Webセキュリティの小部屋

Twitter のフォローはこちらから Facebook ページはこちら Google+ページはこちら RSSフィードのご登録はこちらから

ブログ

2016年5月10日
WordPress のセキュリティ対策(まとめ的なもの)

はじめに WordPress のセキュリティ対策は、情報が氾濫していて悩んでいる方もいるかもしれません。 そこで、WordPress を守るためにはどうするのがよいのかを、ネット上の記事と自分が行っている対策を元に、できるだけ簡潔にまとめてみました。 WordPress のセキュリティ対策 現状だと WordPress のセキュリティ対策は、以下の4点に集約されます。 Wor...
>>続きを読む

2016年5月6日
Apache で SSL/TLS 証明書を使用したサイトの評価を A+ にする

下記記事の内容により、Let’s Encrypt の SSL/TLS 証明書の導入・設定が済みました。 無料SSL/TLS証明書のLet’s Encryptが正式版になったので自動更新を含めて試してみた ですが、これで設定が全て完了したわけではなく、SSL/TLS 証明書の Apache の設定をしないと、POODLEなどの脆弱性を含んだ状態でサイトを公開することになってしまいます...
>>続きを読む

2016年4月20日
WordPress のサイトを 完全 HTTPS 化してみた

 はじめに 無償の SSL/TLS 証明書である Let’s Encrypt が正式リリースされたことにより、これから個人ブログなど多くのサイトが HTTPS 化していくと思われます。 というのも、サイトの HTTPS 化は通信を暗号化することで、改ざんされてないデータを送受信できるメリット以外に、Google が SEO に有利になると明言しているためです(若干らしい)。 しかし、...
>>続きを読む

2016年4月18日
CNET のログイン画面がセキュリティ的にとてもいけてない件

たまたま見つけたのですが、CNET の会員ログイン画面がセキュリティ的にとてもいけていません。 具体的には以下のようになります。   このポップアップされたログイン画面は HTTP で暗号化されないで表示されているので改ざんされるリスクがあります。 また、ソースコードを見る限り、ログイン先のアドレスは HTTPS で暗号化されてはいますがユーザーがそれを確認するにはソースコードを読む必要がありま...
>>続きを読む

2016年4月18日
一部の IT ベンダーは自分が認証局になって SSL/TLS 証明書を発行しているみたい

Gmail の SSL/TLS 証明書の認証情報を確認していて気がついたのですが、一部の IT ベンダーは自分が認証局になって SSL/TLS 証明書を発行しているっぽいですね。 いくつか見てみましょう。 まずは、Google の Gmail で使用されている SSL/TLS 証明書の認証情報です。 発行元が Google Inc になっていて、しかもワイルドカード認証になっていますね。これなら ...
>>続きを読む