エッジでJavaScriptを実行するCloudFront Functionsのユースケースまとめ | DevelopersIO
エッジで軽量なJavaScriptを実行するAmazon CloudFront Functionsのユースケースをまとめました AWSはエッジ環境で軽量なJavaScriptによる処理を実行可能な新サービス「Amazon CloudFront Functions」を発表しました。 Introducing CloudFront Functions – Run Your Code at the Edge with Low Latency at Any Scale | AWS News Blog エッジで爆速コード実行!CloudFront Functionsがリリースされました! | DevelopersIO 以前から存在するLambda@Edgeは機能が豊富な一方で、処理が重く、利用費も高めだったのに対して、 CloudFront Functionsは機能を絞り込んでいる一方で、高速に動作し
Time to First Byte (TTFB) is a foundational web performance metric that precedes every other meaningful user experience metric such as First Contentful Paint (FCP) and Largest Contentful Paint (LCP). This means that high TTFB values add time to the metrics that follow it. It's recommended that your server responds to navigation requests quickly enough so that the 75th percentile of users experienc
httpのhttpsの区別さえ自動でしてくれるんだから それは、 HTTPからHTTPSへリダイレクトの設定がされているページが多い HSTS (HTTP Strict Transport Security) によって2回目以降は直接HTTPSでアクセスする (HTTPからのリダイレクトは発生しない) HSTS Preload List (https://source.chromium.org/chromium/chromium/src/+/main:net/http/transport_security_state_static.json) に入っているので、主要ブラウザでは初回でも直接HTTPSでアクセスするのどれかにゃーん。
こんにちは。dely株式会社でAndroidチームのマネージャーをやっているうめもり(Twitter: @kr9ly)です。 この記事は「dely #2 Advent Calendar 2020」の7日目の記事です。 6日目の記事は、knchst さんによる「エンジニアの僕が初めてプロダクトマネージャーをする上で特に意識したこと」でした。僕も人に依頼するときは菓子折り持って行ってその場で食べてもらってから依頼することにします。 www.notion.so 「dely #1 Advent Calendar 2020」もありますので、是非そちらもご覧ください。 早速ですが、皆さん、AWS CodeBuild使ってますか? Amazon Elastic Container Registryと組み合わせて使うと、ビルドイメージのProvisioningがとても高速に終わるのでdelyのAndroi
紙書籍をお届けします(PDFがついてきます) PDFのみ必要な場合は、こちらからPDF単体をご購入ください 紙書籍は通常、ご注文から2~3営業日で発送します 年末年始や大型連休など、1週間から10日程度、配送のお休みをいただく場合があります。詳しくはお知らせをご覧ください ブラウザの視点で学ぶセキュリティ 米内貴志 著 224ページ A5判 ISBN:978-4-908686-10-8 2021年1月5日 第1版第1刷 2022年8月16日 第1版第3刷 発行 正誤情報 サンプルコードなど 現代のWebブラウザには、ユーザーがWebというプラットフォームを安全に利用できるように、さまざまなセキュリティ機構が組み込まれています。 リソース間に境界を設定し、アプリケーションに制限を課す機構(Origin、SOP、CORS、CSPなど) Webブラウザの動作をOSのプロセスレベルで考察することで
Intro このエントリは、 3rd Party Cookie Advent Calendar の 19 日目である。 3rd Party Cookie のカレンダー | Advent Calendar 2023 - Qiita https://qiita.com/advent-calendar/2023/3rd-party-cookie 今日は Super Cookie の解説をする。迂回手段ゾーンとしては、最後に紹介する手法だ。 Super Cookie Super Cookie は、最初筆者も非常に驚いた、トラッカーの執念を感じる手法だ。 まず前提として、ブラウザのどこかに情報を保存でき、それがある程度の期間永続化され、かつ自動的に取得できるようなものであれば、トラッキングに応用が効く。 そこで目がつけられたのが HSTS (HTTP Strict Transport Securit
