Webセキュリティの小部屋

Twitter のフォローはこちらから Facebook ページはこちら Google+ページはこちら RSSフィードのご登録はこちらから

ブログ

2014年11月8日
秘密の質問は本当に必要なのか

最近、サービスで秘密の質問と答えを要求するものが増えてきていますが、秘密の質問は本当に必要なのでしょうか。秘密の質問には、いろいろと疑問点があるので、少し考察してみたいと思います。 まず、秘密の質問を使用しているのは、どのような状況でしょうか。現状では、以下の場合が想定されます。 パスワードを忘れてしまったため、パスワードを再発行するための本人確認として使用する 定期的に秘密の質問を要求すること...
>>続きを読む

2014年10月6日
Apache のネームベースの VirtualHost で SSL を使えるようにする

Apache で動作しているサーバーを VirtualHost にしたら、SSL 通信ができなくなってしまったので、備忘録を兼ねて対応方法をメモしておきます。 事前に、サーバー証明書がサーバーに導入されていることを前提としています(当然ですね)。 動作確認は、CentOS 6.5 + Apache 2.2.15 で行っています。 設定は、httpd.conf を編集します。 #...
>>続きを読む

2014年9月7日
Rails の CSRF 対策はよくできているらしい

RailsのCSRF対策の仕組みについて - Programming log - Shindo200 上記記事は、Rails のソースコードにまで踏み込んで、Rails の CSRF 対策について調べている良記事だと思います。 Rails は HTML を生成するときに、自動的に CSRF のトークンをフォームに出力して自動で CSRF 対策をしてくれるようですね。しかも、Ajax 通信の場合は、...
>>続きを読む