WebAuthnでパスワードレスなサイトを作る。安全なオンライン認証を導入するFIDOの基本 - エンジニアHub|Webエンジニアのキャリアを考える!
WebAuthnでパスワードレスなサイトを作る。安全なオンライン認証を導入するFIDOの基本 FIDO(Fast IDentity Online)とは、公開鍵認証方式を応用し、オンライン経由で認証を行う仕組みです。パスワード認証の安全性は限界が指摘されるなか、Webサイトにおいても生体認証などパスワードレスな仕組みを導入する企業が増えており、このFIDOやWebAuthnに注目が集まっています。Capy株式会社で情報セキュリティに関する研究開発や分析などに携わる、松本悦宜さんの解説です。 こんにちは、松本悦宜(@ym405nm)です。 FIDO(ふぁいど)に関しては、昨年(2018年)から多くのメディアや技術ブログで取り上げられ、導入するWebサイトも増えています。 FIDO2プロジェクトにおいて話題になったWebAuthn(Web Authentication API)についても、主なW
5分で絶対に分かるWebフィルタリング(上級編)
Webフィルタリングの何たるかについて紹介した「初級編」に続き、上級編では、Webフィルタリングについてもう少し技術的に踏み込んだ内容と、スマートデバイスの普及などを踏まえたこれからの課題について紹介します。 「Webフィルタリング」が一体どのようなもので、どんな仕組みによって実現されているかを紹介した「初級編」に続き、上級編では、Webフィルタリングについて、もう少し技術的に踏み込んだ内容を紹介していきます。 1分 - Webフィルタリングの代表的な提供形態 まずは、Webフィルタリングの代表的な提供形態から紹介します。主に以下の4種類に分類できます。 1.ソフトウェア型 企業内ネットワークからインターネットに出るゲートウェイにフィルタリングサーバを設置し、そこでWebフィルタリングを行う形態です。プロキシサーバとセットで提供する「プロキシ型ソフトウェア」の形態が一般的です。 この場合、
5分で絶対に分かるWebフィルタリング(初級編)
1分 - Webフィルタリングとは何か? Webフィルタリング(別名:URLフィルタリング)とは、アダルトサイトや薬物・犯罪に関するWebサイトなどのように、教育上または職務上、閲覧することが不適切なインターネット上のWebサイトをフィルタリングし、エンドユーザーに見せなくすることを指します。 教職員や企業の情報システム管理者があらかじめ設定したフィルタリングのポリシーに基づき、児童や社員が不適切なWebサイトにアクセスしようとした際に、自動的に閲覧を禁止します。児童の学年や社員の業務内容・役職などによりフィルタリングのポリシーも変わるため、一律ではなくグループ単位での柔軟なポリシー適用が必要とされます。
Webアプリケーション脆弱性診断の検査対象をどう絞り込めばよいか
ソニーDNAさんの『入門!基礎からわかる「失敗しないWeb診断業者の選び方」』というブログ記事を読みました。 全体的に穏当な内容で異論はないのですが、興味深い内容なので、屋上屋を架すようですが少し追加して考えてみたいと思います。 私が特に注目したのは以下の箇所です。 2. 検査対象を適切に絞れるか? セキュリティ対策をくまなく実施できれば安心ですが、それは大きな費用がかかり現実的ではないというケースも多いでしょう。そのため、Web診断では検査対象を適切に絞り込むことが必要です。ログイン画面や課金機能、個人情報管理機能など、セキュリティ対策が特に求められる機能を重点的に検査するには、検査対象を明確にすることが重要になります。 上記の考え方は、脆弱性診断の現場でよく行われているもので、筆者もこれに従うことは多いのですが、検査対象の選定は重要なのでもう少し掘り下げて考えてみたいと思います。 脆弱
嵐のコンサートが原因? ホテルの予約トラブルをセキュリティーコンサルが検証 - はてなニュース
