『Webブラウザセキュリティ ― Webアプリケーションの安全性を支える仕組みを整理する』
ブラウザの視点で学ぶセキュリティ 米内貴志 著 224ページ A5判 ISBN:978-4-908686-10-8 2021年1月15日 第1版第1刷 発行 正誤情報 サンプルコードなど 現代のWebブラウザには、ユーザーがWebというプラットフォームを安全に利用できるように、さまざまなセキュリティ機構が組み込まれています。 リソース間に境界を設定し、アプリケーションに制限を課す機構(Origin、SOP、CORS、CSPなど) Webブラウザの動作をOSのプロセスレベルで考察することで役割が理解できる機構(CORB、CORP、Fetch Metadataなど) 通信路や受け取ったデータの状態に関するもの(HSTS、SRIなど) 現在のWebアプリケーションにとって不可欠なCookieに関するセキュリティ機構 こうしたセキュリティ機構のほとんどは、Webブラウザを開発する人やセキュリティの
スキル0から1年間でマルウェア解析を習得した学習方法 - the_art_of_nerdのブログ
みなさん、こんちにはmです。 今回は私が1年の期間でマルウェア解析のスキル0から習得するまでに取り組んだ方法をまとめました。 初めに開始時のスキルや1年間でかけたコスト、スケジュールなどを共有します。 開始時のスキルなど 表層解析、動的解析、静的解析の違いもあまり理解していない プログラミングはPythonを学び始めた程度 低レイヤーの知識なし アセンブリの知識なし Windowsアプリケーション開発の経験なし SOCアナリストとしてブルーチームの知識は多少 脆弱性診断の経験も(深くはないが)多少 エンジニア歴7、8ヶ月目くらい ざっくりですが、このようにマルウェア解析に絡んでくる知識はほぼ0でした。 学習にかけたトータルコスト 書籍:約5万円 オンライン教材:12万円 約17万円近く1年間に使いましたが、お金で直接スキルは買えないので必要経費です。 なお、オンライン教材の12万円について
ソリッドステートドライブ/メモリセルの消去 - ArchWiki
ときに、SSD のセルを完全に消去して、SSD 製造時の状態に完全に戻し、製造時の書き込み性能を取り戻したいと思うこともあるでしょう。たとえ SSD がネイティブ TRIM に対応していても、時が経つにつれて書き込み性能は下がっていくことが知られています。TRIM はあくまでファイルの削除に対する防護であり、差分保存などの操作には効果がありません。 Secure Erase を行っても、SSD セルのウェアレベリングの状態はリセットできません。寿命を迎えつつあるドライブの場合、短い間は書き込み可能になるかもしれませんが、限られた量の書き込み後は依然としてできなくなります。 警告: 消去を行う前に重要なデータをすべてバックアップしてください! この作業は SSD 上の全データを破壊し、データ復旧サービスでさえ復元不可能にしてしまいます! 作業を行った後に、デバイスを再度パーティショニングして
Kubernetes Service Account As Multi-Cloud Identity / Cloud Native Security Conference 2022 / #CNSec2022
Kubernetes Service Account As Multi-Cloud Identity / Cloud Native Security Conference 2022 / #CNSec2022
社内サービスを一括・即座・セキュアにリモートワーク開放した話 - エムスリーテックブログ
はじめまして。 エムスリーエンジニアリンググループSREチームの山本です。 先日来のリモートワーク促進の中、弊社でも多くの社員がオフィス外から接続するようになりました。 もちろん、VPNを利用すれば社内のサービスも利用できますが、VPNの使用量が一気に増えるとそちらの制限にかかります。 今回「VPNを可能な限り利用せず、なおかつセキュアに社内のサービスを利用してもらう」という課題に取り組みましたので、ここでその紹介をさせてください。 前提 方針 クライアント証明書の問題点 一括でのSSL化・証明書検証 ドメイン変換 実際の設定 Squidの設定(抜粋) unboundの設定 nginxの設定(クライアント証明書検証) nginxの設定(HTTPサーバに対するproxy) nginxの設定(個別対応) ブラウザのProxy設定 その後発生した問題 ポート問題 Hostヘッダ問題 戻りヘッダ問
コンテナ・セキュリティ入門 脆弱性 - Qiita
コンテナイメージのレジストリでは、脆弱性検査の実装が当たり前になっている。企業でKubernetesなどコンテナを使用するにあたって脆弱性対策がどれほど重要なものか理解するために、脆弱性検査や、関連する国際的な標準について整理した。 脆弱性(ぜいじゃくせい)とは 脆弱性とは、プログラムの動作の不備を悪用される情報セキュリティ上の弱点である。つまり、ソフトウェア上の問題が原因となって生じた欠陥であり、セキュリティホールとも呼ばれる。当然、ソフトウェア開発者は、脆弱性を産まないように細心の注意を払ってコード開発を進めるが、開発者が利用するオペレーティングシステムのライブラリやパッケージに含まれることもある。そのような事情から、開発者の責任範囲外に原因がある場合も多くある。 潜在的な脆弱性を突いた新たなクラッキングの手口が、時間の経過ともに発見される。そのことから、開発当初はコードに脆弱性は無い
AWS Best Practices for DDoS Resiliencyをナナメ読みして学ぶDDoS対策 - Qiita
