世間を騒がす OpenSSL の脆弱性「Heartbleed」!最低限やっておきたい対策まとめ | バシャログ。
最近コンタクトジャグリングを習い始めた kimoto です。全くやったことない分野の習い事、楽しいっす。 さて、4 月 7 日に発覚して以来世間を騒がし続けている OpenSSL の脆弱性、いわゆる Heartbleed 問題。 Web サイト運用などされている方でこの問題を聞いたことがないという方はもはや居ないかもしれませんが、事が事だけに少しでも広めていきたいと思います。この問題に今更聞けないも何もないです。 この記事では、最低限やっておきたい確認と対策を書いていきます。 Heartbleed の影響 この脆弱性を悪用するとどんなことになるのでしょうか?これを利用し攻撃されると、通信内容を盗聴され、ログイン情報や秘密鍵など、極めて重要な情報が漏洩する可能性があります。 しかも悪いことに、このバグを悪用して攻撃されてもその痕跡はサーバには残らないとのこと。つまり、重要な情報が漏れてしまっ
PHP でパスワードを保存するなら Blowfish でハッシュしよう | バシャログ。
今週末に劇場公開される『平成ライダー対昭和ライダー 仮面ライダー大戦 feat.スーパー戦隊』に草加雅人が登場するときいて期待よりも不安に駆られている kagata です。仮面ライダーが30人も出てくるお祭り映画で、彼の腐りきった性根もとい、複雑に屈折したキャラクターを描ききることができるのでしょうか。いきなりいい奴になってたらどうしよう…そう、たとえば劇場版ジャイアンのように…。 さて、今回は PHP とパスワードハッシュのお話です。パスワードを平文で管理していた時代は遠く過ぎ去りました(と思いたい)。またパスワードハッシュのアルゴリズムも、かつてよく使われた MD5 や SHA1 よりも安全とされるものが登場しています。そんな中、今現在のベストプラクティスはどうなっているのか、PHP マニュアルの公式(?)見解をひもといてみました。 PHP マニュアルの見解 PHP マニュアルにはその
セキュリティ対策まとめ(2013年秋)
JOJOのアニメ第三部が正式に決まったそうですね! 楽しみ~な、にわかファン Latin です。 最近のWordPress界隈ではAmazon Web Serviceが俄然盛り上がっておりますが、大好きなWordPressを守るため、セキュリティ対策をまとめてみました。 初期セットアップ・設定系の対策 データベースのプレフィクス(接頭辞)を変更する wp-config.php 内の「wp_」の接頭辞を任意のものへ変更します。 その場合、追加で以下の作業が発生します。 phpMyAdmin などを使い、データベースのテーブルネームを変更したカスタムプレフィクスに変更する。 options や usermeta テーブルなどの他のフィールドでも「wp_」プレフィクスが使われている可能性がある為、以下のクエリーを走らせてプレフィックスを変更する。 SELECT * FROM `myprefix_
あなたのアカウントは大丈夫?facebook の不正アクセスを防止する設定まとめ | バシャログ。
1月上旬からダイエットを始め、早くも5キロ程落ちた kimoto です。腹減った!(前回と同じ) 先日、弊社シーブレインスタッフの一人から、Facebook で身に覚えのない場所でのログインがあった、という話を聞きました。 まずはこのスタッフがすぐ気がついたから良かったものの、下手をするとアカウントを乗っ取られてしまう可能性のある事象です。 それが本当に他人によるログインで、さらにパスワードを変更されてしまえばお手上げです。怖いですね。 そこで、facebook における不正アクセスの対策をまとめてみました。 セキュリティ関連の設定画面への行き方 右上の「▼」→「アカウント設定」をクリックし、左のメニューから「セキュリティ」を選択。(面倒くさい人用ショートカット) すると以下のような画面が現れると思います。 まずはおかしなセッションがないか確認 「進行中のセッション」を開いて、身に覚えのな
知っておくと便利かも?ビジネスシーンでつかう Facebook の場合別設定あれこれ | バシャログ。
年末も近づき、そろそろ来年が近づいてきました。早い…!kimoto です。 少し前に「Facebook のセキュリティやプライバシー設定のまとめ」というエントリーを書きました。 こちらは設定関連を一通り説明した物ですが、そのエントリーの終わりに「次回は、場合別にわけて、設定方法を書いていこうと思ってます」と書いたので、今回はその辺の話を書こうと思います。 最近はなんだか Facebook に関しての質問を結構もらうので、その質問を元に書いていこうと思います。 また、記事は基本的には順番に辿れるように説明してますが、リンクを張れる部分についてはリンクを張ってますので、そこから直接行ってもらう事も可能です。 目次はこんな感じです。 友達登録しちゃったんだけど、解除したい Facebook ってログインしてない人からも見られるのが嫌だ! 特定の友達にのみ、友達リストを見せないようしたい 誕生日は
Facebook のセキュリティやプライバシー設定のまとめ | バシャログ。
