The goal of this document is to help operational teams with creating secure web applications. All Mozilla sites and deployments are expected to follow the recommendations below. Use of these recommendations by the public is strongly encouraged. The Security Assurance team maintains this document as a reference guide. Table of Contents Cheat Sheet Transport Layer Security (TLS/SSL) HTTPS HTTP Stric
最初に 今まではバックエンドの開発をガシガシやっており、ここ1年ちょっとフロントエンドの開発をおこなっていてMDNに目を通す機会が増えてます。 そこでMozillaが出しているWebセキュリティガイドラインを読んでみて、中々良かったので簡単にまとめてみようと思います。 まずチートシートというのがあって、各ガイドラインの項目のセキュリティ上のメリットや実装の難しさのレベル、取り組むべき優先度が載っています。 基本的にアプリケーションを作成する際はこのチートシートに載っている優先度や実装の難しさを考慮してセキュリティの確保をやっていくのが良さそうだなと思いました。 軽く各項目を眺めていきます。 HTTPS 最新のブラウザでシステムと通信する想定の場合はMozilla Wikiにある最新のTLS構成が良いみたいです。 レガシーブラウザとの互換性を保ちたい場合は下位互換のあるTLS構成が良いみたい
SSL/TLS SSL/TLS暗号設定ガイドライン SSL/TLS暗号設定ガイドライン(PDF) IPA(情報処理推進機構)が発行している、SSL設定のガイドラインです。(PDF) 全部重要ですが、かなり長いので 高セキュリティ型、推奨セキュリティ型での暗号スイートの詳細要求設定 を見て下さい。 SSL Server Test (by Qualys) SSL Server Test SSL導入時、最初に行ってもらいたいテストツールです。 様々な脆弱性などをチェックし、明示してくれます。 有名なチェックツールなので解説サイトなどでA+を取るための設定値などが公開されていますが、情報が古いものが多いので、要注意です。 「Do not show the results on the boards」にチェックを入れるとリストに表示されなくなります。 CryptCheck CryptCheck 暗号
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く