Spring Security にできること・できないこと - Qiita
自己紹介 opengl-8080 主に Qiita で技術メモを書いたり 関西の SIer 勤務 今日お話しすること Spring Security が保護してくれること、してくれないこと Spring Security を導入すれば、この攻撃は守ってくれる この攻撃は Spring Security の守備範囲外なので別途対処が必要 仕様や機能の話をメインにして、実装の細かい話は無し デモ用アプリ 起動方法 GitHub からプロジェクトをダウンロードし、プロジェクトのルートで gradlew start を実行 ※初回は Payara (60MB)などのダウンロードが行われるので注意 動作確認 AP サーバーが起動したら、以下の URL にアクセスする。 https://localhost:8443/secure Spring Security を使用したアプリケーション https:
2015年刊行『暗号技術入門 第3版 秘密の国のアリス』
現代の暗号技術をやさしく解説 『暗号技術入門 第3版 秘密の国のアリス』では、現代の暗号技術の基礎となる、 対称暗号 公開鍵暗号 デジタル署名 一方向ハッシュ関数 メッセージ認証コード 擬似乱数生成器 PKI、PGP、SSL/TLS について、たくさんの図と やさしい文章で解説します。 第3版でのアップデート 第3版では、 これまでの基本的な暗号技術の解説に加えて、 以下のような大幅な加筆修正を行いました。 (加筆項目の一部) 現代の暗号技術に関するアップデート SHA-3のコンペティションとSHA-3(Keccak)の構造 POODLEなどのSSL/TLSへの攻撃 認証付き暗号の紹介 ビットコインと暗号技術の関係 楕円曲線暗号の紹介 もちろん、すべて数式は最小限に抑え、図版を交えてわかりやすく解説します。 目次 目次 はじめに 暗号の世界ひとめぐり 第一部 暗号 歴史上の暗号 ―― 他人
クラウドを支えるこれからの暗号技術
SSII2021 [TS3] 機械学習のアノテーションにおける データ収集 〜 精度向上のための仕組み・倫理や社会性バイアス 〜SSII
このURLは存在しません。
■ なぜ一流企業はhttpsでの閲覧をさせないようにするのか 「かんたんログイン」などという似非認証方式は、たとえIPアドレス制限を実装したとしても安全でない。仕様が公開されていないからという点の他に、技術的な理由として、少なくとも次の2つがある。 「IPアドレス帯域」と俗称される重要情報が安全に配布されていない。 SSLを必要とするケータイサイトでは、通信経路上の攻撃によってなりすましログインされてしまう。*1 2番目には解決策がない。 1番目については解決策はあるだろうが、携帯電話事業者がサボタージュしていて、実現される見通しがない。これについては、2008年7月27日の日記にも書いたが、その後どうなったかを調べてみたところ、ソフトバンクモバイル以外は、何ら改善されておらず、当時のままだった。 NTTドコモ 「iモードセンタのIPアドレス帯域」のページをhttps:// でアクセスする
[気になる]JSONPの守り方
XSSにCSRFにSQLインジェクションにディレクトリトラバーサル……Webアプリケーションのプログラマが知っておくべき脆弱性はいっぱいあります。そこで本連載では、そのようなメジャーなもの“以外”も掘り下げていきます (編集部) JSONPだって、セキュリティを気にしてほしい 皆さんこんにちは、はせがわようすけです。今回は、JSONPを使用する場合のセキュリティについて解説しましょう。 JSONPとは、JSON with Paddingの名称が示しているとおり、JSON形式のデータにコールバック関数の呼び出しのためのコードを付加することで、クロスドメインでデータの受け渡しを実現するためのデータ形式です。JavaScriptからクロスドメインでのデータが簡単に扱えることなどを理由に、多数のWebアプリケーションでAPIの一部としてJSONP形式でデータの提供が行われています。 具体的な例を見
![[気になる]JSONPの守り方](https://cdn-ak-scissors.b.st-hatena.com/image/square/6e84fc6ab06f31b2e64248cbfc92fe06deb5bab5/height=288;version=1;width=512/https%3A%2F%2Fimage.itmedia.co.jp%2Fimages%2Flogo%2F1200x630_500x500_ait.gif)
