Webセキュリティの小部屋

Twitter のフォローはこちらから Facebook ページはこちら Google+ページはこちら RSSフィードのご登録はこちらから

ブログ

2015年3月22日
PHP Web アプリケーションセキュリティ対策の良スライドまとめ

はじめに Web アプリケーションセキュリティとなると情報が出揃ってきた感もありますが、PHP に関して言うと Web でも情報が足りないと感じています。 PHPに関して情報がないかなぁと思って調べてみると、SlideShare でよい感じのスライドがあったので、まとめてご紹介します。   基本的な対策 まずは、徳丸さんのスライドです。これは外せないですね。PHP の脆弱性だけでなく、PHP のラ...
>>続きを読む

2015年3月15日
安全なログインとパスワードの実装方法

はじめに 最近は、IPAが無料で公開している「安全なウェブサイトの作り方」や、書籍の「体系的に学ぶ 安全なWebアプリケーションの作り方」のおかげで、Web アプリケーションをどのように作れば安全になるかという情報が手に入りやすくなりました。 一方で、「じゃあ、具体的にどうするの?」となったとき、ネットで調べても断片的な情報しか入手できません。特に、ログインやパスワードの実装方法についての...
>>続きを読む

2015年3月12日
オープンソースの JavaScript パスワード強度判定ライブラリの「Password Checker」を公開しました

タイトルの通りですが、オープンソースの JavaScript パスワード強度判定ライブラリの「Password Checker」を公開しました。 JavaScript パスワード強度判定ライブラリ「Password Checker」 ライセンスは、商用利用可能、クレジット表記なし、改変可能です。 ライセンス自体は以下に記載してあります。 ライセンス JavaScript のパスワード強度判定...
>>続きを読む

2015年3月4日
そろそろ脆弱性診断についてひとこと言っておくか

なにやら脆弱性診断が熱いっぽいので、ユーザー企業のセキュリティ担当だった立場から、ぼちぼち述べてみます。 脆弱性診断その前に Web 診断業者に、脆弱性診断を頼む前にユーザー企業で取り組んでおくべきことがあります。 これを抜きにして脆弱性診断を行っても、時間とお金ばかりかかって成果を上げられません。 セキュリティ標準の策定 ユーザー企業でまず行わなければいけないのは、経営層を巻き込んだ「セキュリテ...
>>続きを読む

2015年3月2日
世の中にはパスワードを平文で送付するサイトがあふれているらしい

信じがたいことですが、いまだ世の中にはパスワードを平文でユーザーに送付するサイトが多数存在するようです。 100件達成! やったね! パスワードを平文で送ってくるっぽいサイトまとめ https://t.co/8MfOmruhjN — JZ5 (@jz5) 2015, 3月 2 IT業界に身を置いたことがある人間からすると考えられない実装だと思いますが、どうしてこんなサイトが多数存在するのでしょ...
>>続きを読む