図解 X.509 証明書 - Qiita
はじめに X.509 証明書について解説します。(English version is here → "Illustrated X.509 Certificate") ※ この記事は 2020 年 7 月 1 日にオンラインで開催された Authlete 社主催の『OAuth/OIDC 勉強会【クライアント認証編】』の一部を文書化したものです。勉強会の動画は公開しており、X.509 証明書については『#4 X.509 証明書(1)』と『#5 X.509 証明書(2)』で解説しているので、動画解説のほうがお好みであればそちらをご参照ください。 1. デジタル署名(前提知識) この記事を読んでいただくにあたり、デジタル署名に関する知識が必要となります。つまり、「秘密鍵を用いて生成された署名を公開鍵で検証することにより」、「対象データが改竄されていないこと」や「秘密鍵の保持者が確かに署名したこと
WebAuthnでパスワードレスなサイトを作る。安全なオンライン認証を導入するFIDOの基本 - エンジニアHub|Webエンジニアのキャリアを考える!
WebAuthnでパスワードレスなサイトを作る。安全なオンライン認証を導入するFIDOの基本 FIDO(Fast IDentity Online)とは、公開鍵認証方式を応用し、オンライン経由で認証を行う仕組みです。パスワード認証の安全性は限界が指摘されるなか、Webサイトにおいても生体認証などパスワードレスな仕組みを導入する企業が増えており、このFIDOやWebAuthnに注目が集まっています。Capy株式会社で情報セキュリティに関する研究開発や分析などに携わる、松本悦宜さんの解説です。 こんにちは、松本悦宜(@ym405nm)です。 FIDO(ふぁいど)に関しては、昨年(2018年)から多くのメディアや技術ブログで取り上げられ、導入するWebサイトも増えています。 FIDO2プロジェクトにおいて話題になったWebAuthn(Web Authentication API)についても、主なW
WordPress初心者向け セキュリティ強度をできる限り上げる方法|More Access! More Fun
【緊急】WordPressでスマホ用WPtouch使ってる初心者は注意です というエントリー書きましたら、「どういうことに気をつけたらもっとセキュリティが上がるのでしょう」というお問い合わせを何人もの方からいただきました。わたくし、エンジニアではないのですが、わかる限りで対策を書かせていただきます。セキュリティ対策はユーザーID変えたから大丈夫、みたいなように考えると逆に危険。WordPressの場合、ユーザーIDはその気になればいろいろなところに出てくるので、機械的にアタックしてくる場合は別として、じっくりソースとか読まれてきたら同じです。 まず、WordPress搭載のサイトに対する執拗な攻撃は、一般的にはブルートフォースアタックと呼ばれております。 ブルートフォースとは、アタッカーがユーザー名とパスワードの組み合わせをランダムに入力し、ログインできるまでこれを繰り返すという攻撃手法。
はてブのTwitter連携で他人の発言を取り込める件 - hogehoge @teramako
twitterアカウントが公開されていることが前提だけど、twitter連携のところで他人のtwitterアカウント名を入れておくと、その人が発言したURLを自分のブックマークに取り込めてしまうではないかと考えた。 teramako はてブのtwitter連携ってもしかして他人のIDをいれて自分のブクマに自動インポートができる? shokodei @teramako それはできないと思います。他人のRSS feedとかを、twitterfeedでtwitterに突っ込んで、そこからはてブって経路なら可能かな。 taramako @shokodei はてブのtwitter連携って設定したユーザの発言を拾ってB! URL があったらブクマに追加って結構単純な仕組みかなと思ったのですが、違うんですかね。。。 shokodei @teramako 認証できるTwitteerのつぶやきから、URLの
Facebook、「Facebook Connect」の正式提供を開始
