NginxのSSL設定メモ
次の記事でMarkDownで書きなおしてみた 理由が記載されていない設定例しか見当たらなかったのでメモしておく。2013/9時点の理解。 Apacheでも名前の読替えで全て同じ設定が可能。 ssl_protocols SSLv3 TLSv1 TLSv1.1 TLSv1.2; ssl_ciphers AESGCM:SHA384:SHA256:@STRENGTH:RC4:HIGH:!EXP:!LOW:!MD5:!aNULL:!eNULL:!KRB5:!PSK:!SRP;ssl_prefer_server_ciphers on; ssl_stapling on; add_header Strict-Transport-Security max-age=31536000; 暗号方式は ・RC4 > CBC (BEASTの方が重大と考える)なら、上記の通り。 ・CBC > RC4 (RC4の危殆化が
指紋認証の脆弱性に関するメモ
UPEK Protector Suiteなる指紋認証が、あまりにも馬鹿馬鹿しい実装だったらしいので解説しておく。 http://blog.crackpassword.com/2012/08/upek-fingerprint-readers-a-huge-security-hole/ 生体認証は ・生体データが本当に生体から得られているかチェック(例えば偽造指紋スタンプではなく生きた指かどうか) ・生体データから得られる鍵が十分な長さを持つ(他の人と一致しない) ・認証プログラム自体が保護されている(ブルートフォース対策) ことの組回せで成り立っている。 正しく実装すれば、生体データから鍵を作り、秘密データを復号することで、秘密データを安全に復元できる。 このうち生体データには、ノイズ以外にも体調・成長による変化といったゆらぎがある為、十分大きな鍵を作ることは難しい。 普及レベルに実用的な生
ループバックやLAN内ホストでの脆弱性対策について
ブロック目的などで度々編集するhostsファイルに、悪意あるIPが入ると、例えばgoogle.comを攻撃者のサーバIPに向ける、というような場合があるので、注意する必要がある、という話。 ウイルス対策ソフトのブラックリストに間違った情報が入ったら問題が起こる、というのと同じなので、信頼出来ないソフトやhostsファイルを使うな、という趣旨の話でまったくもってそのとおり。
正しいCSRF対策のまとめ2012年版
そしてその手段としては iframeとjavascriptによってGETやPOSTをユーザーのクリックなしにエミュレートするcssで偽装したiframeによって、ユーザーが意図しないクリックを行うよう誘導するscriptタグによってJSONや部分的にjavascriptとして解釈可能なページを(攻撃者のサイトのページ内に)読み込むflashなどを使ってヘッダをエミュレートしたリクエストをブラウザ経由で行うがある。 他の手法はほとんどブラウザ側のsameoriginポリシー(ほかドメインに対するjavascriptでのajax要求は禁止される)で排除されるはずである。 これら全てを回避する方法として 何らかの処理を起動するような、ユーザのクリック(=意思あるいは同意)を確認すべき全ての画面遷移とその前後で(ログインパスワード入力フォームを含む)で、ワンタイムトークンを発行・検証する。ワンタイ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
SHA-3・Keccakのスポンジ関数の利点のまとめ
