Webセキュリティの小部屋

Twitter のフォローはこちらから Facebook ページはこちら RSSフィードのご登録はこちらから

ブログ

2015年3月15日
安全なログインとパスワードのPHP実装例

はじめに 最近は、IPAが無料で公開している「安全なウェブサイトの作り方」や、書籍の「体系的に学ぶ 安全なWebアプリケーションの作り方」のおかげで、Web アプリケーションをどのように作れば安全になるかという情報が手に入りやすくなりました。一方で、「じゃあ、具体的にどうするの?」となったとき、ネットで調べても断片的な情報しか入手できません。特に、ログインやパスワードの実装方法についての...
>>続きを読む

2015年3月12日
オープンソースの JavaScript パスワード強度判定ライブラリの「Password Checker」を公開しました

タイトルの通りですが、オープンソースの JavaScript パスワード強度判定ライブラリの「Password Checker」を公開しました。 JavaScript パスワード強度判定ライブラリ「Password Checker」 ライセンスは、商用利用可能、クレジット表記なし、改変可能です。 ライセンス自体は以下に記載してあります。 ライセンス JavaScript のパスワード強度判定...
>>続きを読む

2015年3月4日
そろそろ脆弱性診断についてひとこと言っておくか

なにやら脆弱性診断が熱いっぽいので、ユーザー企業のセキュリティ担当だった立場から、ぼちぼち述べてみます。 脆弱性診断その前に Web 診断業者に、脆弱性診断を頼む前にユーザー企業で取り組んでおくべきことがあります。 これを抜きにして脆弱性診断を行っても、時間とお金ばかりかかって成果を上げられません。 セキュリティ標準の策定 ユーザー企業でまず行わなければいけないのは、経営層を巻き込んだ「...
>>続きを読む

2015年3月2日
世の中にはパスワードを平文で送付するサイトがあふれているらしい

信じがたいことですが、いまだ世の中にはパスワードを平文でユーザーに送付するサイトが多数存在するようです。100件達成! やったね! パスワードを平文で送ってくるっぽいサイトまとめ https://t.co/8MfOmruhjN — JZ5 (@jz5) 2015, 3月 2IT業界に身を置いたことがある人間からすると考えられない実装だと思いますが、どうしてこんなサイトが多数存在するのでしょ...
>>続きを読む

2015年2月28日
自動ログインは危険なものなのか?

先日、「僕が考える最強の自動ログイン方法」という記事で、安全な自動ログインの方法と PHP による実装を紹介しました。 その後、とあるメジャーなサイトで「安全性が重要なサイトでは自動ログインは実装してはいけません」との記載があったので、少し考えていました。 自動ログインを禁止すべきケースとはどんなときなのでしょうか? まず、想定されるのが、ユーザーが不適切な方法で自動ログインを利用するケース...
>>続きを読む