嵐のコンサート日程と開催場所が発表された後、会場近くのビジネスホテルが部屋数を大幅に超える予約を受け付けてしまったトラブルが、5月3日に報じられました。インターネットでの予約申し込みが殺到したとのことです。セキュリティーコンサルタントの徳丸浩さんはニュースを受け、トラブルが再現する宿泊予約システムを題材としたブログ記事を、5月7日(木)に公開しました。解説の分かりやすさから、はてなブックマークでも盛り上がりを見せました。 ▽ 嵐のコンサートがあるとダブルブッキングしてしまうホテル予約システムを作ってみた | 徳丸浩の日記 ▽ 203室のホテルなのに「予約」数千件 嵐公演で殺到か:朝日新聞デジタル 徳丸さんはホテルの多重予約が発生してしまった理由について、宿泊予約システムで「排他制御」が十分でなかったという仮説を立てました。排他制御とは、ファイルやデータを複数人で更新する際に整合性が保てるよ
嵐のコンサートがあるとダブルブッキングしてしまうホテル予約システムを作ってみた
今年の5月1日に、仙台市内のホテルで多重予約のトラブルが発生したと報道されています。 部屋数203室の仙台市のビジネスホテルで、9月18~23日の宿泊予約を数千件受け付けるトラブルがあった。アイドルグループ「嵐」のライブが宮城県内で開催される期間だった。インターネットでの申し込みが殺到し、システム障害が起きたとみられるという。 トラブルがあったのは、仙台市泉区の「ホテルルートイン仙台泉インター」。ホテルなどによると、9月19、20、22、23日に宮城スタジアム(宮城県利府町)で嵐がライブを開くことが明らかになった後の5月1日午前5時ごろ、ネットを使った予約申し込みが殺到していることに気づいたという。 203室のホテルなのに「予約」数千件 嵐公演で殺到か:朝日新聞デジタル より引用 5月1日の朝に何があったのか調べてみると、この日の早朝にテレビや新聞でコンサートの情報が流れたようですね。 お
大手サイト、PCからのアクセスは軒並み2けたの減少率 楽天、Amazonなどスマホが逆転 ニールセン調査
ニールセンは12月16日、2014年の国内インターネットサービス利用者数ランキングを発表した。各サービスのPCからの利用が前年から10%以上落ち込む一方、スマートフォンからの利用が最大6割増に。楽天やAmazonなどはスマートフォンユーザーがPCユーザーを超えている。 PCからの利用者の多いサービスのトップ5は「Yahoo!」「Google」「FC2」「YouTube」「Microsoft」。トップ10のすべてが前年比で2けたの減少率となっており、比較的PC利用の多い「楽天」(15%減)「Amazon」(14%減)などのECサイトや動画サイト「YouTube」(18%減)も大きく減少を見せている。 一方、スマートフォンからのネット利用者数は10月時点で約4400万人にのぼり、前年同期から約900万人増加。1位「Google」と2位「Yahoo!」はスマートフォンからそれぞれ月間約3400万
Webサイト制作の第一歩は目的とゴールの設定から
ひとくちに「Webサイト」といっても、さまざまな種類があります。大きく分けると、商品を広く告知するための「プロモーションサイト」、企業の情報を伝える「コーポレートサイト」、インターネットを通じて商品を販売する「ECサイト」があり、ほかにもオンライン上でサービスを提供する「サービスサイト」、ニュースなどのコンテンツを発信する「情報サイト」などが挙げられます。 さまざまなタイプのWebサイトがあるのは、Webサイトには必ず目的があり、発注するクライアントによって目指すゴールが違うからです。たとえば、特定の商品のプロモーションサイトであれば、商品の存在を多くの人に知ってもらうのがサイトの目的であり、最終的に購入してもらうことがゴールになります。 Webディレクターには、Webサイトの目的を的確にとらえ、クライアントが目指すゴールまでの道筋を引いてプロジェクトを進行していく役割が求められます。 ま
不正URLに使用される短縮URLサービス
