Webセキュリティの小部屋

Twitter のフォローはこちらから Facebook ページはこちら Google+ページはこちら RSSフィードのご登録はこちらから

ブログ

2015年3月4日
そろそろ脆弱性診断についてひとこと言っておくか

なにやら脆弱性診断が熱いっぽいので、ユーザー企業のセキュリティ担当だった立場から、ぼちぼち述べてみます。 脆弱性診断その前に Web 診断業者に、脆弱性診断を頼む前にユーザー企業で取り組んでおくべきことがあります。 これを抜きにして脆弱性診断を行っても、時間とお金ばかりかかって成果を上げられません。 セキュリティ標準の策定 ユーザー企業でまず行わなければいけないのは、経営層を巻き込んだ「セキュリテ...
>>続きを読む

2015年3月2日
世の中にはパスワードを平文で送付するサイトがあふれているらしい

信じがたいことですが、いまだ世の中にはパスワードを平文でユーザーに送付するサイトが多数存在するようです。 100件達成! やったね! パスワードを平文で送ってくるっぽいサイトまとめ https://t.co/8MfOmruhjN — JZ5 (@jz5) 2015, 3月 2 IT業界に身を置いたことがある人間からすると考えられない実装だと思いますが、どうしてこんなサイトが多数存在するのでしょ...
>>続きを読む

2015年2月28日
自動ログインは危険なものなのか?

先日、「僕が考える最強の自動ログイン方法」という記事で、安全な自動ログインの方法と PHP による実装を紹介しました。 その後、とあるメジャーなサイトで「安全性が重要なサイトでは自動ログインは実装してはいけません」との記載があったので、少し考えていました。 自動ログインを禁止すべきケースとはどんなときなのでしょうか? まず、想定されるのが、ユーザーが不適切な方法で自動ログインを利用するケースです。...
>>続きを読む

2015年2月22日
僕が考える最強の自動ログイン方法

Web アプリケーションの自動ログイン方法をネットで調べてみると、内容が不完全だったりセキュリティ上問題のある情報しか見つかりません。自動ログインは一般的であるにも関わらず、議論の土台すらネット上で示されていないのは問題だと感じます。 という訳で、タイトルは釣りですが、自動ログイン処理をどのように行えばよいか真面目に考察し、PHP での実装例を示してみます。 本当は、セキュリティでガチガチに固...
>>続きを読む

2015年1月4日
年末の「朝まで生セキュリティ」を視聴した感想

2014年12月30日の19:00〜23:00位までの間、徳丸さん、辻さん、武田先生といったセキュリティ業界の有名人の方々が集まって、セキュリティに関するディスカッションを行い、その内容が Ustream で配信されました。 これならお金が取れるのではないかという豪華なメンバーと内容を無料で視聴できたことに感謝です。 時間が経ってしまったので、若干記憶があいまいになってしまいましたが感想を書いてみ...
>>続きを読む