概要 セッション認証とトークン認証について整理する。下記サイトで詳しく解説されていたので、自分はあくまで学びをアウトプットする目的として本記事を作成する。詳しく学びたい人は、こちらで確認してほしい。 早速だがセッション認証とトークン認証について、一言で言うと、セッション認証はサーバー側主体の認証方法であり、トークン認証はブラウザ側主体の認証方法である。 セッション認証 セッション認証は、ユーザがログイン成功した際に、ユーザ情報と紐付けたセッションIDを返す。ユーザはこのセッションIDをブラウザ上でクッキーとして保存して、サーバー側へリクエストを送る。具体的な流れを下記に示す。 ユーザがログイン認証を経て、サーバがユーザ情報と紐づけたセッションIDを発行する。 発行されたセッションIDをユーザのブラウザが受け取り、クッキーとして保存する。 クッキーとして保存されたセッションIDを用いて、ユー
鍵がいっぱいあるよこの記事は Eureka Advent Calendar 2021 の 13日目の記事です。 はじめにこんにちは、エウレカ SREチーム のハラダです! 2020年頃から今年にかけて、 エウレカのSREチームとSecurityチームではAWS IAMのセキュア化を注力ポイントのひとつとして、継続的に取り組んできました。 本記事では、その実践から学んできたIAM管理で守るべき大原則および、具体的にどうやってセキュアな理想像に近づけてきたか、今後の方向性などを話したいと思います。 Why “IAM” so important ?そもそもなんでIAMが注力ポイントなの?と疑問に思われる方もいるでしょう。 クラウドの大きな強みである「すべてをAPI経由で操作できる」という性質ゆえに、IAMは大きなAttack Surfaceでもあります。 Gartner社の予測によると、2023
AWSをはじめとするクラウドプラットフォームの普及に伴い、DevとOpsの境目はかなり曖昧になっています。その中でもIAMの管理は設定によっては権限昇格を引き起こしかねないことから、その管理権限は慎重な管理になりがちです。結果的に、IAMは属人的な管理を行っている組織が多いのではないでしょうか。 …
「SASE」(サッシー)の効果はテレワークのトラフィック改善だけではない――DX実践にも欠かせない:特集:クラウドを用いて「SASE」で統合 セキュリティとネットワーク(1) ガートナーが2019年に提唱したセキュリティフレームワーク「SASE」(サッシー)では、ネットワークとセキュリティを包括的に扱うことを目指している。クラウドを利用してネットワークトラフィックの負荷分散ができることはもちろん、「従業員が快適に仕事をする環境を整える」という情報システム部門本来のミッションを果たしやすくするものだという。ユーザー企業が自社のネットワークをSASE対応にするメリットは何か、どうすればSASE対応にできるのか、SASEサービスを選択する際に注目すべきポイントは何だろうか。
「【重要なお知らせ】セゾンカード‗お客様のカードご利用明細の内容をお知らせいたします」等のクレディセゾンを装う偽メールに注意
2. はせがわようすけ ▸OWASP Kansai チャプターリーダー ▸OWASP Japan アドバイザリボードメンバー ▸ネットエージェント株式会社サービス事業部 ▸株式会社セキュアスカイ・テクノロジー技術顧問 ▸Microsoft MVP for Consumer Security Oct 2005- Oct 2015 ▸http://utf-8.jp/ Kobe IT Festival 2014 4. ▸OWASP – Open Web Application Security Project ▸Webセキュリティを取り巻く問題を解決する ための国際的なコミュニティ ▸企業や国境の壁はもちろんのこと、あらゆる 専門知識と経験を持ったスペシャリスト、ま たユーザのコラボレーションにより、自由に 参加できる開放された活動を展開 ▸OWASP Foundation ▸2001年から活動
先日日本語訳版が発表されたばかりの OWASPアプリケーション検証標準 バージョン4(以下ASVS v4)を用いて、 Webアプリケーションセキュリティの評価をサービスに対して実施した感想などについて記載します。 ASVS v4は非常に包括的なWebアプリケーションセキュリティの評価ガイドラインです。 それこそ「エンジニア研修でまず最初に読もう!」と推進したくなるほど多角的に記載がされています。 どのぐらい包括的であるかについてですが、開発体制・ログ・認証・ログインフォームの設計・総当たりに対するアカウントロックの時間・GraphQLにおけるセキュリティなど、とにかく盛りだくさんな記載がされています。 すべてのエンジニアにとって必読の ASVS v4 こんにちは、佐分基泰と申します。 16年の新卒として入社し、サーバサイド -> 脆弱性診断士を経て、 現在はOSS Libraryセキュリテ
どうも!脆弱性診断士の西尾です! 今回は今更ながらEmotetについて調べてみたので、全体的な攻撃の流れや、各フェーズでの動作についてまとめてみました。 正直この記事を書くか迷ったのですが、Emotetの全体像を分かりやすく解説されてる記事があまりないなぁと感じたので、勇気を出して書いてみます。 ※ 本記事は2020年8月24日に執筆したものを追記して更新しています。一部古い情報が含まれている可能性があります。 【2022/3/8 追記】 Emotetは2021年1月以降、活動を一時停止1していましたが、2021年11月頃から活動を再開し始めました。2 また、2022年2月頃から感染が急拡大していることが報告されています。3 攻撃方法に大きな変化はないようですが、攻撃メールにExcelファイルを直接添付するパターン4や、偽のPDF閲覧ソフトをダウンロードさせるサイトに誘導するパターン5も確