HTTP ガイド リソースと URI ウェブ上のリソースの識別 データ URL MIME タイプ入門 よくある MIME タイプ www 付きと www なしの URL の選択 HTTP ガイド HTTP の基本 HTTP の概要 HTTP の進化 HTTP メッセージ 典型的な HTTP セッション HTTP/1.x のコネクション管理 プロトコルのアップグレードの仕組み HTTP セキュリティ Content Security Policy (CSP) HTTP Strict Transport Security (HSTS) X-Content-Type-Options X-Frame-Options X-XSS-Protection Mozilla web security guidelines Mozilla Observatory HTTP アクセス制御 (CORS) HTTP
Wi-Fine
Wi-Fine It is fine to use public Wi-Fi, even without a VPN. Enjoy travelling and avoid high roaming costs! Nothing is 100% safe, but public Wi-Fi is such a small risk that it does not warrant the attention it still gets. Avoiding it has become a form of security theater. Modern internet protocols are designed with the assumption of an untrusted network layer. If all networks are assumed to be untr
ゴールデンウィークのはじめ(4月29日)に投稿された以下のツイートですが、5月7日20時において、1,938.8万件の表示ということで、非常に注目されていることが分かります。 我が名はアシタカ!スタバのFreeWi-Fiを使いながら会社の機密情報を扱う仕事をしてたら全部抜かれた。どうすればよい! pic.twitter.com/e26L1Bj32Z — スタバでMacを開くエンジニア (@MacopeninSUTABA) April 29, 2023 これに対して、私は以下のようにツイートしましたが、 これ入社試験の問題にしようかな。『スタバのFreeWi-Fiを使いながら会社の機密情報を扱う仕事をしてたら全部抜かれた』と言う事象に至る現実的にありえる脅威を説明せよ。結構難しいと思いますよ。 https://t.co/LH21zphCTV — 徳丸 浩 (@ockeghem) April
JSer.info #679 - TypeScript 5.4 Betaがリリースされました。 Announcing TypeScript 5.4 Beta - TypeScript クロージャーにおけるNarrowing結果の改善、NoInfer Utility Typeが追加されています。 また、ES2024のObject.groupBy/Map.groupByをサポート、Import Attributesのサポートが追加されています。 そのほかには、target: "ES3"やoutオプションなどを非推奨として、次のTypeScript 5.5で削除されることがアナウンスされています。TypeScript 5.5で削除されるオプションは、次のIssueにまとめられています。 Feedback: 5.0 deprecations · Issue #51909 · microsoft/T
『Web ブラウザセキュリティ ― Web アプリケーションの安全性を支える仕組みを整理する』の読書メモです。 感想 私は Chromium ブラウザの開発に携わっており、本書で紹介されている機能の一部の実装者の立場で読みました。 ブラウザの持つセキュリティ機能が体系立てて紹介されており、機能間の関係性が分かりやすくまとめられている。特に最新のブラウザセキュリティ機能はブラウザの内部構成 (例えばプロセス分離) に強く依存しているので、ブラウザが何をどう守りたいのか抽象的なところから理解していかないと各機能の必要性が分かりにくいが、この本はその抽象的なところからしっかり整理してくれているのが良かった。 プロセス分離に関して恐らく日本語で最も詳しく整理された資料だと思います。過去の研究実装から最新の仕様までしっかり言及されていて、ここまで調べてまとめあげるのは大変だったと思います。これからウ