この記事は武蔵野アドベントカレンダー25日目の記事です。 皆様、DDoS対策は十分でしょうか? 2018年もDDoS攻撃の多い年でした。この記事は、公開されているDDoS対策のAWSベストプラクティスをザックリ読んでみようというものです。 この記事で言いたいこと AWSの公開しているベストプラクティスは情報量がすごい DDoS攻撃にはインフラストラクチャー攻撃とアプリケーションレイヤー攻撃に分けられて、それぞれターゲットが異なるし防御の仕方が違います──というのが一般論なんだけど、AWSにおいてはどっちにも有効なサービスが多い ELB、CloudFront、AWS WAFとそれらへのセキュリティグループ、NACLsの設定を適切にやるとDDoS対策として強い。さらに頑張る場合はAWS Shield Advancedをサブスクライブか AWSのサービスは数年で結構変わるので、変化を追いかけてい
[レポート]AWS によるセキュリティ・オートメーションの実践 #AWSSummit | DevelopersIO
今日は2018/05/30より3日間に渡って東京で開催されている「AWS Summit Tokyo 2018」からセッションをレポートします。 このレポートはTech中級 「AWS によるセキュリティ・オートメーションの実践」です。スピーカーはアマゾンウェブサービスジャパン株式会社 ソリューションアーキテクトの桐山 隼人氏です。 レポート セッションのポイント クラウド時代に必要なオートメーション セキュリティオートメーションのパターン オートメーションによるセキュリティ対策のユースケース クラウド時代に必要なオートメーション 従来のセキュリティ業務 従来はセキュリティポリシーやルールへの準拠が主眼で、スプレッドシート、ポリシー文書、チェックリストなどを使う。 大きな労力が必要な作業がオートメーションによって、削減できる。 自動化しなければならない重要な理由 拡張性(セキュリティの自動追従
![[レポート]AWS によるセキュリティ・オートメーションの実践 #AWSSummit | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/03c1e1204c7553dee92c22b93f054a1aeb2cedf2/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2018%2F04%2F400x400.png)
【サイバーエージェント様ご登壇事例】【レポート】「これ危ない設定じゃないでしょうか」とヒアリングするための仕組み #AWSSummit | DevelopersIO
AWS Summit Tokyo 2018。Day2 で開催された『【サイバーエージェント様ご登壇事例】「これ危ない設定じゃないでしょうか」とヒアリングするための仕組み』についてレポートします。 スピーカー 柿島 大貴さん 株式会社サイバーエージェント 技術本部 ソリューショングループ エンジニア 東 和宏さん 株式会社サイバーエージェント 技術本部 ソリューショングループ エンジニア セッション概要 株式会社サイバーエージェントのメディア事業でクラウドの管理者として働く 2 人の日々の悩みや試行錯誤の様子を共有させていただきます。ベストプラクティスや驚くような技術とは言えないかもしれないですが、組織でのクラウド利用に おける開発スピードや柔軟性と安全のバランスを目指している 1 つの事例として紹介をさせていただきます。 スライド (聴講後、スライドが公開されていました) [slidesh
JAWS DAYS 2018 に登壇しました | はったりエンジニアの備忘録
3/10 (土) に開催された JAWS DAYS 2018 に登壇させていただきました。「AWS のマネージドサービスを使ったセキュリティ強化のための自動化」というテーマで、freee で取り組んでいる実例をご紹介しました。 Fintech / HRtech の SaaS プロダクトを少人数の SRE で支えるために行なっているセキュリティ強化のための自動化をご紹介します。具体的には AWS WAF や GuardDuty を活用して、攻撃の検知や防御、異変に気付くための工夫を詳しく取り上げます。 同じ時間帯に AWS の荒木さんのセッションがあったのであまり集まらないかなと思っていたら、満員御礼で立ち見が出るほどの大盛況ぶりでした。セキュリティへの関心の高さを感じるとともに、身の引き締まる思いで出番を待っていました。 JAWS DAYS 2018 の発表が無事に終わってホッとしてます。
ハードディスク消去ツール「wipe-out」
Network Users' Group ``wheel'' / Dai ISHIJIMA's Page / ハードディスク消去ツール / ダウンロード / Q&A (最終更新: 2023-09-10) ご利用マニュアル / マニュアル本 2004年版 / 2011年版 / 2016年版 #はじめに | #こんなことできます | #カンタン操作 | #ダウンロード | #おことわり | #関連リンク 初版: 2002-03-13 改訂その2: 2004-06-23 最終更新日: 2021-08-08 ChatGPTによる紹介 | Q&A | バグ情報 | ダウンロード | New! ★名前入れサービス★ CD-ROMやUSBメモリ、ネットワークやフロッピーからブートすれば、 カンタン操作できれいにデータを消去。 ハードディスク消去ツール「wipe-out」 − 超消わいぷたん →ダウンロー
【レポート】AWS Transformation Day 2017 : AWSクラウドにおけるデータ保護:GDPR対応とC5の概要 #AWSTransformationDay | DevelopersIO
