QA@IT

そのギモンは、あなただけのもの?

ITエンジニアが日々遭遇する課題やトラブルはたいてい、1人だけが出合うものではありません。QA@ITで質問・回答を共有しませんか?

タグ security で絞り込んだ結果 - 解除 Feed icon

セキュリティ超初心者です。 ユーザーが入力したパスワードを元に、 ユーザーデータを256bitのAESで暗号化したいのですが、 暗号鍵はどのように作成するのが安全でしょうか? データはユーザー環境で暗号化します。 暗号理論は全くわかりませんが、とりあえず思いついたのが、 ① パスワードをそのまま鍵にする。 鍵長が足りない部分はソルトを足す。 (パスワードが長すぎる場合は?) ② パスワードに...

SSLサーバ証明書を使わないで通信内容を暗号化できる仕組みとして 『SHTTP』 というものを考えてみたのですが、 これは十分に "Secure"なものになっているでしょうか? GitHubにソースコードと概要イメージを掲載しています。 GitHub https://github.com/sklab/SHTTP/ デモサイトhttp://shttp-eu.herokuapp.com/samp...

こんばんは。Web アプリケーションの認証とセキュリティに関して教えて下さい。 Rails のセッション管理 Rails は RESTful な Web アプリケーションの構築を可能にするとは言っていますが、実態としてはサーバーサイドに保持し、セッション ID は Cookie に保存しているものだと思っています(Rails の経験が殆ど無いので間違っていたらすみません)。 で、最近こちらの...

セキュリティについてかなり初心者です。 現在instagram apiを使ったサービスを作っているのですが、以下のようなapiを叩くとき、js側で叩いても良いのでしょうか?jsに書いてしまうと他の人にaccesstokenがわかってしまうので。 https://api.instagram.com/v1/users/{USER_ID}/media/recent/?access_token={A...

パスワードの漏洩事件のあったLinkedInのブログで、今後パスワードをソルトつきのハッシュで保存するという記事を読みました。ソルトとはなんでしょうか?

定時遠隔バックアップを設計しています。DBなどは個別に対応して、その他の一般のファイルはrsyncをcronで実施すればいいかなと思っています。 ところでrsyncなのでSSH接続するかと思いますが(あるいはするべきかとおもいますが)、cronなのでパスワードを入力することができません。そこでパスフレーズなし公開鍵による認証をすればよいのは分かりましたが、この秘密鍵が流出してしまうと、いきな...

HTTPSにより入力データを暗号化する場合、データを受け取るページをHTTPSにしておけば、ユーザの入力値は暗号化され、盗聴されることはないと思います。しかし、HTTPSを使う場合は、入力画面のページからHTTPSにしないと意味がないと聞きました。その理由はなんでしょうか?