タグ

関連タグで絞り込む (1)

タグの絞り込みを解除

S3とsecurityに関するkmiya_bbmのブックマーク (2)

  • S3経由でXSS!?不可思議なContent-Typeの値を利用する攻撃手法の新観点 - Flatt Security Blog

    はじめに セキュリティエンジニアの齋藤ことazaraです。今回は、不可思議なContent-Typeの値と、クラウド時代でのセキュリティリスクについてお話しします。 ブログは、2024 年 3 月 30 日に開催された BSides Tokyo で登壇した際の発表について、まとめたものです。 また、ブログ資料化にあたり、Content-Type の動作や仕様にフォーカスした形で再編を行い、登壇時に口頭で補足した内容の追記、必要に応じた補足を行なっています。 また、ブログで解説をする BSides Tokyoでの発表のもう一つの題である、オブジェクトストレージについては、以下のブログから確認をすることが可能ですので、ご覧ください。 blog.flatt.tech なぜ今、この問題を取り上げるのか? 従来のファイルアップロードにおいて、Content-Type の値を任意の値に設定すること

    S3経由でXSS!?不可思議なContent-Typeの値を利用する攻撃手法の新観点 - Flatt Security Blog
  • 新しい Amazon S3 暗号化 & セキュリティ機能 | Amazon Web Services

    Amazon Web Services ブログ 新しい Amazon S3 暗号化 & セキュリティ機能 S3 を発表した 2006 年に、私は「さらに、各ブロックは ACL (アクセスコントロールリスト) によって保護されているため、開発者はデータを非公開にしたり、共有したり、読み書きしたりすることができます。」と書きました。 最初のモデルから、プライベートバケットと ACL を使用してアクセスを許可することで、バケットポリシー、サーバーアクセスロギング、バージョニング、API ロギング、クロスリージョンレプリケーション、複数のクライアント側およびサーバー側の暗号化オプションのサポートが追加されました。これらはすべて、データを安全に保つために必要なツールを提供し、必要に応じてお客様やパートナーと共有できるようにすることを目的としています。私たちはまた、大規模なコンテンツの検索、分類、保護

    新しい Amazon S3 暗号化 & セキュリティ機能 | Amazon Web Services
    kmiya_bbm
    kmiya_bbm 2018/01/24
    S3バケットを作成するスクリプトにデフォルト暗号化を有効化する設定を追加せねば。#awsblackbelt
  • 1