■ はじめに https://dk521123.hatenablog.com/entry/2017/02/26/231046 の続き。 今回は、AWSでの多要素認証（MFA）について扱う。 なお、多要素認証（MFA）については、以下の関連記事を参照のこと。 多要素認証（MFA：Multi-Factor Authentication） https…

【AWS】IAM ～ 多要素認証（MFA）の設定 ～

■ はじめに 今回は、Githubでの多要素認証（MFA）について扱う。 なお、多要素認証（MFA）については、以下の関連記事を参照のこと。 多要素認証（MFA：Multi-Factor Authentication） https://dk521123.hatenablog.com/entry/2019/10/03/222600 ■ 設定方法 …

【Github】Github ～ 多要素認証（MFA）の設定 ～

■ はじめに ファイルの暗号化・複合化できるツールを纏める ■ 関連用語 PGP(Pretty Good Privacy=かなり良いプライバシー) Philip Zimmermannが開発した暗号ソフトウェア GPG (GnuPG; GNU Privacy Guard) PGPをベースとした標準仕様 OpenPGP を実装したソフ…

【フリーソフト】暗号化・複合化ツール ～ GPG4WIN ～

■ はじめに 二要素認証/多要素認証（MFA：Multi-Factor Authentication）について 触れる機会があったので、まとめる ■ 多要素認証とは 認証の以下の3要素のうち、2つ以上を組み合わせて認証すること ～～～～ １）知識情報（Something You KNOW） ... 例：…

多要素認証（MFA：Multi-Factor Authentication）

■ 公開鍵認証とは * 秘密鍵と公開鍵という鍵ペアを使用する認証方式 * 公開鍵認証では、パスワードを入力しないため、パスワードがネットワーク上を流れることがないため、 パスワードの盗難や推測などの攻撃を防ぐことができる => 逆に鍵が盗まれたらアウト…

【Linux】 SSH公開鍵認証方式

■ ブロック暗号 以下の手順で暗号化する [1] データを一定の長さに切る(この固定長のデータをブロックと呼ぶ) [2] [1]のブロック単位で暗号化する ■ 暗号利用モード (1) ECBモード (Electronic Codebook Mode) (2) CBCモード (Cipher Block Chaining Mode) (…

【セキュリティ】 暗号に関わる用語

■ 比較 * 以下の機関やサイトで比較した結果をみてみる + AV-Test + AV-comparatives + その他 AV-Test * ドイツにある独立系のセキュリティ製品の評価を行う第三者テスト機関 2017年10月 / Windows https://www.av-test.org/en/antivirus/home-windows/wind…

【Windows】【Linux】【セキュリティ】ウィルス スキャン ソフトの比較

■ はじめに AWS での セキュリティ について、少しづつまとめる 目次 【１】セキュリティ関連のAWSサービス 【２】考慮できること 【１】セキュリティ関連のAWSサービス 主なAWSサービスは以下の通り。 １）IAM ２）AWS Inspector ３）AWS WAF ４）AWS Shiel…

【AWS】AWS の セキュリティを考える

■ DES (デス。Data Encryption Standard) * 64ビットのキーを利用(8ビットはパリティとして使うため、実際は、56ビット) 注意点 * 脆弱性(総当たり攻撃、差分解読法、線形解読法)が見つかっているため、 現在使用すべきではない 参考文献 http://msdn.micros…

【セキュリティ】 暗号化アルゴリズム ～ 共通鍵暗号アルゴリズム編 ～

セキュリティ攻撃 [1] ブルートフォース攻撃(総当たり攻撃) [2] レインボー攻撃 [1] ブルートフォース攻撃(総当たり攻撃) * 総当たり的にハッシュ値を計算することでパスワードを推察する [2] レインボー攻撃 * 予め任意の文字列をハッシュ値に変換しておき…

【セキュリティ】 パスワード について

WS-Security * WS-Security : Web Services Security、WSS * Webサービス（SOAP）をセキュアに通信するためのプロトコル * SSLには依存しない （アプリケーション層で動作するSOAPメッセージへのヘッダにセキリュティ機能を導入している） 主な機能 [1] セキ…

【プロトコル】【セキュア】 WS-Security

Web開発で気をつける事項 【1】 アドレスバー/ステータスバー/右クリックメニューを非表示にしない 【2】 SSLサイトの場合、画像/JS/CSSなどもHTTPS通信にする 【3】frame/iframe を極力使用しない 【1】アドレスバー/ステータスバー/右クリックメニューを非…

【セキュリティ】 Web開発で気をつける事項

■ クリックジャッキング（Clickjacking） * 悪意のあるサイト上でクリックした時に、別サイトの設定情報を変更させる 具体的には... 1) 攻撃者のページは、iframeなどで他のページを表示 2) そのページに重ねて悪意のあるボタンをそのページと同じ配置で設置…

【セキュリティ】 iframe に関わるセキュリティ攻撃

はじめに * 脆弱性を知って、そのアルゴリズムを使わせないようにし、セキュリティ強化する ■SSL全般 * ここでいうSSLは、SSLv1.0～3.0 SSL1.0 * 設計レビューの時点でプロトコルの脆弱性が発見されたため破棄(一般にはでてない？) SSL2.0 * 通称「DROWN（De…

