Webサービス公開前に対策しておきたいセキュリティ施策まとめ|kentaro
直近で新しいWebサービスのセキュリティ周りを整備する機会があったので、その時に検討した内容をメモしておきます。 このnoteの前提重点的にみたのが認証機構の部分でしたのでそれに寄った内容になります。 また、一般的なセキュリティ対策(XSSやSQLインジェクション)などについて触れていません。そういった内容については2018年の現在でも徳丸先生の本を一読することが近道かと思います。 体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践 | 徳丸 浩 https://www.amazon.co.jp/dp/4797361190 "なぜ"セキュリティ施策をするのかセキュリティ対策は大切だということはわかっていても、"なぜ"対策をしないといけないかということにパッと答えられる人はそう多くないのではないでしょうか。 総務省が公開しているテキストには、以下のようなこと
全実行コマンドの記録(CentOS7) - Qiita
実行されたコマンドを記録するという要件に対するアプローチ 誰がいつどんなコマンドを実行したかを記録したい ISMSとかPCIDSSでよく言われるモノ 世の中的アプローチ 1.acct/lastcomm 大方のOSが持ってるアカウンティング機能 が、コマンドは分かってもコマンド引数が記録されないという問題があって使いにくい。 それ以前に記録されるコマンド名の長さに制限がある(linux16文字、solaris8文字) イマドキではないな=3 2.シェルのhistoryファイルを利用 実行コマンドがhistoryファイルに出力されるのを利用 以下問題点 ユーザが書き換え権限を持つので、ログの改変が可能 * historyファイルのファイル名と保存位置の変更は環境変数の設定で可能だが、ユーザによる変更も可能(bashはtypsetでROに出来るがtcshはできるのか??) シェルが終了した時点で
データがどのように更新されてきたのか追跡する - クックパッド開発者ブログ
こんにちは。技術部の吉川です。 みなさんは、異常なデータを見つけたが、どうしてそのような状態になったのか追跡できず困ったという経験はないでしょうか。 今回は、そんなときにクックパッドで利用されているAuditログについてご紹介します。 Auditログとは クックパッドでのAuditログは特定のデータレコードに対して発生したイベントをコンテキストとともに記録するものです。 一般的に監査ログ、証跡ログといったものがありますが、それらとは多少異なっています。 ここでのイベントとは、あるデータレコードが 作成された 更新・変更された 削除された といったものです。またそれ以外にもログインした、ログアウトした、セキュアな情報が閲覧された、といったイベントも含まれています。 コンテキストは以下のようなものを記録します。 いつ どこで 処理が行われたホスト 何が イベント 何を 対象データの情報 スキー
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Database design for audit logging