はじめに Webサイトがどのように表示されるのかを知るために『What happens when...』を読みました。 しかし、HSTSが何なのか理解できず、かなり最初の方でつまづいてしまったので、今回の記事では自分が調べたことをまとめたいと思います。 「HSTSをチェックする」 以下が『What happens when...』で書かれていた説明です。 ブラウザは"preloaded HSTS(HTTP Strict Transport Security)"リストを調べます。これはHTTPSでのみリクエストを送るように求めているウェブサイトの一覧です。 もしそのウェブサイトがリストにあれば、ブラウザはHTTPではなくHTTPSでリクエストを送ります。なければ最初のリクエストはHTTPで送られます。ウェブサイトは、HSTS一覧になくてもHSTSポリシーを利用可能であることに注意してください
「Chromeウェブストア」で配布されている拡張機能の中には、広告ブロッカーを装ったマルウェアや、個人情報を盗み出す拡張機能などの不正な拡張機能が多く含まれていることが報じられてきました。新たに、セキュリティに関する研究団体CISPAの調査によって、2000件を超えるGoogle Chrome向け拡張機能にセキュリティヘッダーを改ざんする機能が搭載されていることが判明しました。 madweb21-paper16-pre_print_version.pdf (PDFリンク)https://madweb.work/preprints/madweb21-paper16-pre_print_version.pdf Thousands of Chrome extensions are tampering with security headers | The Record by Recorded F
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます Mozillaは米国時間1月26日、「Firefox 85」をStableチャネルにリリースした。このバージョンでは、「Adobe Flash Player」プラグインのサポートが削除されたほか、「スーパークッキー」に対するより総合的な保護が追加されたことでユーザーのプライバシーが向上している。 Flashプラグインの削除は、MozillaがAdobe、Apple、Google、Microsoft、Facebookと足並みをそろえて業界全体でFlashの非推奨化とサポート終了を進める計画の一環として、2017年7月発表された内容の1つだ。 サポート終了日は、AdobeがFlashに対するアップデートの提供を停止することに合意した日の翌日
参考 6.4.7. 307 Temporary Redirect | RFC 7231 – HTTP/1.1: Semantics and Content2. HSTS の問題点このHSTS、以下のようなことが起きるとかなり面倒です。 ある期間、example.com というドメインのウェブサイトを運営しているウェブサーバーが Strict-Transport-Security というレスポンスヘッダを返すよう設定されていました。その期間中にそのウェブサーバーにアクセスしたブラウザは、ブラウザ内の「HSTS適用ドメイン」に example.com を追加します。しばらくして、このウェブサイトにおいて「 https でアクセスされると何らかの問題が起きる」ことが発覚したとします。サイト運営者は http でもアクセスできるように、example.com のウェブサーバーが、Strict-Tr
公衆無線LANは盗聴の危険があると言われていますが、常時SSLが普及した現在どのような状況で盗聴される可能性があるでしょうか。 この動画では偽のアクセスポイントを使ってしまった利用者を想定して、かつサイトのドメイン名は本物であるという前提での盗聴を実演を交えて解説します。 また、背景知識として、いわゆる「ウェブ認証」などで用いられるCaptiveポータル(俗に「ホテルページ」などとも呼ばれる)についても解説しています。 この動画では、利用者が正しくない利用法をすることによりオンラインバンキングのID・パスワードを盗聴されていますが、サイトに脆弱性があるわけではありません。 この動画の末尾では、このような攻撃にあわないためのサイト側、利用者側双方の対策について解説しています。 ※ 注意 ・動画中の解説では80/TCPのみBurp Suiteにリダイレクトしていますが、実演では443/TC
HTTP ガイド: リソースと URI ウェブ上のリソースの識別 データ URL MIME タイプ入門 よくある MIME タイプ www 付きと www なしの URL の選択 HTTP ガイド HTTP の基本 HTTP の概要 HTTP の進化 HTTP メッセージ 典型的な HTTP セッション HTTP/1.x のコネクション管理 プロトコルのアップグレードの仕組み HTTP セキュリティ Content Security Policy (CSP) HTTP Strict Transport Security (HSTS) Cookie security X-Content-Type-Options X-Frame-Options X-XSS-Protection Mozilla web security guidelines Mozilla Observatory HTTP ア