【セキュリティ】SSL / TLS 脆弱性

[1] X-Content-Type-Options 内容からのコンテントタイプの推測しない X-Content-Type-Options: nosniff 参考文献 MSDN https://msdn.microsoft.com/ja-jp/library/gg622941.aspx その他一般サイト http://d.hatena.ne.jp/hasegawayosuke/20110106/p1 http:/…

【セキュリティ】セキュリティ強化に有効なレスポンス・ヘッダー

■ 前提知識：DNSとは * 以下の関連記事を参照のこと http://blogs.yahoo.co.jp/dk521123/34548384.html * ここで、重要な点は、上記の関連記事の「DNSへの問い合わせシーケンス」の以下の記述。 =>「 [7] DNSサーバは、上位DNSサーバから得た回答をクライア…

【セキュリティ】DNSに関するセキュリティ攻撃

■ IP スプーフィングとは？ IP スプーフィング(IP Spoofing, Spoof : だます、Spoofing：なりすまし)とは... * 攻撃元の IP アドレスを隠ぺいするために、偽の送信元IPアドレスを持ったパケットを作成し送ること ■ 問題 * 攻撃元がわからなくなるため、 「ポ…

【セキュリティ】IP スプーフィング(IP Spoofing)

■ はじめに Wise men learn by other men's mistakes; fools by their own https://dk521123.hatenablog.com/entry/2016/07/02/212547 の続き。 SQLインジェクション(SQL Injection, Injection:混入) について、学ぶ ■ SQLインジェクションとは？ * SQL命令…

【SQL】SQL アンチパターン ～ SQL Injection(SQLインジェクション) ～

【1】セッションハイジャック（Session Hijack） セッションハイジャック（Session Hijack）とは... * セッションIDやセッション・クッキーを盗むことにより、 別のユーザーがなりすまして、インターネットに不正アクセスする手口。 【例】 * 以下に書かれて…

【セキュリティ】セッション操作関連

【1】パス トラバーサル（パスの乗り越え） パス トラバーサル（パスの乗り越え） / ディレクトリ トラバーサル（Directory Traversal）とは... * 上位ディレクトリへの移動コマンド「../」などで、上位ディレクトリをさかのぼり（横断して = Traversal）、 …

【セキュリティ】パス・ディレクトリ操作関連

■ クロス・サイト・リクエスト・フォージェリ クロス・サイト・リクエスト・フォージェリ (Cross Site Request Forgeries; CSRF（シーサーフ）)とは サイトに、スクリプトや自動転送によって、 ユーザに意図せず別のサイトで、掲示板への書き込みなどを行わ…

【セキュリティ】クロス・サイト・リクエスト・フォージェリ

■ クロスサイトスクリプティング クロスサイトスクリプティング(XSS / CSS:Cross Site Scripting)とは ページ内に悪意のスクリプトやタグが埋め込まるセキュリティホールの一種。 ■ 問題 * スクリプトを自由に実行できてしまうこと。 ■ 具体的な被害 * 具体…

【セキュリティ】クロス・サイト・スクリプティング

■ Ajax特有のリスク * Ajax特有のリスクを考える。 http://www.websec-room.com/2013/07/28/876 http://d.hatena.ne.jp/ockeghem/20110907/p1 が参考になる 【1】XSS 1-1) 対応 (1) 「X-Requested-With: XMLHttpRequest」 のあるリクエストのみを許可する =>…

【Ajax】 Ajaxにおけるセキュリティ

SSL / TLS SSL（Secure Socket Layer） * ネット上で情報を暗号化して送受信できる仕組み TLS(Transport Layer Security) * SSLをベースとした標準化した暗号通信プロトコル。RFC2246として規格化されている。 * 以下の表を見る限り、SSLより優れてる？ http…

【プロトコル】SSL / TLS ～知識編～

■ はじめに http://codezine.jp/article/detail/105 http://d.hatena.ne.jp/ozuma/20130511/1368284304 などを使って、SSL通信を学ぶ。 補足：暗号化に関わる用語 * 以下の関連記事を参照のこと https://blogs.yahoo.co.jp/dk521123/37269757.html ■ 用語整…

【プロトコル】SSL / TLS ～用語・拡張子編～

■ はじめに 理解するために、いくつかの工程を踏んで、公開鍵暗号法について理解する ■ 用語 * 公開鍵 ... 暗号化だけできる鍵 * 秘密鍵 ... 複合化だけできる鍵 よく、以下のように例えられる。 * 秘密鍵 ... 鍵 * 公開鍵 ... 南京錠 https://www.b-chan.jp…

公開鍵暗号法について

[1]スクリプト関連 [1-1] クロス・サイト・スクリプティング * ページ内に悪意のスクリプトやタグが埋め込まるセキュリティホールの一種。 * 詳細は、以下の関連記事を参照のこと。 http://blogs.yahoo.co.jp/dk521123/35715410.html [1-2] クロス・サイト・…

【セキュリティ】セキュリティ攻撃一覧