ソーシャルネットワーク大手のFacebookは米国時間12月4日、Facebookのプロフィールデータや認証情報を外部のウェブサイトでも利用できるようにするサービス「Facebook Connect」の正式提供を開始したと発表した。 同社はFacebook Connectの機能をセルフサービスで利用できるとしており、少しでもコミュニティー機能のあるサイトを開設しているユーザーなら誰でも、Facebookのソーシャルネットワークと関連づけることが可能になる。 以前の記事にも記したように、このサービスを否定するのは難しい。既存のFacebook認証情報でユーザーが「登録」できる機能をサイトに追加することで、コミュニティーの関わりが強化されるだけでなく、これらのサイトでユーザーが行うことがアクティビティ情報としてFacebookにも反映されるからだ。これは無料のマーケティングといえる。 Face
(クイズ)MAC認証で、意外に忘れがちなことって何?(解答編): はじめての802.1x認証
802.1x認証に関わって、1年。 雑誌では、まともな情報が得られず、 試行錯誤、四苦八苦してようやく、 一仕事終わりました。 これから802.1xに取り組む方に参考になるような 書籍・雑誌・情報をブログに書きたいと思います。 MAC認証は、 MACアドレスをユーザーアカウントとして 使用する。 Ciscoでも アライドテレシスでも、 某中国製スイッチでも、 同じです。 つまり、 Windowsドメインにおいて、 MACアドレスを使ったMAC認証を 導入することは、 MACアドレスユーザーアカウントを 作らねばならない ということです。 これは、例のクライアントライセンスが 関係してきます。 CALのことです。 つまり1つ作成するたびに 1クライアントライセンス必要 と、いうことです。 案外、見逃されていますので、 気をつけましょう。 後から、「えっ!」ってありがちなので。 ■去年の今頃、
携帯端末の個体識別情報(uid)取得方法
携帯サイトでユーザー認証をする方法はいくつかあります。 一番簡単なのは、ユーザ名とパスワードを使う方法です。 しかし、毎回入力するのはユーザにとっては面倒ですよね。 PCサイトならばクッキーを使ってこれらの情報を保存しておけるので 毎回入力する必要はありません。 しかし携帯サイトではクッキーが使えない(一部機種によって可能らしい)ので 別の手法を取ることを考えなくてはいけません。 そこで出てくるのが、携帯端末の個体識別情報(uid)を使うというやり方です。 携帯電話は電話番号と同じように、その端末を識別するIDのようなものを持っています。 これを利用すれば、アクセスしてきたのがどのユーザなのかを判別することが可能になるというわけです。 キャリアによって取得方法や制限などがあるので、以下に紹介します。 なお、個体識別情報はキャリアによって様々な言い方があるようですが ここでは便宜上「端末ID
第1回 限界迎えるRADIUSプロトコル:ITpro
パケットに含められる情報量に制限があるなど,現在主流の認証プロトコルRADIUSは限界を迎え始めています。そこで,RADIUSの欠点を補いつつRADIUSの良さを残したプロトコルとして生まれたのが「Diameter」です。 パソコンを使っているといろいろな場所でユーザー名とパスワードによる認証を求められます。例えば,会員制のサイトにアクセスするとき,VPNクライアント・ソフトを使ってリモート・アクセスをするとき,家庭のブロードバンド・ルーターをインターネット接続事業者(ISP)の網につなぐときなどです。こうした認証の背後でほとんどといっていいほど稼働しているのがRADIUS(Remote Authentication Dial In User Service)という仕組みです。認証のほか,使用してよいサービスを知らせる機能,利用時間のロギングの機能などを持ちます。 ところが,RADIUSに
IIJ、送信ドメイン認証機能を実装したメールフィルタプログラムをOSSで公開 | OSDN Magazine
インターネットイニシアティブ(IIJ)は2008年08月28日、メールシステムに送信ドメイン認証技術「SPF/Sender ID」を実装したメールフィルタプログラムを独自開発、オープンソースソフトウェアとして無償公開した。ライセンスはBSD。送信元を詐称した迷惑メールへの対策として、企業やISPへの導入を促進する。 公開したのは、SPF/Sender ID認証用ライブラリと、このライブラリを利用したSendmail/Postfix用のメールフィルタプログラムの2点。ともにメール受信側に導入する。同社が2006年から商用サービス向けに適用しているメールフィルタ機能がベースで、厳しい商用サービス環境下でも安定稼働する品質という。 今後は、電子署名ベースの送信ドメイン認証技術「DKIM」に対応したメールフィルタプログラムの公開など、企業やISPの要求仕様にあった機能を随時強化していく予定。 送信