JANOG48 Meetingでの株式会社インターネットイニシアティブの発表はご覧になったでしょうか? WebサーバのDNSへの登録方法が変わるよ – : ※ 公開発表スライドから WebサーバのDNS登録がA/AAAAレコードから、HTTPSレコードに移行していくというものです。 このレコードを使うと、以下の様なことを実現できます。 ApexドメインでCNAMEを使用 HSTSがやっていたようなサーバーとのネゴシエーションをDNSレコードに委譲 発表概要から引用します。 HTTPSというDNSレコードタイプを定義するdraft-ietf-dnsop-svcb-httpsがもうすぐRFCになります。実利用はすでにはじまっており、WebサーバのDNSへの登録は従来のA/AAAAレコードから今後は新しいHTTPSレコードに移行していくことになるでしょう。本発表ではHTTPSレコードの簡単な紹介
週刊Railsウォッチ(20200226後編)dry-rbを使うべき理由、最近のRubyオンライン教材、AWSから乗り換えた話ほか|TechRacho by BPS株式会社
2020.02.26 週刊Railsウォッチ(20200226後編)dry-rbを使うべき理由、最近のRubyオンライン教材、AWSから乗り換えた話ほか こんにちは、hachi8833です。リモートワークの追い風が吹いているのかもしれません。自分は特にリモートワーク志向ありませんが。 乗るしか無い、このリモートワークビッグウェーブに。 / はてなブログに投稿しました リモートワークで始めるランチ自炊生活 - masa寿司の日記 https://t.co/dR1bwoHdc8 #はてなブログ — masa寿司 (@masa_iwasaki) February 18, 2020 つっつきボイス:「ビッグウェーブ😆」「リモートワークは人によって向き不向きがどうしてもあるので、そこ次第でしょうね☺️」「ですね」「あとメンバー全員がリモートワークについて寛容でないと成り立ちませんし」「リモートワー
Ubuntu Weekly Recipe 第729回Ubuntuリポジトリに取り込まれたパッケージ版.NETで、UbuntuでもC#プログラミングを始めよう! Ubuntu Weekly Topicsの2022年8月19日号でも紹介されているように、Microsoftが提供するクロスプラットフォームな開発フレームワークである「.NET」のUbuntu向けパッケージが公式リポジトリからも提供されることになりました。今回はこれを用いてC#でWindows向けのプログラムを作ってみましょう。 実は前から存在した.NETパッケージ 「.NET」はMicrosoftが提供する開発プラットフォームではありますが、MITライセンスで公開されたオープンソースプログラムでもあります[1]。.NETを使えば、Windowsだけでなく、macOSやLinuxなどの各プラットフォームに対応し、サーバーアプリケーシ
週刊Railsウォッチ(20200225前編)RubyのShellwordsライブラリは知っておくべき、VCRはやはり有能、copを自作、Hix on Rails記事ほか|TechRacho by BPS株式会社
2020.02.25 週刊Railsウォッチ(20200225前編)RubyのShellwordsライブラリは知っておくべき、VCRはやはり有能、copを自作、Hix on Rails記事ほか こんにちは、hachi8833です。次回の技術書典は残念ながら中止になりました。型システム祭りも延期だそうです。 【#技術書典 8 開催中止のお知らせ】 誠に残念ですが、先週末の新型コロナウイルス感染症に関わる状況の急激な変化を鑑み、2月29日(土)、3月1日(日) に予定しておりました技術書典8の中止、およびオンライン開催「技術書典 応援祭」への変更をお知らせいたします。https://t.co/MXWhI4DPFm — 技術書典 公式アカウント (@techbookfest) February 17, 2020 イベント: 型システム祭り - connpass -- 延期 つっつきボイス:「今日
こんにちは、okutani(@okutani_t)です。本記事では、「Heroku + Cloudflare」を使ってルートドメイン(www無しのドメイン)でかつSSL(HTTPS)でサイトを動かす方法について解説しています。 Cloudflareは無料で使えるCDNサービスです。DNSの設定も同時におこなえるので、そちらを使ってHerokuのアプリケーションをルートドメインかつSSL対応させてみましょう。 Cloudflareには「CNAME Flattening」という機能で、CNAMEでルートドメインを設定できる機能があるみたいなので、今回はそちらを利用していきます。 Herokuの登録方法などは過去の記事を参考にしてください。 【Rails】Herokuの登録&初期設定からデプロイ方法までまとめ こんにちは、okutani(@okutani_t)です。本記事では『Heroku』の登
