Webサービス公開前のチェックリスト
個人的に「Webサービスの公開前チェックリスト」を作っていたのですが、けっこう育ってきたので公開します。このリストは、過去に自分がミスしたときや、情報収集する中で「明日は我が身…」と思ったときなどに個人的にメモしてきたものをまとめた内容になります。 セキュリティ 認証に関わるCookieの属性 HttpOnly属性が設定されていること XSSの緩和策 SameSite属性がLaxもしくはStrictになっていること 主にCSRF対策のため。Laxの場合、GETリクエストで更新処理を行っているエンドポイントがないか合わせて確認 Secure属性が設定されていること HTTPS通信でのみCookieが送られるように Domain属性が適切に設定されていること サブドメインにもCookieが送られる設定の場合、他のサブドメインのサイトに脆弱性があるとそこからインシデントに繋がるリスクを理解してお
江崎グリコの公式サイトより システム障害が原因で、ほぼすべてのチルド食品(冷蔵食品)が2カ月以上にわたり出荷停止になるという異例の事態に見舞われている江崎グリコ。その同社が現在、ある転職サイトに掲載している社内SEの人材募集ページが話題を呼んでいる。業務内容は「グローバル展開を見据えた次期統合認証基盤の企画、設計、構築」、歓迎条件は「SAP ERP(S/4 HANA含む)」などと高度なスキルを求める一方で、予定年収が「500万円~」となっている点について「低すぎる」として疑問の声が続出している。同社経営陣のシステム投資への理解度と今回のシステム障害を結びつける指摘もみられるが、同社がITエンジニアに提示している年収は適切なレベルといえるのか。業界関係者の声を交えて追ってみたい。 グリコは業務システムについて、独SAPのクラウド型ERP「SAP S/4HANA」を使って構築した新システムへ切
私はプロではないのでわからないので、間違っているのは当たり前だと思って読んでください。 個々人のエンジニアの能力がとかクレジットカードがとかは基本関係ないという話です。 (関係なくてもパスワードを使い回している場合は、同じパスワードを使っているサービスのパスワードはすぐ変えるの推奨) 三行VPN→プライベートクラウドの管理システムとオンプレ認証→各システムと言う流れで侵入されていると思われるオンプレのディレクトリサービスとクラウドのidMが接続され、オンプレの認証資格でSaaSは一部やられた可能性がある現在クラウドにリフトアップ中で、新システムはモダンな対策された方法で保護されており無事だった。が、それ故にオンプレへの対策が後手だったのでは会社のシステムはどうなってるか私は長年社内システムの奴隷をやって参りました。現在のクラウドになる前のサーバも触って参りましたので、その辺りからお話しをさ
2024年7月1日、OpenSSHの開発チームは深刻な脆弱性 CVE-2024-6387 が確認されたとしてセキュリティ情報を発出し、脆弱性を修正したバージョンを公開しました。この脆弱性を発見したQualysによれば、既定設定で構成されたsshdが影響を受けるとされ、影響を受けるとみられるインターネット接続可能なホストが多数稼動している状況にあると報告しています。ここでは関連する情報をまとめます。 概要 深刻な脆弱性が確認されたのはOpenSSHサーバー(sshd)コンポーネント。脆弱性を悪用された場合、特権でリモートから認証なしの任意コード実行をされる恐れがある。 悪用にかかる報告などは公表時点でされていないが、glibcベースのLinuxにおいて攻撃が成功することが既に実証がされている。発見者のQualysはこの脆弱性の実証コードを公開しない方針としているが、インターネット上ではPoC
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
グリコ、ITの精鋭部隊を年収500万円で募集→「悲劇のトラブル招いた原因」
KADOKAWAのハッキングの話チョットワカルので書く
OpenSSHの脆弱性 CVE-2024-6387についてまとめてみた - piyolog