CookieのDomain属性は *指定しない* が一番安全たまに誤解があるようですが、Cookieを設定する場合のDomain属性は *設定しない* のがもっとも安全です。以下、例示により説明します。 # このエントリは、はてなダイアリーの過去のエントリからの転載です
ApacheのSSLCipherSuiteにRC4を設定すべきではない - Qiita
Apacheに限らないが、暗号化方式としてRC4暗号が最優先に設定されていることがままある。 これは必ずしもいいとは言えない・・・ので、その理由をまとめてみた。 そもそもRC4がよく設定されているのには理由がある。 過去BEASTという攻撃方法が発見されCBC暗号(Cipher Block Chaining:一定の長さごとに暗号化を行う方式)は全部危ない!?という感じになった。そこで登場したのがストリーム暗号の代表格RC4であり、これに設定すればOK、という流れが今にも至っているのだ。 BEAST攻撃について ただ当時とは状況が変わり、RC4を設定するのが最適とは言えなくなってきた。 理由1 RC4は非推奨となった まず有権者に訴えたいのは、現在RC4は脆弱性が発見され、「電子政府における調達のために参照すべき暗号のリスト(CRYPTREC暗号リスト)」にて推奨されない運用監視暗号の対象に
SSLCipherSuite
Apache の mod_ssl 関連の設定で SSLCipherSuite ってのがあります。 ググりました。 akr流(2006-02-04)が最初にひっかかって 知りたいこと大体書いてあるっていう素敵 blog でした。 でも良い子は mod_ssl - Apache HTTP Server も見ないといけませんね。 暗号の基礎の勉強なら新版暗号技術入門がとっても分かり易いんですが 運用となると Apacheハンドブックとか OpenSSL とか読んで勉強すべきでしょうか...。 これは SSL/TLS 張るときに使う暗号関係のアルゴリズムのリストを指定しまして、 openssl の ciphers ってコマンドで見れます。 デフォルトだと $ openssl ciphers -v | sort AES128-SHA SSLv3 Kx=RSA Au=RSA Enc=AES(128)
セキュリティホール memo
復刊リクエスト受付中: ジェイムズ.F.ダニガン「 新・戦争のテクノロジー」(現在58票) 中山信弘「ソフトウェアの法的保護」 (現在112票) (オンデマンド購入可) 陸井三郎訳・編「ベトナム帰還兵の証言」 (現在109票) 林克明「カフカスの小さな国 チェチェン独立運動始末」 (現在175票) 田中徳祐「我ら降伏せず−サイパン玉砕戦の狂気と真実」 (復刊決定) RSS に対応してみました。 小ネタは含まれていません。「政治ねたウゼェ」という人は RSS ベースで読むと幸せになれるでしょう (ウザくない人は こっちの RSS がよいかもしれません)。 RSS 1.0 ですので、あくまで RDF Site Summary です。 現在は Really Simple Syndication には対応していません。 今すぐ Really Simple Syndication がほしい人は、のい
不正アクセス検知システム導入(Snort+BASE+Oinkmaster) - Fedoraで自宅サーバー構築
クラッカーによるLinuxサーバーへの不正アクセスを検知するシステム(IDS=Intrusion Detection System)を導入する。 ここでは、不正アクセス検知システムにネットワーク型IDSのSnortを導入する。 また、Snortが抽出した不正アクセスログをWebブラウザ上で確認できるようにするためにBASEも導入する。 なお、Snortが不正アクセスの判断をするために参照するルールファイルの最新化は、Oinkmasterを導入して自動化する。 ※Apache、MySQLインストール済であること [root@fedora ~]# yum -y install libpcap-devel ← snortのRPM作成に必要なパッケージインストール [root@fedora ~]# wget http://dl.snort.org/snort-current/snort-2.8.4
サードパーティCookieの歴史と現状 Part1 前提知識の共有 - 最速転職研究会
Web開発者のためのサードパーティCookieやらトラッキングやらの問題点について三回ぐらいに分けて書きます。 この文章は個人的に書いていますので、おい、お前のところのサービスがサードパーティCookieに依存してるじゃねーかというツッコミがあるかもしれないが、そういうことを気にしているといつまで経っても公開できないという問題が出てしまうので、そんなことはお構いなしに書く。ちなみに例外なく自社サービスに対してもサードパーティCookieに依存するな死ねと言っている。これはWebプログラマー観点で、自分がサービス開発に関わる上で知っておかねばならないだろう知識として十数年間だらだらとWebを見ていて自然に知っていたものと、あるいは興味を持って率先して調べたものが含まれている。ググッて直ぐに分かる程度の用語の定義的なことは書かない。あくまでWebサイト制作者側からの観点なので、ブラウザ開発関係