こんにちは。ソフトウェアエンジニアの淵脇です。この記事は NIKKEI Advent Calendar 2020 5日目の記事です。私は「日経ID」といわれる認証認可基盤を担当しており、日々セキュリティを意識した開発を行っております。それに関連して、本日はいにしえのブラウザにおけるセキュリティの歴史的なものをご紹介いたします。 0. はじめに 現代ではブラウザはとても便利なものになりました。単にネットサーフィンのようなオンラインで完結する作業だけでなく、買い物やコミュニケーション、金融取引など実世界に影響を与えるような様々な用途に使われています。しかし、この裏には血のにじむようなセキュリティエンジニアとハッカー/クラッカーとの戦いの歴史があり、その上に築かれたセキュリティの上に成り立っているものです。 ブラウザのセキュリティについては、昔からXSS(クロスサイトスクリプティング)やCSRF
HTTP ガイド リソースと URI ウェブ上のリソースの識別 データ URL MIME タイプ入門 よくある MIME タイプ www 付きと www なしの URL の選択 HTTP ガイド HTTP の基本 HTTP の概要 HTTP の進化 HTTP メッセージ 典型的な HTTP セッション HTTP/1.x のコネクション管理 プロトコルのアップグレードの仕組み HTTP セキュリティ Content Security Policy (CSP) HTTP Strict Transport Security (HSTS) X-Content-Type-Options X-Frame-Options X-XSS-Protection Mozilla web security guidelines Mozilla Observatory HTTP アクセス制御 (CORS) HTTP
PDFのみの提供です 紙書籍も必要な場合は、こちらからお得なセットをお求めください 紙書籍のみを差額等でお求め頂くことはできません ブラウザの視点で学ぶセキュリティ 米内貴志 著 224ページ A5判 ISBN:978-4-908686-10-8 2021年1月5日 第1版第1刷 2022年8月16日 第1版第3刷 発行 正誤情報 サンプルコードなど 現代のWebブラウザには、ユーザーがWebというプラットフォームを安全に利用できるように、さまざまなセキュリティ機構が組み込まれています。 リソース間に境界を設定し、アプリケーションに制限を課す機構(Origin、SOP、CORS、CSPなど) Webブラウザの動作をOSのプロセスレベルで考察することで役割が理解できる機構(CORB、CORP、Fetch Metadataなど) 通信路や受け取ったデータの状態に関するもの(HSTS、SRIなど
text/plain ericlaw talks about security, the web, and software in general The Chrome team is embarking on a clever and bold plan to change the recipe for cookies. It’s one of the most consequential changes to the web platform in almost a decade, but with any luck, users won’t notice anything has changed. But if you’re a web developer, you should start testing your sites and services now to help en
HTTP の圧縮 - HTTP | MDN
HTTP ガイド リソースと URI ウェブ上のリソースの識別 データ URL MIME タイプ入門 よくある MIME タイプ www 付きと www なしの URL の選択 HTTP ガイド HTTP の基本 HTTP の概要 HTTP の進化 HTTP メッセージ 典型的な HTTP セッション HTTP/1.x のコネクション管理 プロトコルのアップグレードの仕組み HTTP セキュリティ Content Security Policy (CSP) HTTP Strict Transport Security (HSTS) X-Content-Type-Options X-Frame-Options X-XSS-Protection Mozilla web security guidelines Mozilla Observatory HTTP アクセス制御 (CORS) HTTP