@IT:Apacheでユーザー認証を行うには(Digest認証編)
Apacheのユーザー認証には、「Basic認証」と「Digest認証」がある。Basic認証は一般的に行われている方法だが、パスワードが暗号化されないため、機密性の高いデータへの認証には適していない。Digest認証はパスワードが暗号化されるが、これに対応しているのは比較的最近のWebブラウザに限られる。 ここではDigest認証を利用して、特定ディレクトリのWebページを開く際に「secret」というユーザー名でアクセスできるようにする(編注)。Basic認証を使う方法については、Apacheでユーザー認証を行うには(Basic認証編)を参照。
Webブラウザにパスワード入力機能,産総研がFirefoxとApacheモジュールを公開
産業技術総合研究所(産総研)とヤフーは2008年4月22日,パスワードを用いてWebブラウザ/サーバー間の相互認証を実現する認証プロトコル「HTTP Mutualアクセス認証」の実装をオープンソースとして公開した。同プロトコルを使うと,HTMLフォームではなくブラウザに設けた専用の入力域を用いてパスワードを暗号送信するため,フィッシング詐欺対策となる。サーバー側にはApacheのモジュール「mod_auth_mutual」として実装し,クライアント側としてFirefoxの機能を拡張したブラウザ「MutualTestFox」を開発した。 HTTP Mutualアクセス認証は,パスワードを用いてクライアントとサーバーが相互に相手を認証するプロトコルである。産総研とヤフーが2007年3月に発表した。同プロトコルの特徴は,ブラウザ上に設けた専用の入力域にパスワードを入力すると,暗号化処理を施した後
認証VLANで不正PCを拒否するしくみ
本特集では、ネットワーク構築の基本となるVLANのしくみと活用方法を解説している。「VLANの基本的な仕組みを攻略する」VLANの目的と基本的な知識を再確認し、「VoIPを効率よく運用させるVLANのしくみ」ではVLANによるVoIPの分離とセキュリティを説明した。最終回となる今回は、VLANを活用したセキュリティ確保のしくみをベンダの実装例を見ながら紹介したい。 スイッチのポートVLANと認証VLAN実装例 VLANをどのように構成するかはスイッチの機種ごとにまちまちだが、おおよそ スイッチ内部にVLAN(ネットワークアドレス)を設定する 設定したVLANとポートを関連付ける という作業を、コンソールポートなどを介してコマンドライン・インターフェイスで設定していくという方法が多いようだ。VLANは、基本的にはあらかじめ適切に設定した情報をスイッチに転送することで利用可能となるもので、動的
窓の杜 - 【NEWS】FeliCaやUSBメモリでWindowsのログオンを自動化「PeopleLogOnFeliCa対応版」
“FeliCa”やUSBメモリを使ってWindowsのログオンを自動化できるソフト「PeopleLogOnFeliCa対応版」β2が公開された。Windows 2000/XPに対応するフリーソフトで、現在作者のホームページからダウンロードできる。 「PeopleLogOnFeliCa対応版」は、USBメモリや“Suica”“ICOCA”“おサイフケータイ”といった“FeliCa”対応の非接触型ICカードなどを使ってWindowsのログオン認証を自動化できるソフト。USBメモリならPCのUSBポートに差し込むだけ、非接触型ICカードならPCに接続した専用リーダーにかざすだけで、ユーザー名とパスワードを入力できる。 設定は簡単で、ログオンするために使う非接触型ICカードやUSBメモリを本ソフトに認識させ、ユーザー名とパスワードを入力するだけ。次回のWindows起動時からはWindowsのログ
svn 第3章 サーバのセットアップ(Windows ドメインでの認証)
TortoiseSVN (または、その他の Subversion クライアント)を使用する場合、リポジトリを配置する場所が必要です。リポジトリをローカルに配置して、 file:// プロトコルでアクセスしたり、サーバー上に配置して http:// や svn:// プロトコルでアクセスしたりすることもできます。2つとも暗号化したものを使用することができます。 https:// や svn+ssh:// を使うか、SASL とともに svn:// を使用することもできます。 もし SourceForge のような公開ホスティングサービスを使っている場合や、誰かがすでにセットアップしたサーバーを使っている場合には、特にすることはありません。4章日常の使用ガイドに移動してください サーバーを持っておらず、一人で作業している場合や、 Subversion や TortoiseSVN を試験環境で評
