Webサービス公開前のチェックリスト
個人的に「Webサービスの公開前チェックリスト」を作っていたのですが、けっこう育ってきたので公開します。このリストは、過去に自分がミスしたときや、情報収集する中で「明日は我が身…」と思ったときなどに個人的にメモしてきたものをまとめた内容になります。 セキュリティ 認証に関わるCookieの属性 HttpOnly属性が設定されていること XSSの緩和策 SameSite属性がLaxもしくはStrictになっていること 主にCSRF対策のため。Laxの場合、GETリクエストで更新処理を行っているエンドポイントがないか合わせて確認 Secure属性が設定されていること HTTPS通信でのみCookieが送られるように Domain属性が適切に設定されていること サブドメインにもCookieが送られる設定の場合、他のサブドメインのサイトに脆弱性があるとそこからインシデントに繋がるリスクを理解してお
パスワードはおしまい! 認証はパスキーでやろう
はじめに パスワードは古来より認証に良く使われる方法ですが、その運用の難しさからセキュリティの懸念とその対策としての運用の複雑さ(複雑で長い文字列、90日でパスワード変更など)が要求される大きく問題をもった仕組みです。 その根本的な解決策としてFIDO Allianceを中心に推進されている 「パスワードレス」 が注目されています。これはPINや生体認証とデバイス認証を使ったMFAからなっており、フィッシングやパスワード流出に強い上に、ユーザも複雑なパスワードを覚えなくて良い、という大きなメリットがあります。最近はこの流れでPassKeyというものが登場し、Apple/MS/Googleのプラットフォーマが対応したことで、本格運用に乗せれるフェーズになってきました。というわけで以下に解説動画を作ったのですが、動画中で時間の都合で触れきれなかったところや、JavaScriptによる実装のサン
あなたのWebサイトの脆弱性を調査してくれるサービス『Detectify』
あなたのWebサイトの脆弱性を調査してくれるサービス『Detectify』 『Detectify』はあなたのWebサイトの脆弱性を見つけてくれるサービス。 サービス側がハッカーに成り代わってあなたのWebサイトにセキュリティーホールがあるかどうかを徹底的に調べ上げてくれます。 使い方はまず調査するWebサイトを追加することから始まります。 トップページからサイトのURLを入力しアカウントを作成しましょう。 次に自分がこのサイトの管理者であることを証明するために、3つの方法の中から選んで指示通り行ないます。 ダウンロードしたテキストファイルをサイトのルートに置く トップページのヘッダにメタタグを挿入する 各CMS用のプラグインをインストールする それが済んだら『Verify...』をクリックし確認が取れると、アカウントの確認コードがメールで送信されるので、そこに記載されているコードをペースト
オンライン無料ウイルス・マルウェア動作挙動解析サイト 【サンドボックス】
ブラウザからアップロードしたWindows用実行ファイル(*.exe)をサンドボックス(仮想マシン)上などで実際に起動させて、どのような挙動を行なったか解析結果を提供してくれる無料サービスです。すべて海外の英語サイトです。オンラインスキャン(ファイル単体)と違って、あまり一般の人が利用するものではありませんな。 (^^ Windowsのレジストリの読み書き、ファイルの入出力、ネットワークへの接続などの情報が提供され、ウイルス・マルウェアかどうかの判断材料として使えます。 Anubis [~8MB] by International Secure Systems Lab 実行ファイルのみアップロード可能。ページ上にそのまま解析結果ページのURLアドレスを表示されます。実行ファイルが読み込むDLLの情報、ウイルス対策ソフト「IKARUS」によるウイルススキャン結果、Windowsのレジストリの
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
MAP | Kaspersky Cyberthreat real-time map