CX事業本部@大阪の岩田です。 Auth0のブログで紹介されている、BlazorにAuth0の認証機能を組み込むチュートリアルを試してみたので内容をご紹介します。 What is Blazor? A Tutorial on Building Web Apps with Authentication 環境 今回利用した環境です。 OS:Mac OS X 10.14.6 .NET Core: 3.0.101 そもそもBlazorとは? このチュートリアルではBlazorというフレームワークを利用します。Microsoftのドキュメントによると、Blazorは以下のように紹介されています。 Blazor は、.NET を使って対話型のクライアント側 Web UI を構築するためのフレームワークです。 ASP.NET Core Blazor の概要 そうです。なんとC#でSPAの開発ができる!!と
Google Chromeでlocalhostへアクセスするとhttpsにリダイレクトされてしまう問題の解消方法 - いっしきまさひこBLOG
Google Chromeで「http://localhost:8888」などのlocalhostにアクセスしようとして、以下のように表示され、ページが開けずに困っていないでしょうか? ERR_CONNECTION_REFUSED このサイトにアクセスできませんlocalhost で接続が拒否されました。 次をお試しください - 接続を確認する - プロキシとファイアウォールを確認する Chromeのキャッシュを消したり、いろいろやったりしたけど分からず、よく見ると、勝手に「https」にリダイレクトされているし、何これと、自分は数時間を費やしてしまいました。同様にお困りの人がいるかもしれないので、同じ問題に当たった人の時間節約のために解決方法を紹介しておきます。 最終的に参考になったのは、こちらの情報でした: Google Chrome redirecting localhost to
週刊Railsウォッチ(20200217前編)Railsのオプション引数退治、HSTSのデフォルトmax-ageが1年から2年に変更、semantic_logger gemほか|TechRacho by BPS株式会社
2020.02.17 週刊Railsウォッチ(20200217前編)Railsのオプション引数退治、HSTSのデフォルトmax-ageが1年から2年に変更、semantic_logger gemほか こんにちは、hachi8833です。皆さま息災でいらっしゃいますか。 元記事: 新型コロナウィルス、海外からのVIPが来日中止などIT業界でも影響が出始め。バルセロナのMWCも中止に(記事更新) - Publickey(Publickeyより) つっつきボイス:「たしかに相当影響でかそう😰」「いろんなものが届かなくなったりしそう🏷」「人が大勢集まるイベントも影響受けそうですし🥺」 RubyKaigiまでに落ち着いてくれるといいのですが。 各記事冒頭には⚓でパーマリンクを置いてあります: 社内やTwitterでの議論などにどうぞ 「つっつきボイス」はRailsウォッチ公開前ドラフトを(鍋の
週刊Railsウォッチ: RubyのGCコンパクション改修、jemalloc、ReDoSの自動検出修正ほか(20220419後編)|TechRacho by BPS株式会社
週刊Railsウォッチについて 各記事冒頭には🔗でパーマリンクを置いてあります: 社内やTwitterでの議論などにどうぞ 「つっつきボイス」はRailsウォッチ公開前ドラフトを(鍋のように)社内有志でつっついたときの会話の再構成です👄 お気づきの点がありましたら@hachi8833までメンションをいただければ確認・対応いたします🙏 TechRachoではRubyやRailsなどの最新情報記事を平日に公開しています。TechRacho記事をいち早くお読みになりたい方はTwitterにて@techrachoのフォローをお願いします。また、タグやカテゴリごとにRSSフィードを購読することもできます(例:週刊Railsウォッチタグ) 🔗Ruby 🔗 GCコンパクションの2つのカーソル移動順序を入れ替え PR: Reverse the order of GC compaction cur
HTTPSに自動で切り替えるChromeのHTTPS Upgradeについて - ASnoKaze blog
Chromeではバージョン115 (6月リリース予定)で、『HTTPS Upgrade』という機能が導入される予定です。これは、ナビゲーション時にHTTPからHTTPSに自動でアップグレードするものです。 chromestatus.com その動作についてドキュメントを読む 背景 『HTTPS Upgrade』を導入する背景としては 多くのWebサイトがHTTPSに対応していますが、いくつかのケースでHTTPのアクセスがあり、それらを保護するためです。 HTTPSをサポートしているページでもHTTPをリッスンしている場合は、次のケースでHTTPアクセスが発生します HSTS Preloadを登録していないケース HSTSを利用していても、初回のアクセスするケース HSTSを利用しておらず、HTTPをHTTPSにリダイレクトしないケース 動作 一言でその動作を表現すれば、『ナビゲーションの際
What Is a Website Cookie? How Cookies Affect Your Online Privacy