ドイツ・ケルンで開催された AWS Transformation Day 2017 での GDPR・C5・データ保護に関するセッションのレポートを紹介します。 ヨーロッパにおけるデータ保護規則に関して、 AWS でシステム構築する上で、 GDPR(EU圏) C5(ドイツ) それぞれの観点から準拠する上でのプラクティスがまとめられています。 発表概要 タイトル : Data Protection in the AWS Cloud: Implementing GDPR and Overview of C5 | AWS Transformation Day スピーカー Gerald Boyne Christian Hesse 動画 スライド http://aws-de-media.s3.amazonaws.com/images/TransformationDay/TDay_Slides/Data
[Report] #GDPR Meetup: How to get GDPR ready #AWS #DataProtection | DevelopersIO
[Report] #GDPR Meetup: How to get GDPR ready #AWS #DataProtection Guten Tag! This is Mai Ito from Classmethod (Europe) GmbH. The other night I joined a meetup event here in Berlin regarding the much anticipated GDPR (General Data Protection Regulation). The meetup was hosted by AllCloud, an AWS Premier Consulting Partner. As you may already know, the GDPR is a concerted effort made by the European
![[Report] #GDPR Meetup: How to get GDPR ready #AWS #DataProtection | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/4d21247fedf9ecd4d3f53ddf97f93903e5e92972/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2018%2F02%2Feurope-2021308_960_720.jpg)
セキュリティの話題に丸腰で踏み込んでくる人を見た - hnwの日記
Qiita上で「ゲームでよくされるチート手法とその対策 〜アプリケーションハッキング編〜」という記事がいいね数を集めているようですが、全セクションにツッコミどころがあるような印象です。私はセキュリティ本職というわけではありませんが、素人の私から見てもひどいと思ったところだけ個別にツッコミを入れてみます。 念のため補足しておくと、誰であろうと情報発信すること自体は大変良いことです。ただ、誤りを含んだ文章がウッカリ注目されてしまうとそれを信じてしまう人も出てくるので、大人げないと思いつつツッコミを入れる次第です。 デコンパイル(逆コンパイル) 2.の詳しい解説として、C/C++で記述されたコードをコンパイルすると機械語に変換されます。これを逆コンパイルしても、逆アセンブラまでにしかなりません。そのため、この状態ではソースコードの中身を解析するのは(人間では)非常に困難なため、ネイティブコードで
これが Cloud Native な セキュリティログ分析だ (仮)
Cookpad techconf 2018のLTで講演した資料です
OWASP ZAP | OWASP Foundation
The OWASP® Foundation works to improve the security of software through its community-led open source software projects, hundreds of chapters worldwide, tens of thousands of members, and by hosting local and global conferences. Project Information Flagship Project Classification Tool Audience Breaker Builder Downloads Download OWASP ZAP! Questionnaire Please help us to make ZAP even better for you
How to Set Up Continuous Golden AMI Vulnerability Assessments with Amazon Inspector | Amazon Web Services
AWS Security Blog How to Set Up Continuous Golden AMI Vulnerability Assessments with Amazon Inspector As companies mature in their cloud journey, they implement layered security capabilities and practices in their cloud architectures. One such practice is to continually assess golden Amazon Machine Images (AMIs) for security vulnerabilities. AMIs provide the information required to launch an Amazo
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
https://www.nisc.go.jp/pdf/council/cs/dai06/06sankou02.pdf
AWS固有のセキュリティリスクと対策 - Speaker Deck
AWS WAFV2