Let's Encrypt 総合ポータル
Let's Encrypt 最新情報 ・ワイルドカード証明書と ACME v2 へ対応が完了しました(2018年03月15日 更新) ※技術的な詳細については ACME v2 とワイルドカード証明書の技術情報 をご覧ください。 ※ワイルドカード証明書の取得には、ACME v2 プロトコルに対応したクライアントと DNS による認証が必要です。証明書の取得・更新の際に、DNS の「TXT レコード」にワンタイムトークンを登録する必要があります。 ※サブジェクトの代替名(SAN : Subject Alternative Name)を使用した 複数のドメイン名・サブドメイン名に対して有効な証明書 も引き続き取得可能です。 Let's Encrypt について Let's Encrypt は、認証局(CA)として「SSL/TLSサーバ証明書」を無料で発行するとともに、証明書の発行・インストール・
PHPプロ!PHP講座新着順
平素より「PHPプロ!」をご愛顧いただき、誠にありがとうございます。 2006年より運営してまいりました「PHPプロ!」ですが、サービスの利用状況を鑑みまして、2018年9月25日(火曜日)をもちましてサービスを終了させていただくことになりました。 サービス終了に伴いまして、2018年8月28日(火曜日)を持ちまして、新規会員登録ならびにQ&A掲示板への新たな質問、回答の投稿を停止させていただきます。 なお、ご登録いただいた皆様の個人情報につきましては、サービス終了後、弊社が責任をもって消去いたします。 これまで多くの皆様にご利用をいただきまして、誠にありがとうございました。 サービス終了に伴い、皆様にはご不便をおかけいたしますこと、心よりお詫び申し上げます。 本件に関するお問い合わせはこちらよりお願いいたします。
もし『よくわかるPHPの教科書』の著者が徳丸浩の『安全なWebアプリケーションの作り方』を読んだら - ockeghem's blog
たにぐちまことさんの書かれた『よくわかるPHPの教科書(以下、「よくわかる」)』を購入してパラパラと見ていたら、セキュリティ上の問題がかなりあることに気がつきました。そこで、拙著「体系的に学ぶ 安全なWebアプリケーションの作り方(以下、徳丸本)」の章・節毎に照らし合わせて、「よくわかる」の脆弱性について報告します。主に、徳丸本の4章と5章を参照します。 4.2 入力処理とセキュリティ 「よくわかる」のサンプルや解説では、入力値検証はほとんどしていません。しかし、入力値検証をしていないからといって即脆弱かというとそうではありません。徳丸本でも強調しているように、入力値検証はアプリケーション要件(仕様)に沿っていることを確認するもので、セキュリティ対策が目的ではないからです。 「よくわかる」の中で、私が見た範囲で唯一の入力値検証は、郵便番号のチェックをするものです。以下に引用します(「よくわ
徳丸浩の日記
サマリ ISO-2022-JPエンコーディングの誤判定を悪用したXSSの技法としてEncoding Differentials: Why Charset Matters | SonarのTechnique 2を紹介する。これは、HTMLの属性を囲むダブルクォート等をISO-2022-JPの2バイト文字と誤認させることによって引用符の効果を無効化させることによるXSSである。本稿で紹介する攻撃は、従来からのセキュリティベストプラクティスである「文字エンコーディングの明示」に従っていれば影響を受けることはない。 ここで紹介する攻撃は、はせがわようすけ氏のブログ記事ISO-2022-JPによるXSSの話 - 葉っぱ日記で紹介されている「2. 属性値やテキストノードのエスケープのバイパス」と同じ原理であり、本記事の方が条件が複雑であるが、エスケープ対象の文字に関する制約は緩やかである。 はじめに
「PCでは見えないはず」に頼ることの危険性
“特殊だ”と形容されることの多い日本の携帯電話向けWebサイト。そこには、さまざまな思い込みや性善説の上しか成り立たないセキュリティが横行しています。本連載は、ケータイWebの特殊性をていねいに解説し、正しいケータイWebセキュリティのあるべき姿を考えます(編集部) 無視できない“ケータイWeb”セキュリティ はじめまして。今回からこの連載を担当することになりました徳丸浩といいます。この連載では、携帯電話向けWebアプリケーション(以後「ケータイWeb」と表記します)のセキュリティについて解説します。ここでいう携帯電話とは、iモードやEZweb、Yahoo!ケータイなど、日本で従来、広く利用されているサービスを指します。一方、いわゆるフルブラウザやiPhone、Android端末などは含みません。 ケータイWebは、一般のPCなどから利用されるWebと比較して、使用技術の90%くらいは共通
Webアプリケーション作った後のチェック表
愛宕山太郎坊 アニメーション制作進行支援ソフト 愛宕山太郎坊 ログイン 会社id ユーザー名 パスワード ユーザー名またはパスワードが正しくありません。 閉じる ログイン
徳丸浩の日記
サーバーの能力の問題もあり、「徳丸浩の日記」を以下のURLに移転致します。旧のコンテンツはそのままとし、新しいエントリから新ブログの方に書いていきます。 徳丸浩の日記 (blog.tokumaru.org) 新ブログの最初のエントリとして、「ソフトバンクのゲートウェイ型SSLの脆弱性を振り返る」を書きましたので、ぜひお読みください。 _PDO/MySQL(Windows版)の文字エンコーディング指定の不具合原因 前回のブログ「PHP5.3.6からPDOの文字エンコーディング指定が可能となったがWindows版では不具合(脆弱性)あり」にて、PHP5.3.6(本エントリ執筆時点での最新版)からPDOにてサポートされた文字エンコーディング指定がWindows版では正しく動作しないことを報告しました。Linuxでは正常に動作するので不思議だなという話になっていたのですが、千葉征弘さん(@nihe
ぼくがPDOを採用しなかったわけ(Shift_JISによるSQLインジェクション)
