Webセキュリティの小部屋

Twitter のフォローはこちらから Facebook ページはこちら Google+ページはこちら RSSフィードのご登録はこちらから

ブログ

2014年11月8日
秘密の質問は本当に必要なのか

最近、サービスで秘密の質問と答えを要求するものが増えてきていますが、秘密の質問は本当に必要なのでしょうか。秘密の質問には、いろいろと疑問点があるので、少し考察してみたいと思います。 まず、秘密の質問を使用しているのは、どのような状況でしょうか。現状では、以下の場合が想定されます。 パスワードを忘れてしまったため、パスワードを再発行するための本人確認として使用する 定期的に秘密の質問を要求すること...
>>続きを読む

2014年10月6日
Apache のネームベースの VirtualHost で SSL を使えるようにする

Apache で動作しているサーバーを VirtualHost にしたら、SSL 通信ができなくなってしまったので、備忘録を兼ねて対応方法をメモしておきます。 事前に、サーバー証明書がサーバーに導入されていることを前提としています(当然ですね)。 動作確認は、CentOS 6.5 + Apache 2.2.15 で行っています。 設定は、httpd.conf を編集します。 [...
>>続きを読む

2014年9月7日
Rails の CSRF 対策はよくできているらしい

RailsのCSRF対策の仕組みについて - Programming log - Shindo200 上記記事は、Rails のソースコードにまで踏み込んで、Rails の CSRF 対策について調べている良記事だと思います。 Rails は HTML を生成するときに、自動的に CSRF のトークンをフォームに出力して自動で CSRF 対策をしてくれるようですね。しかも、Ajax 通信の場合は、...
>>続きを読む

2014年9月7日
サンプルコードのライセンスを明記しました

今まで当サイトのライセンスを明記していなかったのですが、それだとサンプルコードを利用する場合にライセンスの不安が生じていたと思います。 ですので、サンプルコードのライセンスを明記したページを作成しました。 具体的には、以下の内容になります。 当サイトの掲示物の著作権は全て当サイトに属するものとします。 但し、記事内のサンプルコード(設定ファイル、コマンド含む)については、以下の...
>>続きを読む

2014年8月30日
IPA が「ウェブサイト改ざんの脅威と対策」という有用な資料を公開

はじめに IPA が「ウェブサイト改ざんの脅威と対策」という有用な資料を公開しました。 IPAテクニカルウォッチ「ウェブサイト改ざんの脅威と対策」 この資料は以下の点において非常に有用だと思います。 Web サイトのセキュリティには経営層の関与が重要だと強調している Web サイト関係者の役割を4つに分類している Web サイト改ざんの手口を具体的に示している 上記を踏まえ、対策方法とチェック...
>>続きを読む