7Payの失態で露呈した本当は怖いIDの話|楠 正憲(デジタル庁統括官)
セブンイレブンのQR決済「7Pay」がリリース翌日から大規模な不正アクセスの被害を受け、少なくとも約900人が、計約5500万円の被害を受けた。原因は杜撰なIDの設計にあり、被害者はいずれもIDを乗っ取られて、クレジットカードから不正にチャージされた。 自分の設定したIDとパスワードを入力して、どちらも正しい場合にログインできる仕組みは1960年代前半に発明されて以来、今もインターネット上で最も広く利用されている。GAFAはじめYahoo!や楽天といった大手企業が今も使っていることから、十分に安全と思われがちだ。 ところが実際のところ特にここ数年は非常に激しい攻撃に晒されており、血の滲むような努力と不断の改善によって維持されている。利用者は自分が入力したIDとパスワードしか意識しないけれども、その裏では端末環境の特徴やアクセス元のIPアドレスや位置情報、同時に利用している他の端末など、実に
Webサービス公開前に対策しておきたいセキュリティ施策まとめ|kentaro
直近で新しいWebサービスのセキュリティ周りを整備する機会があったので、その時に検討した内容をメモしておきます。 このnoteの前提重点的にみたのが認証機構の部分でしたのでそれに寄った内容になります。 また、一般的なセキュリティ対策(XSSやSQLインジェクション)などについて触れていません。そういった内容については2018年の現在でも徳丸先生の本を一読することが近道かと思います。 体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践 | 徳丸 浩 https://www.amazon.co.jp/dp/4797361190 "なぜ"セキュリティ施策をするのかセキュリティ対策は大切だということはわかっていても、"なぜ"対策をしないといけないかということにパッと答えられる人はそう多くないのではないでしょうか。 総務省が公開しているテキストには、以下のようなこと
脆弱性を攻撃してみよう (1) OSコマンドインジェクション (OGNL式インジェクション) - Qiita
はじめに 脆弱性を理解するには、実際に脆弱性を攻撃してみるのが一番です。 といっても、脆弱性のありそうなサイトを見つけて攻撃してみよう!と言っているわけではありません。自分だけが使っている仮想マシンの上で、脆弱性のあるアプリケーションを動かし、攻撃してみることをお勧めします。 脆弱性は、以前紹介したバグだらけのWebアプリケーションにたくさん実装してあります。Webアプリケーションはここからダウンロードして、次のコマンドで起動します。 ※実行するにはJavaが必要です。詳細については、こちらのページを参照して下さい。 このWebアプリケーションは、現時点で以下の脆弱性を実装しています。 XSS (クロスサイトスクリプティング) SQLインジェクション LDAPインジェクション コードインジェクション OSコマンドインジェクション メールヘッダーインジェクション Nullバイトインジェクショ
一番分かりやすい OAuth の説明 - Qiita
Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article? はじめに 過去三年間、技術者ではない方々に OAuth(オーオース)の説明を繰り返してきました※1,※2。その結果、OAuth をかなり分かりやすく説明することができるようになりました。この記事では、その説明手順をご紹介します。 ※1:Authlete 社の創業者として資金調達のため投資家巡りをしていました(TechCrunch Japan:『APIエコノミー立ち上がりのカギ、OAuth技術のAUTHLETEが500 Startups Japanらから1.4億円を調達』)。Authlete アカウント登録はこちら! ※2:そして2回目の
エンジニアなら知っておきたい、絵で見てわかるセキュア通信の基本 - Qiita
TLS 1.3は現在策定中ですが、 前方秘匿性 の問題から RSAのみ を用いた鍵委共有が禁止になる見込みです。(詳細は後述します) HTTPSとは 次に、HTTPSです。 HTTPS - Wikipedia HTTPS(Hypertext Transfer Protocol Secure)は、HTTPによる通信を安全に(セキュアに)行うためのプロトコルおよびURIスキームである。 厳密に言えば、HTTPS自体はプロトコルではなく、SSL/TLSプロトコルによって提供される セキュアな接続の上でHTTP通信を行うこと をHTTPSと呼んでいる。 とのことです。 HTTPの説明を割愛するとすれば、「SSL/TLSでセキュアにHTTPをやる」というだけの説明で済んでしまいます。 最近では個人情報等の観点から全てのサイトをHTTPSにするような動きが見られますが、元々HTTPSが使われやすかった
OpenSSLの脆弱性で想定されるリスク - めもおきば
JVNやJPCERT/CCの記事があまりにもさらっと書かれていて、具体的なリスクが想像しづらいと思うので説明します。 今北産業 (今ニュース見て来たから三行で教えて欲しいという人向けのまとめ) インターネット上の「暗号化」に使われているOpenSSLというソフトウェアが2年間壊れていました。 このソフトウェアは便利なので、FacebookだとかYouTubeだとか、あちこちのウェブサイトで使っていました。 他の人の入力したIDとかパスワードとかクレカ番号とかを、悪い人が見ることができてしまいます。(実際に漏れてる例) 他にも色々漏れてますが、とりあえずエンジニア以外の人が覚えておくべきはここまででOKです。もう少し分かりやすい情報が以下にあります。 OpenSSL の脆弱性に対する、ウェブサイト利用者(一般ユーザ)の対応について まだ直っていないウェブサイトもあれば、元々壊れていないウェブ
コンピュータに詳しくない人へ。インターネット史上最悪のOpenSSLの脆弱性のニュースをわかりやすく書いてみました。ほとんどすべての人に影響します。 - 非天マザー by B-CHAN
インターネットで使われる鍵(カギ) みなさん、こんにちは! こんなニュースが発表され、世界に衝撃を与えています。 ↓ Gmail、YouTubeにも影響。壊滅的なOpenSSLの脆弱性、「Heartbleed」問題とは « WIRED.jp コンピュータ関係者は大騒ぎですが、ボクたち一般人はどうすればいいのでしょうか? コンピュータに詳しくない人に、なるべくわかりやすく書いてみます。 まず、インターネットのいろんなサービスを利用するにはIDとパスワードが必要ですよね。 例えば、Amazonや楽天市場で買物をするには、Amazonや楽天市場のIDとパスワードを入力する必要があります。 どちらかが欠けても買い物はできません。 あなた以外の第三者があなたのIDを知ったとしてもパスワードがわからなければ、あなたの名前で勝手に買い物をすることはできないわけです。 これによって安全が守られているわけで
共通鍵暗号と公開鍵暗号の解説とSSHでの認証手順 - VPSサービスの使い方
SSHではパスワード認証ではなくより安全な公開鍵認証を使う仕組みが用意されています。具体的な手順は次のページで解説しますが、ここでは公開鍵暗号や共通鍵暗号とはどういったものか、そしてSSHで公開鍵認証を行う時にどのようなことを具体的に行っているのかを解説します。 ※ 仕組み自体をご存知の方や仕組みは知らなくてもいいという方は次のページへ進んで下さい。 1.暗号化の必要性 2.共通鍵暗号 3.共通鍵暗号方式の問題点 4.公開鍵暗号方式 5.公開鍵暗号方式のデジタル署名への適用 6.SSHで公開鍵認証を使った認証手順 暗号化の必要性 そもそも暗号化は何故必要なのでしょうか。それはインターネットを経由して情報のやり取りを行う場合、悪意のある第三者に情報を盗み見される危険性があるためです。 そこで重要なデータについては送信する前に暗号化を行います。もし途中で悪意のある第三者にデータを盗み見されたと
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