そろそろLDAPにしてみないか?:第7回 ApacheのBasic認証をLDAPで|gihyo.jp … 技術評論社
Basic認証の危険性とLDAP化の概要 多くの読者の皆さんがご存じのように、パスワード認証を要求するWebページをApache上で作成するためには、通常は.htaccessと.htpasswdなどを用いたBasic認証を使用します。 たとえば、http://www.example.com/secret/以下にてパスワード認証を実現するには次のような設定を行うのが一般的でしょう。 リスト1 .htaccessやhttpd.confの設定(部分) AuthUserFile /home/passwd/.htpasswd AuthGroupFile /dev/null AuthName "Secret Area" AuthType Basic require valid-user リスト2 /home/passwd/.htpasswdの例 tanaka:vDVcobip.AMqE suzuki:
802.1x認証のWindows端末のログオンパケット解析のために、読んでおきたい1冊(特にSMBのところ): はじめての802.1x認証
802.1x認証に関わって、1年。 雑誌では、まともな情報が得られず、 試行錯誤、四苦八苦してようやく、 一仕事終わりました。 これから802.1xに取り組む方に参考になるような 書籍・雑誌・情報をブログに書きたいと思います。 先日から、ブログにアップしようと 思っていた本です。 「現場で使えるパケット解析テクニック」 価格:¥2,604(税込) 出版社:アスキー 個人的には、 802.1x認証とかWeb認証とかMAC認証に 関わるエンジニアは、 読むべきだと思います。 (こういうのをコマ目に読まない人は、 案件でのトラブル確立が、20%ほど 高くなると思うんですが・・) 特に、P150~とりあげられている SMBのところなんかは、 読むべきだと思います。 UNC名を使用した接続を行おうとする時に、 IPアドレスを使用すると Kerberosのエラーが出る、 その後、NTLMを使うという内
Open Fusion
Apache mod_auth_tkt Current version: mod_auth_tkt 2.1.0 Introduction mod_auth_tkt is a lightweight single-sign-on authentication module for apache, supporting versions 1.3.x, 2.0.x, and 2.2.x. It uses secure cookie-based tickets to implement a single-signon framework that works across multiple apache instances and servers. mod_auth_tkt itself is completely repository-agnostic, as the actual authen
ActiveDirectoryによるWEBSSO+MSIパッケージの一般ユーザインストールについて
_ Flash Playerのバージョンをレジストリの値から取得 下記レジストリキーに保存されている。 HKEY_LOCAL_MACHINE\SOFTWARE\Macromedia\FlashPlayer\CurrentVersion 実際に確認できたバージョンは下記。 8,0,24,0 9,0,24,0 9,0,28,0 9,0,47,0 但し古いバージョンのFlashでは上記レジストリキーが存在しないらしい。 確認したバージョンは下記。(上記レジストリキーが存在しないマシンで、Flash Playerのバージョンテストを行った結果) 7,0,19,0 8,0,22,0 この結果から、どうやら8,0,22,0以前は上記レジストリキーが存在しないらしい。 _ 制限ユーザでインストール可能な最新のFlash Playerインストールファイル(MSI)を作る方法 通常、制限ユーザ(User
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
S25R雑情報: SPFへの対案
mod_auth_sspi