短縮URLサービスは、不正URLを隠ぺいする場合にも使われている。この問題に関する調査報告を、米マカフィーがブログで紹介した。米アップアピールの調査によると、人気短縮URLサービスのトップ5である「TinyURL.com」「Goo.gl」「Bit.ly」「Ow.ly」「is.gd」は、残念なことに大量の不正URL隠ぺいに利用されている。 短縮URLサービストップ5を利用した不正URL数 短縮URLサービス別不正URL数の推移 頻繁に使われるこれらサービスのほかにも、多くの短縮URLサービスが存在する。短縮URLサービスでは「.com」「.me」「.ly」「.us」「.in」「.net」「.to」「.it」「.cc」「.gd」といったトップレベルドメインがよく使われる。これらサイトの3分の2はアクセスできないか、アクセスするとドメイン名の売り出しを告知するリンクが付いたページに誘導される。多
[1]なりすましの攻撃手法
横浜市のサイト「市民からの提案」は、市民から様々な意見を集める目的で運営されている(写真1)。なりすまし犯行予告により、無実の一般市民が相次いで誤認逮捕された一連の事件では、ここが犯行現場の1つになった。2012年6月、横浜市立の小学校を襲撃するという予告が書き込まれたのだ。 大きな実害はないはずの問題が… 用いられたのは、クロスサイトリクエストフォージェリー(CSRF)という攻撃手法である。犯人は匿名掲示板2chなどを介して、一般市民の被害者を罠サイトに誘導し、そこに仕掛けたJavaScriptを実行させた。すると被害者が知らないうちに横浜市のサイトに襲撃予告が書き込まれ、あたかも被害者が書いたかのように見せかけられた。具体的には、被害者のWebブラウザーからのアクセスによって、被害者PCのIPアドレスが横浜市サイトのアクセス履歴に残ったのだ。捜査当局はそのIPアドレスをたどって、被害者
「パスワードの使い回しを防ぎたい」――Chromeのセキュリティ担当
「インターネットにおけるセキュリティ問題の一つが、パスワードの使い回し。Webブラウザーでそれを防げるような機能を開発中だ」。Webブラウザー「Chrome」のセキュリティを担当する、米グーグルのイアン・フェッティ シニアプロダクトマネージャーは2012年11月29日、グーグルが都内で実施した説明会において、Chromeのセキュリティ機能について解説した。 フェッティ氏によれば、Chromeの開発原則は「Speed(速さ)」「Simplicity(シンプルさ)」「Security(セキュリティ)」の「3つのS」だという。セキュリティが原則の一つになっているのは、「インターネットには、フィッシングなどのネット詐欺やマルウエア(ウイルス)といった脅威が多数存在する。グーグルでは、Webブラウザーが、それらに対する防御ラインになるべきだと考えている」(フェッティ氏)ためだ。 原則にのっとって、C
私がウェブサイト作成時にお世話になっているサイトをご紹介
こういうのを集めだすときりがないのですが、個人的に本当によくお世話になっているサイトに絞って紹介してみます。 有名なサイトばかりですがサイトを作るにあたってお世話になる順に紹介していきます。参考になればうれしいです。 Webデザインギャラリー | I/O 3000 まず、ギャラリーサイトでサイトのイメージを膨らませます。カテゴリ、タグ、カラーで整理されており、とても探しやすいです。 このようなギャラリーサイトは他にもありますが、ページ変遷なしで次を読み込むのでとても見やすいです。 他にはこんなサイトをよく見ます。 WEBデザインの見本帳 Web Design Clip 【Webデザインクリップ】 【HTMLタグの簡単検索】TAG index - ホームページ作成情報 プロの方はPhotoshopで描いてからコードを書いていくみたいですが、私は最初からHTMLを書いていきます。 一応Drea
きっこ女史がガセネタを官邸ホームページ更新の件で流して大漁旗が揚がる大戦果 @kikko_no_blog - やまもといちろうBLOG(ブログ)
