SPAでCSRF対策を検討する - Qiita
Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article? はじめに 運用しているSPA(シングルページアプリケーション)を脆弱性診断ツールにかけたところ、CSRFに対する指摘を受けました。 SPAに対するCSRF対策の知識が薄かったので、改めてSPAでのCSRFリスク評価や対策の考え方を調査・検討した時の備忘録を残しておきます。 Cookie(Session)認証の場合 (MPAで広く採用) まず前提として、広く知られているマルチページアプリケーションでのCSRF攻撃の流れをおさらいします。 Cookie(Session)認証を採用している正規ウェブサイトにログイン ブラウザのCookieに正
しずかなインターネットの技術構成
こんなWebサービスをリリースしたので、技術的な話をまとめておこうと思います。 元々このサービスは、趣味の延長線のような感じで開発を始めました。競合にあたるnoteやはてなブログなどのサービスが確固たる地位を築いているということもあり、「お金にはならないだろうけど、自分の趣味を詰め込んだものにしよう」というゆるい気持ちで開発を続けています(楽しい)。 選定の方針 趣味と言っても文章投稿サービスなので、ユーザーが少数であったとしても長期間運営しなければなりません。そのため、ユーザー数が少なければランニングコストが数千円/月以下、ユーザー数が増えたときは段階的にコストが上がるように選定を行いました。 アプリケーション フルスタックNext.jsアプリケーションをCloud Runにデプロイしています。各APIエンドポイントはNext.jsのAPI Routesで生やしています。 Next.js
Google DomainsからCloudflare registrarにドメインとメールを移管した
Google DomainsがSquarespaceに買収されるので、持っているドメインとカスタムドメインのメールアドレスをCloudflare Registrarに移管した。 Cloudflare Registrar · Cloudflare Registrar docs 基本的にはCloudflare Registrarに表示される手順でやっておけば、問題は起きなかったので、よくできてると思った。 次のような手順で順番に移管していたので、移管時のメモ。 手順 Google Domainsの移行準備 Cloudflareのname serverを使うように移行する ドメインの移管 メールの転送設定 Google Domainsの移行準備 移管する前に、Google Domainに登録しているドメインの設定を変更しておく。 それぞれONになってると移管時に問題が発生する。 DNSSECを無
Google、Chromeでサイトごとに拡張機能を無効化できる機能を開発中か
Google Chromeはその拡張機能の豊富さが魅力の一つだが、Webサイトによっては特定の拡張機能を使用している場合に正常に動作しないケースもある。そのようなWebサイトを訪問する場合は一時的に拡張機能を無効にする必要があるが、現在のところ、拡張機能の無効化はすべてのWebサイトに対して一律に適用されてしまため、不便な思いを強いられることになる。しかし将来的に、この状況が改善される可能性があると、Bleeping Computerが1月14日、「Google Chrome to let you disable or enable extensions per site」において伝えている。 Bleeping Computerによると、Googleは現在、サイトごとに拡張機能の有効/無効を簡単に切り替えられるー新機能の開発に取り組んでいるという。この開発中の新機能は、Redditユーザの
SameSite属性の付与によるCSRF脆弱性対策 - Qiita
概要 CookieにSameSite属性を付与することで、CSRF脆弱性1に対していくらかの防御ができる。 SameSite属性はStrict,Lax,Noneの3つの値を取り、設定値により効果の範囲は異なる Strictを設定することで、CSRFを防げる。ただし、Webサイトの使いやすさが損なわれる場合がある Laxを設定することで、POSTメソッドのリクエストのみを受け付ける処理でCSRFを防げる None は従来通りの動作であり、外部サイトからCookieを送信する Webサイトのセキュリティ要件により、設定すべき値が異なる SameSite属性は主要なブラウザすべてで対応されている SameSite属性の付与がCSRF脆弱性への防御とならないケース Windows 10 RS3(2017 Fall Creators Update)未満のIE 11など、SameSite属性をサポート
n8n.io 入門 : IFTTT のようなワークフローを構築しよう - kakakakakku blog
「n8n.io」を使うと GitHub / Slack / Google Sheets など多くのサービス(ドキュメントを見ると 240 以上もインテグレーションできる!)を組み合わせて自由に「ワークフロー」を構築できる.関連サービスで言えば IFTTT のような感じ!例えば IFTTT Pro に課金せずにセルフホスティングできたりする.今回は「n8n.io 入門」を目的として Mac で Docker を使って「n8n.io」を試す.現状だと Docker と npm (npx) で試せる.なお,SaaS として使える「n8n.cloud」もある(最近まで coming soon になっていた). n8n.io n8n.io 入門 : 完成形 今回は「GitHub リポジトリに対する Star⭐/ Unstar⭐をトリガーに Slack 通知とコマンド実行に条件分岐をするワークフロー」
Googleの無料サービス「Dialogflow」を使ってノーコードでチャットボットを作ってみた | Ledge.ai
サインインした状態で「いいね」を押すと、マイページの 「いいね履歴」に一覧として保存されていくので、 再度読みたくなった時や、あとでじっくり読みたいときに便利です。
ネットワーク便利ツール
Windows 疑問・トラブル即解決 | FAQ CENTER Windows 10、8、7 や Linux のFAQやトラブルシューティングを紹介しています。最新不具合及びその対処も積極的に調査しています。 [話題のトピック] Powershell でインターネットからファイルをダウンロードするサンプル wsappxとは Teams まとめを追加 Windows 10 サンドボックスで環境を汚さずソフトをテストする プロジェクト管理用語集 タスクマネージャーに表示される謎のプロセスたち Windows FAQ Windows 10 | Windows 8.1 | Windows 8 | Windows 7 | Windows Vista | Windows 2012 | Windows 2008 | Windows Server 2016 | 入門 Windows 11 Windows
高木浩光@自宅の日記 - テレフォンバンキングからのリバースブルートフォースによる暗証番号漏えいについて三井住友銀行に聞いた
■ テレフォンバンキングからのリバースブルートフォースによる暗証番号漏えいについて三井住友銀行に聞いた 先週から、「ドコモ口座不正引き出し事件」の原因として、被害の発生した銀行が4桁数字の暗証番号で認証処理していたことが取りざたされており、リバースブルートフォース攻撃の手口が暗証番号特定の手段として使われた可能性について、テレビのワイドショーでも扱われるなど、世間での認知がかつてなく高まっている。 そこで、この機会に、昔から存在していたテレフォンバンキングの危険性について、銀行側に抗議すれば今ならご理解いただけるのではないかと考えた。この問題は十数年前にも銀行側に伝えているが、サービスを止めるわけにもいかないし、電話経由での自動処理による攻撃は考えにくいと当時は考えられたのか、対処されることはなかった。2020年の今日、電話経由のサイバー攻撃は技術面で十分に容易に可能となっていると考えられ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
