃないでしょうか。あとはiptablesをとりあえず入れておけば大丈夫なんじゃないの?とか。 Web系の開発者にとってのセキュリティ対策は「フレームワークをちゃんとアップデートする」に尽きるので、フレームワークの脆弱性に依存しないDDoSって意外と知らない事が多いと思います。 知っているようで意外と知らないDDoSの世界、ちょっとまとめてみました。 TL;DR スケールできる設計でDDoSに備えよう nginxは置いとけ、キャッシュは甘く見るな SYN cookiesは入れとこう 最後はカネの力でセキュリティを手に入れろ Akamaiセ
今回の不正ログインについて ・全艦娘を解体or轟沈 ・装備も殆ど廃棄 ・資源やアイテムも使えるだけ使い切る(25万以上⇒ほぼ空に) ・一言コメント欄が「こみけでみえてたぜ」 ・初期家具をセット これだけのことをやる悪質なユーザーがいるようですので要注意です。 #艦これ #拡散希望 2017/8/16 11:15:03 艦これ起動時のパケットキャプチャ。 テキスト平文で トークンが見える 「なんで Windows 2000で 艦これや、Wireshark 2.2.8が動くねん!」ってのはこのブログのお約束なのでスルーで ・ω・ ええ…ここのブログ主は、 2017年もまだ Windows 2000で戦ってるのです (具体的には WannaCry 対策したり、 Firefox 52 を動かしたり、Flash Player 最新版のインストーラーを作ったり、オラクルのバグで本来適用できない Jav
IPアドレスで解る範囲は限られている そもそも「IPアドレス」について詳しく知らない人が多いように思うのですがIPアドレスというのは自分が契約しているプロバイダーからIPアドレスを貰ってネットしている訳です。簡単に書けば「ネットを利用する際の住所」と言えば良いのでしょうか。OCN、Yahoo、BIGLOBE、Plalaなどそういったサービスから貰ってます。さて本題でよくネットをしている人であれば目にするであろう言葉。 お前のIPアドレスで住所を特定してやる こんな言葉を言ってくる人がいます。ネットをよく解らない人は心臓バクバクでしょう。何せ住所を特定してやるなんて言われたら怖いですし、実際に特定されたという人の話しを聞いたりする訳ですから。そこで今回は「IPアドレスで住所特定出来るのか?」という話しを書いてみたいと思います。 IPアドレスで住所特定は不可能!デメリットが大きすぎる IPアド
管理中のサーバで行っているセキュリティ設定を公開します。本当はこういうことを公開するのはよろしくないのですが、脆弱サーバが氾濫している現状そこが踏み台となってsshアタックされるのも迷惑極まりないので、最低限やっとけという内容でまとめました。*1 起動サービスと概要 iptables/Firewallの設定 iptablesの中身 limit-burstについて hashlimitについて hosts.allow/hosts.deny(TCP Wrapper)の設定 sshdの設定 その他の設定 Apacheの設定 Postfixの設定 Dovecotの設定 まとめ はてブさんは #の切り分けやめてくれないかな……。 起動サービスと概要 Apache (www) sshd smtp/pop bind (DNS) ntpd いくつかの注意点。 sftpで十分なのでftpdは使わない。WinS
OpenSSLの脆弱性「Heartbleed」が世間を賑わせていますが、色々と乗り遅れてしまった感があるので、ゆるゆると落ち穂拾いをしようかと思います。 Heartbleedで秘密鍵を手に入れたらSSL通信の中身全部見えちゃうじゃん!! という事態になっていますが、なんとなく理論的にそうだろうなと分かるもののイマイチ具体的な手順が分からない。 というわけで今回のテーマとして、手元にサーバの秘密鍵と、SSL通信をパケットキャプチャしたpcapファイルがあるときに、Wiresharkでどんな感じでSSL通信を「ほどく」のか……という具体的な手順を、ハマり所を含めてまとめておこうかと思います。 というか、私自身がハマったので自分用メモですな。なおこの文書では"SSL"とだけ記述し、TLSは無視しています。 前提条件 とりあえず以下のような感じの検証環境で試しました。 IPアドレス 説明 ホストO
This webpage was generated by the domain owner using Sedo Domain Parking. Disclaimer: Sedo maintains no relationship with third party advertisers. Reference to any specific service or trade mark is not controlled by Sedo nor does it constitute or imply its association, endorsement or recommendation.
DDoS攻撃の脅威 1つのコンピュータから攻撃するのがDoS(Denial of Service attack)です。これに対して、大量のコンピュータから一斉に攻撃するのがDDoS(Distributed Denial of Service attack)です。 これらは、攻撃対象となるWebサイトに膨大な量のリクエストを送信して、サーバに処理負荷を与え、ダウンさせたり誤動作させたりします。Webサーバやメールサーバのみならず、ルータやスイッチなどネットワーク機器にも影響を与え、Webサイトのインフラを破壊します。 これらの目的は機密情報の盗み出しではありません。目的は「Webサービスの停止」です。とりわけ、DDoS攻撃は思想や政治が背景にあるケースが多く、国際的なサイバーテロリストによる、政府機関や公共サービスなどへの攻撃が目立っています。 もちろん、一般企業も標的となり、収益の低下や顧
X-Forwarded-For (XFF) とは、HTTPヘッダフィールドの一つ。HTTPプロキシサーバまたは負荷分散装置(ロードバランサ)を経由してウェブサーバに接続するクライアントの送信元IPアドレスを特定する際のデファクトスタンダードである。このヘッダはSquidキャッシング・プロキシサーバの開発者により初めて導入された。のちに、IETFのネットワーク作業部会 (Network Working Group) が同種のHTTPヘッダForwardedを RFC 7239 で提唱している。 ここでのキャッシング・サーバー(キャッシュ・サーバ)とは、概ね、大規模なISPの利用者がWWWへ接続する際にISPが利用を推奨または強制的に利用させるプロキシサーバのことを指し、データのキャッシングにより外部へのネットワーク帯域幅を減らす働きを持つ。いくつかの場合、これらプロキシサーバは透過的プロキシ
「おーおーっすっ!」 てなこって、TwitterのAPIのBASIC認証も6月末に終了してOAuth/xAuthに移行するというこの時期に、あらためてOAuthについて勉強してみたんですのよ? OAuth認証を利用するライブラリは各言語で出そろってきてるのでそれを使えばいんじゃまいか? というと話が終わるので、じゃあそのライブラリの中身はなにやってんのよってことを、OAuthするScalaのライブラリ作りながら調べたことをまとめてみました。 間違っているところもあると思うのでツッコミ歓迎です>< OAuthってそもそもなんなの? ものすごくざっくりというと「API利用側が、ユーザ認証をAPI提供サービス側にやってもらうための仕様」って感じでしょうか? BASIC認証の場合、API利用側が認証に必要なアカウントやパスワードを預かる必要があるわけです。悪意のあるAPI利用側が「なんとかメーカー
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く