Webサーバをセキュアに保つ設定のまとめ - Qiita
はじめに Webサーバをセキュアに保つ為、個人的に行っている設定をざっくりまとめてみました。 設定内容はApache 2.4での運用を想定していますので、他のHTTPdをお使いの方は適宜読み替えてください。 各設定項目は以下のオンラインテストサイトでA+相当を取ることを目指しています。 設定ファイル生成 Mozilla SSL Configuration Generator オンラインテスト Mozilla Observatory Qualys SSL Server Test 前提条件 以下で設定する項目は特にHTTPS接続や攻撃防止に関するものになります。 HTTPdそのものに関する基本設定については別記事をご参照ください。 SSLProtocol 危殆化した古いプロトコルを有効にしている場合、古いプロトコルを標的としたダウングレード攻撃等を受ける可能性がある為、新しいプロトコルのみを有
当社初のセキュリティインシデント発生 | ロードバランスすだちくん
シンジです。もっとそれっぽい報告書みたいな感じにしてもよかったんです。事故報告書ってPDFにしてそれっぽくすると、読む気が湧き上がる種族っているじゃないですか。俺なんですけど。書くの面倒だったのでブログで勘弁。 何が起きたか 従業員が、お客さんに送るメールで、添付ファイルを間違えて送りました。端的に書けばそれだけです。 どういうことすか A社さんに送付したかった見積書のPDFファイルがありました A社さんにメールを書いてファイルを添付して送信しました A社さんから「これちがくね?」って返事が来ました 担当者は謝罪してメールを消すように連絡を入れました 担当者はシンジに「間違えたファイル送っちゃいました!」ってSlackでメンションして連絡しました まぁこんな具合です。 問題点 ひとつめ ウチの会社のWebサイトを見てもらうとインフラ構成が書いてあるのでそれでざっくり分かるのですが、そもそも
HTAを利用したワンクリックウエアの新たな手口 |
この事例に関するサポートページが公開されました。インストールした覚えのないアプリケーションのポップアップウィンドウが繰り返し表示される問題に遭遇されているユーザは、以下のサポートページをご参照ください。 「不正なポップアップウィンドウが表示される問題の解決方法」 Windows XP の場合 http://esupport.trendmicro.co.jp/pages/JP-2079453.aspx Windows Vista/Windows 7 の場合 http://esupport.trendmicro.co.jp/pages/JP-2079467.aspx 「作業を専門家に依頼する場合」 おまかせ!不正請求クリーンナップサービス http://jp.trendmicro.com/jp/support/personal/contact/remotesup/popupcleanup/ s
ユーザーの心理を突く「ツークリック詐欺」 手口と対策は?(ITmediaエンタープライズ) - Yahoo!ニュース
「“内容を確認しなかった自分が悪い”という後ろめたさを悪用する」――トレンドマイクロは7月13日、インターネット詐欺の最新動向を解説するセミナーを開催。上級セキュリティエキスパートの黒木直樹氏は、最近のインターネット詐欺で増加する「ツークリック詐欺」の特徴について、このように紹介した。 インターネット詐欺には幾つかの種類があるが、以前からアダルトサイトや出会い系サイトなどで横行しているのが「ワンクリック詐欺」。ワンクリック詐欺は、ユーザーが「入場」や「年齢確認」といったボタンをクリックしただけで、不正に金銭を要求する。IPアドレスやプロバイダ名などを表示して、ユーザー個人を特定しているかのように脅して不安に陥れるという具合だ。 しかし、IPアドレスだけでは個人を特定するのが難しく、こうした行為は電子消費者契約法などの違法行為にもあたるため、契約そのものが無効である場合が多い。ユーザーの
2009-06-14
いままで id:shimanuki 使ってたんだけど、どうもしっくり来ないので取り直してみました。 どうやら hatena は SPF宣言してないみたい・・・!! 「え?SPF?なにそれ?何のこと?」ってな方が多いとおもいます。 紫外線から守ってくれる奴ではありません。 SPFとは電子メールの送信ドメイン認証のひとつで、「このドメインからはこのIPアドレスでメール送るよ!」とDNSに書いておく方法です。yahooメールやgmailなどのSPF認証に対応した受信サーバではメールを受信すると、"Envelope From"のドメインでDNS TXTレコードを引きます。ここに送信サーバのIPが列挙してあるので、そことセッションIPを比較すれば、なりすましたメールかどうかを簡単に見分けられると言う技術です。 http://ja.wikipedia.org/wiki/Sender_Policy_Fr
MyNETS初心者ガイド :: さくら専用サーバエントリープラン
さくら専用サーバエントリープラン@MyNETS構築ガイド(上級者向け)さくら専用サーバエントリープラン@MyNETS構築ガイド(上級者向け) 注意事項 : iptablesの設定とsshのポートの変更は慎重に設定してください。 設定をミスするとサーバにアクセス出来なくなります。 CENTOS5編(エントリープラン) エントリープランの標準設定で申し込むこと viの編集が出来ること、rootでの編集作業・ホスト名はmail.box9.net・MyNETSはbox9.net ipは000.00.000.000での設定の例として記載します。 ※設定での動作保証はいたしません。 ご自身の責任において設定してください。 ホスト名を変更する [root@mail ~]# vi /etc/hosts 追加 000.00.000.000 mail.box9.net mail [root@mail
SRI ISO27001認証取得コンサルティングサービス | SRI ソフィア総合研究所株式会社
SRI ソフィア総合研究所のISMS認証取得支援サービスが早期取得を支援致します。100社以上の豊富な実績が安心確実なISMS取得を保証 当社は、ISMSの審査員資格をもったコンサルタントが早期取得!価格最優先!システム構築重視!などお客様のあらゆるご要望にお応えしております。 当社は社員2人の中小企業から1500人以上いる大手企業まで100社以上にのぼる企業様のマネジメントシステム構築をご支援させていただきました。業種、規模を問わずあらゆる企業様のニーズに対応すべく以下のサービスをご用意しております。 ISMSは、企業が保有する情報資産に対して現状どのような脅威が存在し、その脅威発生を誘引する脆弱性としてどういったものがあるか識別した上で、情報資産毎にリスクを算出し、情報資産の価値などに応じてリスクを軽減するための対策を講じ、それを実行することが主たる目的です。 PマークとISMSのいず
クリックジャッキングの本質的な解決策 - IT戦記
誰か書いてそうだけど、気にせずに投下 現実的な解決策ではなくて、本質的な解決策 クリックジャッキングはそもそも CSS の問題なので CSS の枠組みで解決すればいい。 CSS での解決策 具体的には、以下のルールをユーザースタイルシートに追加すればいい。 * { opacity: 1 !important } CSS2, CSS2.1, CSS3 では、ユーザースタイルシートの !important な宣言は他のどの宣言よりも優先されるはずなので、ちゃんと仕様を満たしているブラウザを使っていれば問題ないはず。 (IE の場合は、 opacity じゃなくて filter を。。というか、オプションで何か filter とか無効に出来た気がするけど、忘れた><) ユーザースタイルシートは、 IE, Firefox, Opera, Safari ほとんどのブラウザで使うことができる。 あと、
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Project Calico Documentation
https://techcrunch.com/wp-content/uploads/2009/12/Twitter-banned-passwords.txt