セキュリティ超初心者です。 ユーザーが入力したパスワードを元に、 ユーザーデータを256bitのAESで暗号化したいのですが、 暗号鍵はどのように作成するのが安全でしょうか？ データはユーザー環境で暗号化します。 暗号理論は全くわかりませんが、とりあえず思いついたのが、 ① パスワードをそのまま鍵にする。 鍵長が足りない部分はソルトを足す。 （パスワードが長すぎる場合は？） ② パスワードに...

SSLサーバ証明書を使わないで通信内容を暗号化できる仕組みとして 『SHTTP』 というものを考えてみたのですが、 これは十分に "Secure"なものになっているでしょうか？ GitHubにソースコードと概要イメージを掲載しています。 GitHub https://github.com/sklab/SHTTP/ デモサイトhttp://shttp-eu.herokuapp.com/samp...

こんばんは。Web アプリケーションの認証とセキュリティに関して教えて下さい。 Rails のセッション管理 Rails は RESTful な Web アプリケーションの構築を可能にするとは言っていますが、実態としてはサーバーサイドに保持し、セッション ID は Cookie に保存しているものだと思っています（Rails の経験が殆ど無いので間違っていたらすみません）。 で、最近こちらの...

セキュリティについてかなり初心者です。 現在instagram apiを使ったサービスを作っているのですが、以下のようなapiを叩くとき、js側で叩いても良いのでしょうか？jsに書いてしまうと他の人にaccesstokenがわかってしまうので。 https://api.instagram.com/v1/users/{USER_ID}/media/recent/?access_token={A...

パスワードの漏洩事件のあったLinkedInのブログで、今後パスワードをソルトつきのハッシュで保存するという記事を読みました。ソルトとはなんでしょうか?

LinkedInのパスワードが漏洩したというニュースを見ました。パスワードはSHA-1アルゴリズムでハッシュ化されていたそうですが、ハッシュから元のパスワードは分からないので実害はないと考えていいですか?

定時遠隔バックアップを設計しています。DBなどは個別に対応して、その他の一般のファイルはrsyncをcronで実施すればいいかなと思っています。 ところでrsyncなのでSSH接続するかと思いますが(あるいはするべきかとおもいますが)、cronなのでパスワードを入力することができません。そこでパスフレーズなし公開鍵による認証をすればよいのは分かりましたが、この秘密鍵が流出してしまうと、いきな...

HTTPSにより入力データを暗号化する場合、データを受け取るページをHTTPSにしておけば、ユーザの入力値は暗号化され、盗聴されることはないと思います。しかし、HTTPSを使う場合は、入力画面のページからHTTPSにしないと意味がないと聞きました。その理由はなんでしょうか?

職場やWebサイトなどで、パスワードを定期的に変更するように要求されることがあります。 しかし、なぜ定期的に変更しなければならないのか分かりません。パスワードを定期的に変更すべき（した方がよい）理由を教えてください。