適切なAES暗号鍵の作成方法は セキュリティ超初心者です。 ユーザーが入力したパスワードを元に、 ユーザーデータを256bitのAESで暗号化したいのですが、 暗号鍵はどのように作成するのが安全でしょうか? データはユーザー環境で暗号化します。 暗号理論は全くわかりませんが、とりあえず思いついたのが、 ① パスワードをそのまま鍵にする。 鍵長が足りない部分はソルトを足す。 (パスワードが長すぎる場合は?) ② パスワードに...
SSLサーバ証明書を使わない暗号化通信について SSLサーバ証明書を使わないで通信内容を暗号化できる仕組みとして 『SHTTP』 というものを考えてみたのですが、 これは十分に "Secure"なものになっているでしょうか? GitHubにソースコードと概要イメージを掲載しています。 GitHub https://github.com/sklab/SHTTP/ デモサイトhttp://shttp-eu.herokuapp.com/samp...
Web アプリケーションの認証とセキュリティに関して教えて下さい こんばんは。Web アプリケーションの認証とセキュリティに関して教えて下さい。 Rails のセッション管理 Rails は RESTful な Web アプリケーションの構築を可能にするとは言っていますが、実態としてはサーバーサイドに保持し、セッション ID は Cookie に保存しているものだと思っています(Rails の経験が殆ど無いので間違っていたらすみません)。 で、最近こちらの...
フロントサイドでアクセストークンをURLに含めるのはセキュリティ的にNG? セキュリティについてかなり初心者です。 現在instagram apiを使ったサービスを作っているのですが、以下のようなapiを叩くとき、js側で叩いても良いのでしょうか?jsに書いてしまうと他の人にaccesstokenがわかってしまうので。 https://api.instagram.com/v1/users/{USER_ID}/media/recent/?access_token={A...
SHA-1ハッシュ化されたパスワードは安全ですか? LinkedInのパスワードが漏洩したというニュースを見ました。パスワードはSHA-1アルゴリズムでハッシュ化されていたそうですが、ハッシュから元のパスワードは分からないので実害はないと考えていいですか?
rsync によるバックアップを cron で回したい、しかしシェルへのアクセスは拒否したい 定時遠隔バックアップを設計しています。DBなどは個別に対応して、その他の一般のファイルはrsyncをcronで実施すればいいかなと思っています。 ところでrsyncなのでSSH接続するかと思いますが(あるいはするべきかとおもいますが)、cronなのでパスワードを入力することができません。そこでパスフレーズなし公開鍵による認証をすればよいのは分かりましたが、この秘密鍵が流出してしまうと、いきな...
HTTPSを使う際に入力フォームのページからそうしないといけない理由はなんですか HTTPSにより入力データを暗号化する場合、データを受け取るページをHTTPSにしておけば、ユーザの入力値は暗号化され、盗聴されることはないと思います。しかし、HTTPSを使う場合は、入力画面のページからHTTPSにしないと意味がないと聞きました。その理由はなんでしょうか?
パスワードを定期的に変更する理由は何ですか? 職場やWebサイトなどで、パスワードを定期的に変更するように要求されることがあります。 しかし、なぜ定期的に変更しなければならないのか分かりません。パスワードを定期的に変更すべき(した方がよい)理由を教えてください。