関連キーワード ネットワーク・セキュリティ | セキュリティ対策 | 脆弱性 ネットワークの主要なプロトコル群に「TCP/IP」がある。その名の通りインターネット通信プロトコル「TCP」(伝送制御プロトコル)と「IP」(インターネットプロトコル)を中核としたプロトコル群だ。 TCP/IPを取り巻く“これだけの危険” 併せて読みたいお薦め記事 インターネット利用時のセキュリティ対策 「パスワードは最低12文字」では不十分? 在宅勤務での情報漏えいを防ぐ方法 在宅勤務を危険にする「知識不足」「モバイル」「不審ソフト」への対処法は? IoTデバイスで「IEEE 802.11」無線LANを採用すべき理由と、注意すべき限界 TCP/IPの基礎知識 いまさら聞けない「TCP/IP」と「OSI参照モデル」の違いは? 即時性か信頼性か、レイヤー4のプロトコル「TCP」と「UDP」 IPは、エンドポイント間
United States Computer Emergency Readiness Team (US-CERT)は8月20日(米国時間)、「2020 CWE Top 25 Most Dangerous Software Weaknesses|CISA」において、アメリカ合衆国国土安全保障省システムエンジニアリングおよび開発機関(HSSEDI: Homeland Security Systems Engineering and Development Institute)から、2020年Common Weakness Enumeration (CWE:共通脆弱性タイプ一覧)におけるソフトウェアに深刻な被害をもたらすおそれがある脆弱性トップ25が発表されたと伝えた。攻撃者はこうした脆弱性を悪用して影響を受けるシステムを制御したり、機密情報を窃取したり、サービス妨害攻撃(DoS: Denial
1. NIST:クラウドコンピューティング 参照アーキテクチャ 2. クラウドコンピューティング参照アーキテクチャ:概説 hidekazuna@gmail.com 3. 目次 • はじめに • 2.クラウドコンピューティング参照アーキテクチャ:概説 • 2.1 概念参照モデル • 2.2 クラウド利用者 • 2.3 クラウド提供者 • 2.4 クラウド監査人 • 2.5 クラウドブローカー • 2.6 クラウドキャリア • 2.7 提供者と利用者の制御スコープ 4. はじめに • これは、NIST Cloud CompuBng Reference Architecture( hHp://collaborate.nist.gov/twiki-‐cloud-‐compuBng/pub/CloudCompuBng/ ReferenceArchitectureTaxonom
技術選定について最近の私生活や労働を通して考えたことを、つらつらと書き下した文章(ポエム)です。 他者に伝えることではなく、頭の中におぼろげに存在する考えを言語化して客観視することを目的に書いた雑記なので、 誰かにとっては当たり前なことも、誰にも当てはまらないことも書いてあるかと思います。 またここで述べることは、こうやって書き下した時点での僕の考えに過ぎないので、明日僕は全く別の考えを持って行動しているかもしれません。 いわばこれは僕の思考のスナップショットです。 諸々、ご容赦ください。 技術選定そのもの ソフトウェアの開発においては、どこからが開発者の作るものの責務であり、どこからがその下のレイヤの責務であるかを(あるときには能動的な思考より、またあるときには受動的な思考により)明確にする、という知的活動を繰り返していくことになります。 この営みは、開発するソフトウェアに関する前提を定
完全に笑い話。 www.hackread.comwww.privateinternetaccess.com 香港を拠点とする"UFO VPN"なるサービス、この手のVPNではよくある「No Log Policy」(ログは一切取らない)を掲げてたにもかかわらず、ログどころかユーザ名・平文パスワード・IPアドレス・接続先・タイムスタンプ諸々が保存されていて、これが流出した。 しかも、発覚したきっかけは、VPNMenterと言う調査サービスがElasticsearchクラスタに894GBのデータベースがパスワード無しで保存されていたのを発見したこと、というアボガドバナナかと案件。 ほかにも"FAST VPN", "FREE VPN", "Super VPN", "Flash VPN", "Rabbit VPN"と言うサービスのデータも含まれていたが、どうやらサービスの名前だけ違って全て同じアプリ
回答 (2件中の1件目) 通信上で安全な仕組みかどうかについては 徳丸 浩 さんの回答を参照して下さい。 BASIC認証はどのくらい安全ですか?に対する徳丸 浩さんの回答 僕はなぜ BASIC 認証が安全ではない、と言われている理由を説明したいと思います。 BASIC 認証は HTTP(s) のリクエストを行う度にユーザ名およびパスワードが送信されます。かたや別の認証方式はそうではありません。 例えば OAuth では初回の認証を行った結果として「一時的な鍵」を渡される事になります。一旦認証が行われると以降はその鍵を使って HTTP(s) のリクエストを行います。もちろんこの鍵が...