やりおったか! 凄いガセネタの威力だ! http://twitter.com/#!/katoyuu1/status/188467885927170048 きっこソースで不確かな情報が拡散されていく悲惨な例。 http://bit.ly/HiUkFH → http://bit.ly/HkPtbw → http://bit.ly/I0a5FA (via http://www6.ocn.ne.jp/~katoyuu/) 流れを追っていくと、普通に仕事をしていればそんなことはまずありえない、ということが拡散されていくあたりにキュレーターなきウェブのアレな感じが残念に思います。梅田望夫さんはこういうことを言いたかったのか! IIJが請け負っていたのはCMSとか出る前の2005年以前のことで、その数字を並べてきて「4,550万ではなく1億1,000万だったんだよ!」「なんだってー」とかいう馬鹿がいっぱ
西村博之氏の名前も報じられた「2ちゃんねる捜査」で警察が狙う「Web業界」取締強化に隠された「思惑」(伊藤 博敏) @gendai_biz
警視庁の「2ちゃんねる捜査」が、大詰めを迎えている。 覚醒剤売買に関する書き込みを放置、覚醒剤の購入をそそのかしたという麻薬特例法違反容疑だが、警察の狙いは「2チャンネル」の管理人を特定、責任を取らせることで、「インターネットの無法」に、警鐘を鳴らすことである。 焦点となっているのは、「2チャンネル」元管理人の西村博之氏(35)。創始者でもある西村氏は、管理運営権をシンガポールのパケット・モンスター社に売却したというが、『読売新聞』(3月27日)の報道によると、同社はペーパーカンパニーで連絡代行を行っているだけ。唯一の取締役のシンガポール人は、「頼まれて役員になっただけで、2チャンネルという掲示板は知らない」と、答えている。 警視庁は、数多くの訴訟を起こされ、出廷しないことからほとんど敗訴、支払い命令を受けた累計金額が、5億円にも達するという西村氏の「訴訟回避」を狙った偽装売買ではないかと
Joruri公式サイト
Joruri CMS Ver.3 お問い合わせ 初期型 Joruri CMS ダウンロード(GitHub) お知らせ 2023年08月04日【重要】Joruri CMS ver.3以下のサポート終了について 2022年02月16日Joruri CMS 3.1.8をリリース 2021年08月24日Joruri CMS 3.1.7をリリース 2021年02月09日Joruri CMS 3.1.6をリリース 2020年12月03日Adobe Flash Player 削除における影響と対応について 最新版Joruri CMS 2020の情報はこちらから パンフレット 自治体向けWebアプリケーションソフトウェアシリーズ Joruriパンフレット(2017.7.6版) Joruriパンフレット[PDF:2.7MB] 自治体OSSキットパンフレット(2017.05.16版) 自治体OSSキットパンフ
ひとりでWebサイトを作れるまでに必要な本や記事集めました 〜①デザイン編〜
「Webサイトを作れるようになりたいけど何から始めればいいかわからない」そんな人のために完全な素人の人がひとりでWebサイトを作れるまでに必要な本や記事集めました。 この記事テーマは3つの記事に分かれています。 一つ目は今回の、 完全素人がひとりでWebサイトを作れるまでに必要な本や記事集めました 〜①デザイン編〜 後日公開予定の、 〃 〜②コーディング編(HTML&CSS)〜 〃 〜③集客・Webマーケティング編〜 以上の3つです。 Webサイトの制作手順 初めての方は「Webサイトをどういう順番で作るか?」について知らないと思いますので、説明します。Webサイトを作成し、公開してたくさんの人に見てもらうまでには大きく7つのステップがあります。 ①どんなWebサイトにするか考える(企画) Webサイトを作るためにまずはどんな目的で、誰に、どんな情報やサービスを届けたいのかを考え
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
【やじうまWatch】「嵐」コンサートのホテル予約重複を再現したプログラムがわかりやすいと話題に
[3]HTTPヘッダーインジェクションとクリックジャッキング
[2]CSRFとクロスサイトスクリプティング
http://japan.internet.com/webtech/20120411/3.html?rss