JavaScriptでセキュアなコーディングをするために気をつけること – cybozu developer network
(著者:サイボウズ kintone開発チーム 天野 祐介) kintoneはJavaScriptを使って自由にカスタマイズすることができます。 カスタマイズにより独自のリッチなUIを構築したり、新しい機能を追加したりできるようになりますが、セキュアなコーディングをしないとクロスサイトスクリプティング脆弱性を作り込んでしまう危険性があります。 この記事では、JavaScriptでセキュアなコーディングをするための基本的な点を解説します。 主な原因 脆弱性を作り込む主な原因になるコードは、要素の動的な生成です。特に、レコード情報などのユーザーが入力した値を使って要素を生成するときに脆弱性が発生しやすくなります。 対策 document.write()やelement.innerHTMLを使って要素を生成するときは、コンテンツとなる文字列をかならずHTMLエスケープするようにしましょう。 以下は
2014年エイプリルフール跡地
► 2024 (1) ► 4月 (1) ► 2023 (2) ► 4月 (1) ► 3月 (1) ► 2022 (6) ► 12月 (1) ► 9月 (1) ► 7月 (1) ► 5月 (1) ► 3月 (1) ► 1月 (1) ► 2021 (1) ► 12月 (1) ► 2020 (4) ► 12月 (1) ► 11月 (1) ► 5月 (1) ► 3月 (1) ► 2019 (11) ► 12月 (2) ► 7月 (2) ► 5月 (2) ► 4月 (2) ► 3月 (1) ► 2月 (1) ► 1月 (1) ► 2018 (15) ► 12月 (3) ► 11月 (6) ► 10月 (2) ► 9月 (2) ► 3月 (1) ► 1月 (1) ► 2017 (17) ► 12月 (2) ► 11月 (1) ► 10月 (1) ► 9月 (2) ► 8月 (2) ► 7月 (1) ►
数字6桁パスワードのMD5ハッシュ値をOpenMPを使って総当たり - Tech-Sketch
皆さん、JALやANAのマイレージ番号は持っていますか。持っていらっしゃるエンジニアは、先日の JALマイレージWebサイトに不正アクセス、約2700万人にパスワード変更を依頼 (ITpro 2014/2/3) というニュースを見て、「数字4桁や6桁のパスワードなんてそもそもありえない」「脆弱な実装がとうとう公然化したか」と思ったことでしょう。実際数字6桁のパスワードハッシュなど、ごくシンプルなコードで一瞬で解析できてしまうのです。 「数字6桁パスワードのMD5ハッシュ値を総当たりする」という"お題" 「数字6桁パスワードのMD5ハッシュ値を総当たりする」というお題は、もともと kawasima氏 がQittaに投稿した パスワード問合せシステムを作る(clojureのreducers) に端を発します。 kawasima氏 に感謝を! 今回はこのお題を、Clojureと同じJVM上の言
正規表現によるバリデーションでは ^ と $ ではなく \A と \z を使おう
正規表現によるバリデーション等で、完全一致を示す目的で ^ と $ を用いる方法が一般的ですが、正しくは \A と \z を用いる必要があります。Rubyの場合 ^ と $ を使って完全一致のバリデーションを行うと脆弱性が入りやすいワナとなります。PerlやPHPの場合は、Ruby程ではありませんが不具合が生じるので \A と \z を使うようにしましょう。 はじめに 大垣さんのブログエントリ「PHPer向け、Ruby/Railsの落とし穴」には、Rubyの落とし穴として、完全一致検索の指定として、正規表現の ^ と $ を指定する例が、Ruby on Rails Security Guideからの引用として紹介されています。以下の正規表現は、XSS対策として、httpスキームあるいはhttpsスキームのURLのみを許可する正規表現のつもりです。 /^https?:\/\/[^\n]+$/
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
