QA@IT

そのギモンは、あなただけのもの?

ITエンジニアが日々遭遇する課題やトラブルはたいてい、1人だけが出合うものではありません。QA@ITで質問・回答を共有しませんか?

タグ security で絞り込んだ結果 - 解除 Feed icon

セキュリティ超初心者です。 ユーザーが入力したパスワードを元に、 ユーザーデータを256bitのAESで暗号化したいのですが、 暗号鍵はどのように作成するのが安全でしょうか? データはユーザー環境で暗号化します。 暗号理論は全くわかりませんが、とりあえず思いついたのが、 ① パスワードをそのまま鍵にする。 鍵長が足りない部分はソルトを足す。 (パスワードが長すぎる場合は?) ② パスワードに...

セキュリティーブログを書こうと思ってたのですがまだまだ初心者なもので先日ZeuSの2012年バージョンと思われるものをいただいたのですが ローカルでしか使用できません。mysqlサーバーはレンタルサーバーのものでかりて色々試してみたのですがうまくいきません こちらを参考にやってみたのですがいまいちわかんなくてここで質問することにしました。 セキュリティ関連のブログ書いてる方や詳しく教えてくれ...

インターネットを介した、業務用途でのWebアプリケーションの構築に関して質問です。 自社の商品などをブラウザや専用アプリケーションからWeb上に登録し、 それを得意先に閲覧してもらい発注を受ける、というようなものを想定しています。 システムとしては、普通のレンタルサーバを借り、 そこにPHP+MySQLかなにかで作ったWebアプリ(というかWebページ?)を置くとします。 ここで質問です。 ...

PCに自動的にPC修復の広告を出して来たり、flashPlayerの最新版を インストールするようなメッセージがでてきたりしています。 しらべてみると、Extended Updateというものが勝手にPCに インストールされたらしく、コントロールパネル→プログラムのアンインストールで、 Extended Updateをアンインストールしただけでは、削除されないようです。 Extended U...

自社で情報システム管理を担当しております。 このたび、自社内でRedmineシステムを構築し、運用をすることになりました。 このRedmineシステムの利便性向上のため、いくつかのプラグインを導入することを考えております。 これらプラグインを導入する際に、その安全性をどのように担保するべきか悩んでおります。 環境としては、 DMZに配置し、社内・社外からのアクセスが可能 アクセス可能なユーザ...

ProxyServerについて質問します。 ProxyServerの役割として一般的には以下のことが言われていますが、 1.クライアントPCから外部のサイトへの代理アクセスを行う。 2.特定のWebサイトへのアクセス禁止を行う。 3.キャッシュ機能により、一度アクセスしたサイトには、直接アクセスせず、Proxyのキャッシュデータを返す。 そのため、レスポンスが早くなる。 4.外部(社外)から...

『「例の」情報漏洩報道』でも騒がれているように我が社でも情報漏洩対策の見直しをやっています。 派遣社員に『「例の」情報漏洩報道』のようになる情報を扱っているか。 のアンケートをお願いしたところ全員が「ある」と回答しました。 派遣社員にこのような情報を「直接」扱わせないために、データベースの「暗号化」が有効なのではと思いました。 そこで素朴な疑問が発生したのですが、「暗号化」したら簡単に元の情...

こんにちは。 以前、特に銀行のオンラインバンキングサイトなどで、アドレスバーを隠す実装が多かったそうですが、 最近はセキュリティ上問題があると指摘されています。 それでは、なぜ以前はアドレスバーを隠していたのでしょうか。 どうも気になって理由を考えていたのですが、わからず質問させていただきます。 他の技術者の方にきいたところ、 「利用者に関係のない情報を表示することは逆に悪用の危険性が高まる...

以下のようなコードがあります。 def tables Rails.application.eager_load! if Rails.env.development? @models = ActiveRecord::Base.descendants.map(&:base_class).uniq.sort_by(&:name) end このコードが、以下に説明する処理を実行したあと、Securi...

SSLサーバ証明書を使わないで通信内容を暗号化できる仕組みとして 『SHTTP』 というものを考えてみたのですが、 これは十分に "Secure"なものになっているでしょうか? GitHubにソースコードと概要イメージを掲載しています。 GitHub https://github.com/sklab/SHTTP/ デモサイトhttp://shttp-eu.herokuapp.com/samp...

こんばんは。Web アプリケーションの認証とセキュリティに関して教えて下さい。 Rails のセッション管理 Rails は RESTful な Web アプリケーションの構築を可能にするとは言っていますが、実態としてはサーバーサイドに保持し、セッション ID は Cookie に保存しているものだと思っています(Rails の経験が殆ど無いので間違っていたらすみません)。 で、最近こちらの...

Windows Server 2008 R2+IIS 7.5にてクライアント認証を行いたいと依頼があり、テスト的に環境を構築しているのですが、クライアント証明書をインストールしてもエラーが発生してしまいます。 エラー内容:”403.7:アクセスしようとしているページでは、Web サーバーが認識できる SSL (Secure Sockets Layer) クライアント証明書がブラウザーに必要で...

企業ユースでメールや社内システムでダウンロードしたデータ(Office、PDF、テキスト)を削除する方法を考えてます。 ベンダーに声をかけましたが、あまり実績がないため専用アプリの開発、という答えが多いです。 こういった使い方(以下<利用方法>に記載)をしている企業は多いと思うのですが、何かいい方法はないでしょうか。 <利用方法> WEBアプリケーション(WEBメール、WEB社内システム)で...

ネットワーク内にFirewallが設置されており、内部のネットワークはDMZとLANに分かれています。 DMZ側にはグローバルIPが振られ、外部からアクセスできます。 LAN側にはローカルIPが振られ、外部からはアクセスできないようになっています。 この環境でサーバーを構築したいと思っています。 何台もサーバーをおけないため、仮想化を行う予定です。サーバーに2枚NICを差し、それぞれ DMZ...

セキュリティについてかなり初心者です。 現在instagram apiを使ったサービスを作っているのですが、以下のようなapiを叩くとき、js側で叩いても良いのでしょうか?jsに書いてしまうと他の人にaccesstokenがわかってしまうので。 https://api.instagram.com/v1/users/{USER_ID}/media/recent/?access_token={A...

パスワードの漏洩事件のあったLinkedInのブログで、今後パスワードをソルトつきのハッシュで保存するという記事を読みました。ソルトとはなんでしょうか?

定時遠隔バックアップを設計しています。DBなどは個別に対応して、その他の一般のファイルはrsyncをcronで実施すればいいかなと思っています。 ところでrsyncなのでSSH接続するかと思いますが(あるいはするべきかとおもいますが)、cronなのでパスワードを入力することができません。そこでパスフレーズなし公開鍵による認証をすればよいのは分かりましたが、この秘密鍵が流出してしまうと、いきな...

HTTPSにより入力データを暗号化する場合、データを受け取るページをHTTPSにしておけば、ユーザの入力値は暗号化され、盗聴されることはないと思います。しかし、HTTPSを使う場合は、入力画面のページからHTTPSにしないと意味がないと聞きました。その理由はなんでしょうか?

データベースにユーザーのパスワード情報を保存する場合、MD5やSHA-256でハッシュを取って、パスワードそのものではなくハッシュ値を保存することが多いと思うのですが、このとき安全性を高めるためにソルトを使うべきと言われていますよね。このソルトについて、ちょっと混乱しているので以下の点について教えて下さい。 ソルトはDBとは別の場所に保存して隔離すべきか? ソルトは全ユーザーについて共通のも...