AWS Black Belt Tech Webinar 2015 (旧マイスターシリーズ) AWS IAM (Identity and Access Management)Read less
Editor's Notes・ChatWork でWebフロントエンドを担当 ブラウザ上で動くScalaを書いてます。 基本的にセキュリティとの関わりは趣味の範疇。MixiさんからAmazonギフト券もらったくらいの経験 ・きっかけは「趣味と実益のスタック破壊」 これは「いかに対象のコード上でバッファオーバーフローやヒープオーバーフローを起こすか」という視点で書かれた文書。非常に面白かった すでにサイトからは消えていてWebArchivesでのみ読める 「セキュリティが趣味になる」ということを知ったのは衝撃だった ・セキュリティ関係での活動はApplicationCache poisoningが主 ApplicationCache poisoningはけっこう昔から一般的に言われていることなので取り立てて言う話ではない DNS関係も好き今までセキュリティとは開発とは別に考えられていた。 現
参加しよう!Hardening Project ( Hardening 10 ValueChain #h10v #h・v レポート )
#### アカウント ログオン イベントの監査 このポリシー設定を有効にすると、資格情報検証のイベントが生成されます。これらのイベントは、資格情報を検証する権限のあるコンピュータで発生します。ドメイン アカウントの場合はドメイン コントローラ、ローカル アカウントの場合はローカル コンピュータに権限があります。ドメイン環境の場合、ほとんどのアカウント ログオン イベントは、ドメイン アカウントに対して権限のあるドメイン コントローラのセキュリティ ログで発生します。ただし、ログオンに使用されているアカウントによっては、組織内の他のコンピュータで発生する場合もあります。 このガイダンスでは、\[アカウント ログオン イベントの監査\] の値を、EC 環境では \[成功\] のみ、SSLF 環境では \[成功\] および \[失敗\] に設定します。 #### アカウント管理の監査 このポリシ
ポイント ●ケルベロス(Kerberos)認証とは,複数のサーバーと複数のユーザーの認証情報を一元管理するのに適したしくみである。やりとりする通信を暗号化する機能もある ●ケルベロス認証を実装するには,コンポーネント間で時刻同期が必要 ●シングルサインオンとは,1回の認証で複数のサービスを利用できるようにするしくみのこと これまでにネットワーク環境で利用されている認証方式を見てきましたが,今回はケルベロス認証という技術を学びます。ユーザー情報を一元管理し,一度受けた認証情報をほかのサーバーへアクセスするときにも引き継げるようにする仕組みです。社内ネットなどに多数のユーザーとサーバーが存在し,個々のユーザーは同時に複数台のサーバーへアクセスする必要がある時に威力を発揮します。 PPPやRADIUSとは違う 前回までネットワーク環境で利用される認証方式をいくつか紹介してきました。ここで簡単に整
Webアプリケーションのぜい弱性がなかなかなくならない。メディアなどでも盛んに取り上げられているにもかかわらず,である。特に,セッション管理がからむアプリケーションのぜい弱性には,気付かないことが多い。具体的には「クロスサイト・リクエスト・フォージェリ」(CSRF),「セッション・フィクセーション」などである。これらはクロスサイト・スクリプティング,SQLインジェクションといった比較的メジャーなぜい弱性に比べて認知度が低く,対策も進んでいない。 原因の一つは,アプリケーションの開発者が原因を正しく理解していないこと。CSRFやセッション・フィクセーションについて言えば,セッション管理に使うクッキー(cookie)の動作を理解していないと対策が難しい。ところが最近の開発環境では,セッション管理の仕組みが隠ぺいされているため,必ずしもこの知識は要求されない。こうした開発者は容易にはぜい弱性に気
2008年01月05日02:45 カテゴリ翻訳/紹介Code 試訳 - コードをセキュアにする10の作法 全コーダー必読。プログラマーだけではなく法を作る人も全員。 Top 10 Secure Coding Practices - CERT Secure Coding Standards 突っ込み希望なので、いつもの「惰訳」ではなく「試訳」としました。 Enjoy -- with Care! Dan the Coder to Err -- and Fix コードをセキュアにする10の作法 (Top 10 Secure Coding Practices) 入力を検証せよ(Validate input) - 信頼なきデータソースからの入力は、全て検証するようにしましょう。適切な入力検証は、大部分のソフトウェア脆弱性を取り除きます。外部データは疑って掛かりましょう。これらにはコマンドライン引数、
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く