You've heard of internet cookies, but what exactly are they? What do they have to do with your privacy? Here's what you need to know. Whether you're browsing Google search results, logging into Facebook, or just innocently chatting away on an online forum, you've encountered cookies. They aren't inherently harmful but, just like passwords or email addresses, they are exploitable when placed in the
ASP.NET Core のミドルウェア
作成者: Rick Anderson、Steve Smith ミドルウェアとは、要求と応答を処理するために、アプリのパイプラインに組み込まれたソフトウェアです。 各コンポーネントで次の処理を実行します。 要求をパイプライン内の次のコンポーネントに渡すかどうかを選択します。 パイプラインの次のコンポーネントの前または後に作業を実行できます。 要求デリゲートは、要求パイプラインの構築に使用されます。 要求デリゲートは、各 HTTP 要求を処理します。 要求デリゲートは、Run、Map、Use の各拡張メソッドを使って構成されます。 個々の要求デリゲートは、匿名メソッドとしてインラインで指定するか (インライン ミドルウェアと呼ばれます)、または再利用可能なクラスで定義することができます。 これらの再利用可能なクラスとインラインの匿名メソッドは、"ミドルウェア" です。"ミドルウェア コンポーネ
この記事は GMOアドマーケティング Advent Calendar 2023 9日目の記事です。 こんにちは、GMOアドマーケティングのryoutakoです。普段はRuby on Railsを使った開発やプロダクトの脆弱性診断などセキュリティ関連の業務をしています。 今回はNessusという脆弱性診断ツールについて書いていこうと思います。初めて使うので初期設定や診断までの流れ、結果の見方や使ってみての感想などを書いていければと思います。経緯としては、最近あった社内のセキュリティ勉強会の一環としてNessusに触れる機会があり、その時学んだことの復習も兼ねていければと思います。 Nessusとは NessusはTenable Network Security社が開発した包括的な脆弱性検知スキャナです。スキャナの中では最多の80,000 CVEの検出が可能で、数万の組織で利用され、世界で最も
Amazon Web Services ブログ Amazon CloudFront がレスポンスヘッダーポリシー を導入 はじめに Amazon CloudFront は、エッジロケーションとグローバルネットワークを利用して、静的および動的な Web コンテンツを配信するコンテンツ配信ネットワーク(CDN)です。CloudFront をアーキテクチャに組み込むことで、Web アプリケーションのパフォーマンスや信頼性の向上、セキュリティの強化などのメリットが得られます。レスポンスヘッダーを簡単に変更・管理できることは、お客様からよくいただくご要望でした。このニーズにお応えするため、CloudFront ではレスポンスヘッダーポリシーを導入し、お客様がヘッダー変更の定義を柔軟にコントロールできるようにしました。これまでも CloudFront と Lambda@Edge や CloudFron
DNSPOOQ - JSOF
7 new vulnerabilities are being disclosed in common DNS software dnsmasq, reminiscent of 2008 weaknesses in Internet DNS Architecture Vulnerabilities threaten DNS integrity (again) The JSOF research labs are reporting 7 vulnerabilities found in dnsmasq, an open-source DNS forwarding software in common use. Dnsmasq is very popular, and we have identified approximately 40 vendors whom we believe use
HTTP ガイド リソースと URI ウェブ上のリソースの識別 データ URL MIME タイプ入門 よくある MIME タイプ www 付きと www なしの URL の選択 HTTP ガイド HTTP の基本 HTTP の概要 HTTP の進化 HTTP メッセージ 典型的な HTTP セッション HTTP/1.x のコネクション管理 プロトコルのアップグレードの仕組み HTTP セキュリティ Content Security Policy (CSP) HTTP Strict Transport Security (HSTS) X-Content-Type-Options X-Frame-Options X-XSS-Protection Mozilla web security guidelines Mozilla Observatory HTTP アクセス制御 (CORS) HTTP