iPhoneで撮影した写真の危険性と対策のまとめ | MY IPHONE . JP
こんにちは、kimsonです。 なにげなく撮影した写真から個人情報が流出してしまう可能性があるということをご存じですか? iPhoneで撮影した写真にはジオタグというものが自動で付加かれてます。(位置情報サービスをオンにしている場合。) ジオタグには撮影場所の緯度経度が記録されていて、写真をそのままブログなどに上げてしまうと簡単に位置がばれてしまいます。 解析するツールは結構あってまずJpegAnalyzer Plusこのツール このツールでiPhoneで撮影したおいしそうなステーキの写真を読み込むと・・・ jpeganalyzer 赤線で囲まれた部分に緯度経度の情報が書かれています。(画像をクリックすると大きい画像が見れて見やすいです。) 次のツールはfirefoxのExif Viewerというアドオンです。 このアドオンは機能が充実していて読み込んだ写真のジオタグから地図を
@IT:Security Tips > スパム中継防止のため、第三者中継をチェックする
メールの第三者中継(Third-Party Mail Relay)をチェックするには、relay-test.mail-abuse.orgのサービスを使うのが手軽でよい。第三者中継とは、多くのスパムメールが行っている方法で、メール送信者がその本人とは無関係の第三者のメールサーバを不正に中継し、身元を偽ってメールを送信することをいう。 また、中継に使われたメールサーバでは、正規の利用者のメール配信の遅延やスパムメールの配信先からのクレームなどの被害を被ることになる。そのために管理者は第三者中継が行われていないかをチェックする必要がある。 relay-test.mail-abuse.orgの使い方は簡単で、外部からSMTPコネクションを受け付けるサーバ(メールサーバ)からrelay-test.mail-abuse.orgに対してtelnet接続をすればよい。後は、自動的に19項目の試験を実施して
PHP と Web アプリケーションのセキュリティについてのメモ
このページについての説明・注意など PHP は、Apache モジュールや、CGI、コマンドラインとして使用できるスクリプト言語です。このページでは、主に PHP における、Web アプリケーションのセキュリティ問題についてまとめています。 Web アプリケーションのセキュリティ問題としては、以下の問題についてよく取り挙げられていると思いますが、これらのセキュリティ問題について調べたことや、これら以外でも、PHP に関連しているセキュリティ問題について知っていることについてメモしておきます。 クロスサイトスクリプティング SQL インジェクション パス・トラバーサル(ディレクトリ・トラバーサル) セッションハイジャック コマンドインジェクション また、PHP マニュアル : セキュリティや、PHP Security Guide (PHP Security Consortium) には、PH
ハッカーの金鉱脈「SQLインジェクション」の正体
最近,「SQLインジェクション」の危険性について語られる機会が増えているが,SQLインジェクションの正体,その問題点,そしてそれを防ぐための方策について詳しく理解している人はまだ多くない。ここでは,SQLインジェクションとは何かを明確に定義し,どのようにして行われるかを説明し,SQLインジェクションから組織を守る方法を読者に伝えることによって,この状況を改善したい。 SQLインジェクションとは何か SQLインジェクションとは,アプリケーションに含まれるコーディング・エラーが原因となって引き起こされるぜい弱性,または欠陥である。SQLインジェクションは,ユーザーが入力したデータを使ってアプリケーションがSQLステートメントを作成し,それをSQL Serverに送信して実行する場合に発生する。この欠陥が及ぼす影響は,コーディング・エラーの性質によって様々である。 具体的に言うと,その影響は,エ
PHPで安全なセッション管理を実現する方法
_ 残り容量が数十Mバイトになっていた PCがなんかくそ遅いなーと思ってふと空きディスク容量をみたら、残り数十Mバイトまで減っていた。Folder Size for Windowsで各ディレクトリ単位のディスク使用量をながめてみたところ、 Thunderbirdでimapでアクセスしているアカウントのデータフォルダに、なぜか1GバイトオーバーのINBOXファイルがあった。なにこれ? 削除したけど別に動作には支障はなし。 puttyのlogが無限に追記されたよ……。数Gバイト。 昔ダウンロードしたCD/DVD-ROMのisoイメージファイルが、そこかしこに消されず残ってたよ。10Gバイトオーバー。 あと、細かいテンポラリディレクトリの中身とか消したら、30Gバイトくらい空いた。そこまでやって久しぶりにデフラグを起動したら、表示が真っ赤(ほとんど全部断片化されている)だったので、最適化実行中。
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
studyinghttp.net - このウェブサイトは販売用です! - 解説 仕様書 利用 技術 である 手法 日本語訳 プログラミング リソースおよび情報
安全なWebサイト設計の注意点