「HTTPパスワード相互認証プロトコル」は、Webシステムでのフィッシング攻撃を防止するための、新しい認証プロトコルです。この認証プロトコルはPAKEと呼ばれる暗号・認証技術に新たな手法で改良を加え、ウェブの標準プロトコルであるHTTPおよびHTTPSに適用したもので、ユーザーがパスワードでサイトの真偽性を確認できる仕組みを提供することによりフィッシングを防止します。 研究の概要 お知らせ プロトコル仕様案 draft-04 を提出しました (2015/02/19) 実験用Webブラウザ を更新しました: Firefox 35.0 and draft-04 spec がベースです 2015/03/27公開 2015/03/31更新 2015/04/10更新 実験的 WEBrick サーバー を掲載しました 2015/03/27公開 2015/03/31更新 2015/04/10更新 HTT
はじめに X.509 証明書について解説します。(English version is here → "Illustrated X.509 Certificate") ※ この記事は 2020 年 7 月 1 日にオンラインで開催された Authlete 社主催の『OAuth/OIDC 勉強会【クライアント認証編】』の一部を文書化したものです。勉強会の動画は公開しており、X.509 証明書については『#4 X.509 証明書(1)』と『#5 X.509 証明書(2)』で解説しているので、動画解説のほうがお好みであればそちらをご参照ください。 1. デジタル署名(前提知識) この記事を読んでいただくにあたり、デジタル署名に関する知識が必要となります。つまり、「秘密鍵を用いて生成された署名を公開鍵で検証することにより」、「対象データが改竄されていないこと」や「秘密鍵の保持者が確かに署名したこと
Amazon Web Services ブログ AWS上でどのようにゼロトラストアーキテクチャを考えていくか 2021年7月追記: AWSにおけるゼロトラストに関するアップデートされた情報は、以下をご参照ください。 https://aws.amazon.com/jp/security/zero-trust/ また、本Blogを詳細にアップデートしたBlog記事もありますので適宜ご参照ください。 「ゼロトラストアーキテクチャ: AWS の視点」 https://aws.amazon.com/jp/blogs/news/zero-trust-architectures-an-aws-perspective/ —————————————————————– 厳しい規制への対応やリスク回避を考慮事項として擁するお客様は、レガシーアプリケーションのリファクタリングや新しいアプリケーションのデプロイに際
新型コロナウイルスの感染が拡大し、外出自粛が求められるなか、出社せず自宅などで仕事を進めるテレワークが広がっている。こうした動きに照準を合わせるように、不正サイトに誘導するサイバー攻撃の被害が国内で6500件超に上っていることが26日、分かった。世界では4万7千件を超える被害を確認、日本は米国に次ぐ多さだ。テレワーク需要が高まる一方で、急場しのぎの導入で余儀なくされたセキュリティー対策の脆弱(ぜいじゃく)さを突かれる事態となっている。(玉崎栄次) 情報セキュリティー会社「トレンドマイクロ」によると、1~3月にコロナウイルス感染症を示す「covid」の文字列などを含む不正サイトへのアクセスは計約4万7610件。うち日本の被害は6559件(14%)となり、米国の7151件(15%)に次いで多かった。ドイツ4689件(10%)、フランス3868件(8%)と続いた。 テレワークでは、セキュリティー
昨日の完成したぞエントリーに続き、『AWSの薄い本 アカウントセキュリティのベーシック』関連のエントリーです。 私は今まで、あまりセキュリティって好きな分野では無かったです。もちろん必要性は解っていて、その対策等をいろいろ考えてはいたのですが、どこか自分の仕事じゃないなぁと思っていた部分があります。今回、AWSのアカウントセキュリティ本を書いて、ようやく腑に落ちました。それをまとめたのが、次のツィートです。 AWSのアカウントセキュリティ本書き終わって、今までセキュリティとか、その周辺の事項が好きじゃなかった。その理由が、ようやく確信に近いものを得た。あの領域の多くが、人間ではなくてコンピュータにやらした方が向いている。今まで解ってなかった— Takuro SASAKI@技術書典-1日目 (@dkfj) 2020年3月23日 24時間365日での自動攻撃。では、防御は? 攻撃者が24時間3
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く