Flatt Security Blog
2024-04-03 Webアプリケーションに対する脆弱性診断の外注/内製化とバグバウンティの役割の違い 技術 Web セキュリティ診断 初めまして、Flatt Security社のブログに寄稿させていただくことになりました、西川と申します。 普段は、SaaS企業でプロダクトセキュリティをメインの仕事としていますが、一般社団法人鹿児島県サイバーセキュリティ協議会の代表理事として活動しております… 2024-03-28 SQL/コマンドインジェクション、XSS等を横串で理解する - 「インジェクション」脆弱性への向き合い方 技術 Web セキュリティ診断 こんにちは、@hamayanhamayan です。 本稿ではWebセキュリティに対する有用な文書として広く参照されているOWASP Top 10の1つ「インジェクション」について考えていきます。色々なインジェクションを例に挙げながら、どのよ
SSL/TLSを実際に設定しつつ学べる「SSLをはじめよう!」を読んだ - そこに仁義はあるのか(仮)
@mochikoAsTechさんに「SSLをはじめよう!」という同人誌をいただきました!元々「SSLは完全マスターすらできてない」という状態で、この本が発売されたら購入しようと思っていたのですごく嬉しい!技術書典8で発売される予定だったのですが、コロナの影響で技術書典自体がなくなってしまいました…。残念…。ただ、オンラインでの購入が可能です! 「はじめに」にも書いてありますが、この書籍はSSLに対して『関わる機会が多い割に「ちゃんとわかっているか」と言われるとちょっと自信がない』と言う人に向けられた書籍です。私じゃん。 全部で100ページ強で操作画面のキャプチャも多く、私はサクサクと2日で読めてしまいました。しかし、その中に、 SSL/TLSとは何か どういうメリットが得られるのか HTTPSはどういう流れで処理が行われるのか 実際にHTTPS化をやってみる クラウド環境の準備(Oracl
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Optimize Time to First Byte
httpのhttpsの区別さえ自動でしてくれるんだから それは、 HTTPからHTTPSへリ..
Androidのビルド用Dockerイメージダイエット計画 - dely Tech Blog
Webブラウザセキュリティ ― Webアプリケーションの安全性を支える仕組みを整理する
3PCA 19 日目: Super Cookie | blog.jxck.io
プロキシー自動設定ファイル - HTTP | MDN
フリーWi-Fiを使ったら秘密情報を抜かれる経路にはどのようなものがあるか - Qiita
2024-02-05のJS: TypeScript 5.4 Beta、Learn Testing/Performance、Interop 2024
『Web ブラウザセキュリティ ― Web アプリケーションの安全性を支える仕組みを整理する』を読んだ
HTTP Strict Transport Security(HSTS)とは?
2000件以上のGoogle Chrome向け拡張機能がセキュリティを低下させているという指摘
「Firefox 85」でスーパークッキー対策--「Flash」廃止も
HSTS が原因で、ウェブサイトが勝手にhttps接続しないようにする
偽Wi-Fiアクセスポイントで本当にパスワードは盗聴できるか試してみた - YouTube
SameSite cookies - HTTP | MDN
Zone ApexにHTTPSリソースレコードでエイリアスを登録してみた | DevelopersIO
第729回 Ubuntuリポジトリに取り込まれたパッケージ版.NETで、UbuntuでもC#プログラミングを始めよう! | gihyo.jp
『Heroku + Cloudflare』でルートドメインかつSSLでサイトを運用する | vdeep
いにしえのXSSと、現代における発展 — HACK The Nikkei
ユーザーエージェント文字列を用いたブラウザーの判定 - HTTP | MDN
Webブラウザセキュリティ ― Webアプリケーションの安全性を支える仕組みを整理する(電子書籍のみ)
Same-Site Cookies By Default
C#でSPAが開発できるBlazorにAuth0で認証機能を付けてみる | DevelopersIO
【セキュリティ】脆弱性診断ツール「Nessus」使ってみた
Amazon CloudFront がレスポンスヘッダーポリシー を導入 | Amazon Web Services
402 Payment Required - HTTP | MDN