補足 この記事は旧徳丸浩の日記からの転載です。元URL、アーカイブ、はてなブックマーク1、はてなブックマーク2。 備忘のため転載いたしますが、この記事は2010年7月1日に公開されたもので、当時の徳丸の考えを示すものを、基本的に内容を変更せずにそのまま転載するものです。 補足終わり PHPのデータベース・アクセス・ライブラリPDOは、DB接続時の文字エンコーディング指定ができないため、文字エンコーディングの選択によっては、プレースホルダを使っていてもSQLインジェクション脆弱性が発生します。 追記(2011/06/19) ここに来て急にブクマが追加されはじめていますが、このエントリを書いてから状況が改善しています。PHP5.3.6(2011/03/17)にて、PDOでもデータベース接続の文字エンコーディングを指定できるようになりました。この版で、UNIX版のPHPでは解決しましたが、Win
グーグル、「Google Apps」の政府向けバージョンを提供
カリフォルニア州マウンテンビュー発--Googleは、米政府向けに同社のオンラインオフィススイート「Google Apps」を提供する準備が整ったと述べている。 Googleは、同社本社で開かれた報道向け説明会で、政府機関向けに特別に設計されたAppsスイートの新しいバージョンを発表した。このバージョンは、Google Appsの既存のバージョンと並んで販売される予定で、価格は、同社のプレミアライセンスと同じ1ユーザーあたり年間50ドルである。 「Google Apps for Government」に含まれるアプリケーションはすべて、他のバージョンと同じものだが、セキュリティのレベルが高くなっており、連邦情報セキュリティマネジメント法(FISMA:Federal Information Security Management Act.)が定める要件を満たしているとGoogleは述べている
ASP.NET でソース管理システムへの NuGet パッケージのコミットを不要とする - THE TRUTH IS OUT THERE - Site Home - MSDN Blogs
Microsoft is holding an AI Agents Hackathon, and we want to see what you can build with Python! We'll have 20+ live streams showing you how to build AI agents with Python using popular agent frameworks and Microsoft technologies. Then, you can submit your project for a chance to win prizes, including a Best in Python prize!
クラウドコンピューティングの心理的課題
利点のみがクローズアップされがちなクラウド、企業が安心して使うには? クラウド利用のリスクと課題を2回に分けて解説する(編集部) この1年ほどですっかりと定着したキーワード、“クラウド”であるが、多くのクラウド事業者から各種のサービスが提供されている。さらに、類似のサービスでは低価格化の傾向がうかがい知れる状況となっている。 そのような中、クラウドサービスの利用を考えている企業の中には、セキュリティ面の懸念から利用を躊躇し動向を伺っているケースもある。セキュリティに対する課題やリスクを考察する。 クラウドコンピューティングを取り巻く環境 海外(主としてアメリカ)に引き続き、日本国内メーカーからクラウド製品やソリューションなどのクラウドサービスが矢継ぎ早にリリースされている。メール配信ニュースの新着メッセージやIT系サイトの記事で、“クラウド”というキーワードを目にしない日はないほどであり、
狙われるWebアプリケーション---目次
はびこる「インジェクション系」のぜい弱性 Webアプリケーションのぜい弱性を示す用語として,クロスサイト・スクリプティング,SQLインジェクションといった言葉の認知度はかなり高まった。しかし実際には,これらのぜい弱性を持った危険なWebサイトは依然として存在するのが実情である。そこで本稿では,正しい対策の方法を解説する。 対策遅らせるHTMLエンコーディングの「神話」 クロスサイト・スクリプティング,SQLインジェクション,OSコマンド・インジェクション--。Webアプリケーションに潜む様々なぜい弱性が指摘され,活発に議論されるようになってきた。しかしWebサイトの実態を見ると,必ずしも対策は進んでいない。多くの場合,原因は「正しい対処方法を知らない」こと。そこで本編では,Webアプリケーションの代表的なぜい弱性の共通原理と対策について解説する。今回はクロスサイト・スクリプティングのぜい弱
)
ASP.NET の組み込み機能を活用し、Web 攻撃を回避する
Table 1. Common Web attacks What are the key facts that emerge from the list? At least the following three, I'd say: Whenever you insert any sort of user input into the browser's markup, you potentially expose yourself to a code injection attack (any variations of SQL injection and XSS). Database access must be accomplished securely, that is, using the least set of permissions ever possible for ac
【お知らせ】Azureセキュリティホワイトペーパーの日本語化、だん。:Azureの鼓動:オルタナティブ・ブログ
3週間ほど前にこのブログでお知らせしたAzureのセキュリティホワイトペーパー 「Security Best Practices for Developing Windows Azure Applications」(もちろん英語)の 日本語訳が完了したのでここにお知らせしておきたい。 今回の日本語訳については、セキュリティということで、認証系に強いエバンジェリスト である安納も協力を仰ぎつつ、単に日本語にするという作業に加え、技術的に正しく伝わる ことを妥協せず、できるだけ速い公開を目指してきた。 ダウンロードはコチラから。 こういうホワイトペーパーが欲しい、とか、このドキュメントを翻訳して欲しいなど、 ドキュメント整備においてもみなさまからのご要望あればお寄せいただきたい。
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
PC
kses - PHP HTML/XHTML filter
はてなブログ | 無料ブログを作成しよう