WOWOW でやってたハリーポッター全シリーズ一挙放送を全て録画してしまった物の、いつになったら消化できるか不安な kimoto です。 「ちゃんと設定できてる?Facebook のプライバシー設定まとめ」という記事を6月に書いたんですが、流れの速い(仕様変更の激しい)Facebook 時間に照らし合わせると5カ月経てば今は昔。 もう画面は大幅に変わってしまい、まったく通用しない記事になってしまいました。 画面が変わった事で分かりやすくなったはずですが、大幅に変わりすぎて「わからん!せっかく覚えたのに!」と投げ出す人も結構いるようです。 そこで今回、おおまかにこの辺りの設定についてまとめてみます。 はじめに まず、なぜ facebook の設定画面って、これほど分かりづらいというイメージになってしまっているのでしょうか。 基本的に、この辺りを設定し直そうと思う人は、登録情報の公開範囲をきち
SE・プログラマが知ってると便利な脆弱性チェックツール 5 つ | バシャログ。
東京ラーメンショー2011 いきてーーー!みなさんこんにちは、nakamura です。 今日はプログラマだったりサーバ管理者だったり(もしくはその両方だったり)する方にお勧めしたいサイトとツールをいくつかご紹介します。細かい脆弱性のチェック等どうしても手間が掛かるものが多いですが、今回ご紹介するツールをうまく使うとその辺りだいぶ効率よくできると思いますよ! WEB アプリケーション関連 XSS Me XSS Me :: Add-ons for Firefox XSS のテストをある程度自動化してくれる Firefox のアドオンです。残念ながら Firefox3.0.* 系の頃に開発が止まってしまっているようですが、僕の環境では install.rdf の書き換えで問題なく動作しています。(Windows7 64bit + Firefox7.0.1) SQL Inject Me SQL I
サイトを公開する際に最低限抑えておきたい Apache の設定 | バシャログ。
こんにちは nakamura です。最近トルシエさんテレビ出すぎじゃありません?ウィイレヤロウヨ。オフサイドダヨ! さてさて今回は意外と知られてないけど、サイトをインターネットに公開する際には知っておいた方が良い Apache の設定をいくつかご紹介します(一部 PHP の設定もありますが)。この設定をしていないからといって即危険にさらされるという訳でもありませんが、リスクの芽は摘んでおくに越した事はありませんよね。 無駄な HTTP ヘッダを返さない ディストリビューションにより異なるかもしれませんが、CentOS デフォルトの設定の場合 Apache が返してくる HTTP ヘッダは以下のようなものです。 HTTP/1.1 200 OK Date: Mon, 05 Jul 2010 01:01:14 GMT Server: Apache/2.2.3 (CentOS) X-Powered
緊急!WordPress に乗っ取られる恐れのある脆弱性が発見されました | バシャログ。
涼しくなったり暑くなったりで忙しい日が続きますね。kimoto です。 さて、沢山のユーザが利用してるであろう WordPress 。 その WordPress の 2.8.3 以下のバージョンでかなり危険な脆弱性が発見されたとのことです。 各地で最新バージョンへのアップデートが呼びかけられています。 利用している方は、なにはともあれバージョンアップを推奨されています。 この脆弱性を突かれると、ブログ自体が乗っ取られ、そうなってしまうと WordPress 自体を一旦削除したりしなければならなくなるとの事で、かなり怖いですね。 WordPress 2.8.4未満にかなりやばめのセキュリティーホールがあるらしいので要アップグレード - F.Ko-Jiの「一秒後は未来」 警告! WordPress旧版は簡単に乗っ取られる―即刻アップデートを | TechCrunch 以上のエントリなどによると
【スクリプトインジェクション対策02】セッションIDを頻繁に変更する | gihyo.jp
スクリプトインジェクションや盗聴によりセッションIDを盗んで利用するまでにはある程度時間が必要です。セッションIDの有効期限が短ければ、セッションIDが悪用される前に有効期限が切れて悪用できない可能性が高くなります。 しかし、セッションIDの有効期限が短すぎると、フォームの入力中に有効期限が切れてしまう等の問題が発生します。一般的なWebサイトであれば30から60分前後で有効期限が切れるようにするとよいでしょう。 例:セッションを60分で無効化 // $_SESSION['last_update']は初期化済み if ($_SESSION['last_update'] PHPの場合、「セッションIDの有効期限切れ=ユーザセッションの無効化」をしなくてもセッションIDを変更できるsession_regenerate_id関数が用意されています。 session_regenerate_id関
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
