Webセキュリティの小部屋

Twitter のフォローはこちらから Facebook ページはこちら Google+ページはこちら RSSフィードのご登録はこちらから

ブログ

2017年1月7日
ログアウトの CSRF 対策は本当に必要なのか?

はじめに Web アプリケーションのログアウト処理で、CSRF (クロスサイトリクエストフォージェリ)の対策をしているものは意外と少ないのではないかと思います。徳丸先生も以下のようにおっしゃっていますし。 ログアウト処理にCSRF対策していないサイトは多いので、ログアウト処理でもきっちりトークン入れとけば「こいつは堅そうだ」と攻撃者が避けて通る…という期待は甘いよね ^^; — 徳丸 浩...
>>続きを読む

2016年10月1日
無償SSL/TLS証明書の Let's Encrypt の設定が劇的に簡単になっていた

はじめに 無償で使用できる SSL/TLS 証明書の Let’s Encrypt は、以前から簡単に SSL/TLS 証明書を取得できたのですが、仕組みがバージョンアップしてさらに簡単になっていましたのでその手順をご紹介します。 以前、正式版リリース時に行った以下の設定方法は今も有効ですのでご心配なく。新しい方法は、環境によって動作しないことがあるようなので以下の方法があるということは知っ...
>>続きを読む

2016年9月11日
WordPress の常時 HTTPS 化によるアップデートエラー対処方法

WordPress 4.6.1 にアップデートするときにアップデートエラーが発生したのですが、自動更新が効かなかったようで、アップデートの督促メールが管理者宛に送られてきました。 仕方ないので、WordPress の管理画面からアップデートを行ったのですが、なぜか以下のエラーが表示されアップデートができません。環境は、CentOS6.8、PHP5.3.3、MySQL5.1.17 です。 Forb...
>>続きを読む

2016年8月15日
SiteGuard WP Plugin でスパムコメントを防ぐことができたので、Akismet を停止しました

WordPress のフリーのセキュリティプラグインである「SiteGuard WP Plugin」がスパムコメントに非常に有効なので、一般的に使用されているスパムコメント対策プラグインの「Akismet」を停止して1週間ほど観測していました。 少しぐらいスパムコメントが入ってくるかと思いましたが、全くそういうことはなくかなりいい感じです。 Akismet はインストール時の手続きが少々めんどうで...
>>続きを読む