QA@IT

そのギモンは、あなただけのもの?

ITエンジニアが日々遭遇する課題やトラブルはたいてい、1人だけが出合うものではありません。QA@ITで質問・回答を共有しませんか?

タグ security で絞り込んだ結果 - 解除

Windos7の端末へランサムウェア防御用の製品を導入しました。 製品の仕様上、主要なフォルダへおとりファイルを作成し、おとりファイルへの変更(暗号化や削除等)を検知する仕組みとのことでした。 エクスプローラ上は、おとりファイルは表示されておりません(隠しファイル・フォルダは表示設定としているがおとりファイルの表示はなし)。 ですが、「XYplorer」というファイル操作ツール上は、おとりフ...

Windows 7端末にEndpoint Security製品を導入してます。製品にて危険と判定されたが、 ユーザからは使用したいとの申告を受けております。 Endpoint Security製品ベンダに判定理由を問い合わせておりますが、回答までに5営業日 以上かかってしまいました。 その為、ユーザからの申告と併せ、何か該当ファイルの簡易的な解析ができるサイト、 もしくはファイル名を元に脅威...

セキュリティーブログを書こうと思ってたのですがまだまだ初心者なもので先日ZeuSの2012年バージョンと思われるものをいただいたのですが ローカルでしか使用できません。mysqlサーバーはレンタルサーバーのものでかりて色々試してみたのですがうまくいきません こちらを参考にやってみたのですがいまいちわかんなくてここで質問することにしました。 セキュリティ関連のブログ書いてる方や詳しく教えてくれ...

インターネットを介した、業務用途でのWebアプリケーションの構築に関して質問です。 自社の商品などをブラウザや専用アプリケーションからWeb上に登録し、 それを得意先に閲覧してもらい発注を受ける、というようなものを想定しています。 システムとしては、普通のレンタルサーバを借り、 そこにPHP+MySQLかなにかで作ったWebアプリ(というかWebページ?)を置くとします。 ここで質問です。 ...

PCに自動的にPC修復の広告を出して来たり、flashPlayerの最新版を インストールするようなメッセージがでてきたりしています。 しらべてみると、Extended Updateというものが勝手にPCに インストールされたらしく、コントロールパネル→プログラムのアンインストールで、 Extended Updateをアンインストールしただけでは、削除されないようです。 Extended U...

自社で情報システム管理を担当しております。 このたび、自社内でRedmineシステムを構築し、運用をすることになりました。 このRedmineシステムの利便性向上のため、いくつかのプラグインを導入することを考えております。 これらプラグインを導入する際に、その安全性をどのように担保するべきか悩んでおります。 環境としては、 DMZに配置し、社内・社外からのアクセスが可能 アクセス可能なユーザ...

『「例の」情報漏洩報道』でも騒がれているように我が社でも情報漏洩対策の見直しをやっています。 派遣社員に『「例の」情報漏洩報道』のようになる情報を扱っているか。 のアンケートをお願いしたところ全員が「ある」と回答しました。 派遣社員にこのような情報を「直接」扱わせないために、データベースの「暗号化」が有効なのではと思いました。 そこで素朴な疑問が発生したのですが、「暗号化」したら簡単に元の情...

以下のようなコードがあります。 def tables Rails.application.eager_load! if Rails.env.development? @models = ActiveRecord::Base.descendants.map(&:base_class).uniq.sort_by(&:name) end このコードが、以下に説明する処理を実行したあと、Securi...

企業ユースでメールや社内システムでダウンロードしたデータ(Office、PDF、テキスト)を削除する方法を考えてます。 ベンダーに声をかけましたが、あまり実績がないため専用アプリの開発、という答えが多いです。 こういった使い方(以下<利用方法>に記載)をしている企業は多いと思うのですが、何かいい方法はないでしょうか。 <利用方法> WEBアプリケーション(WEBメール、WEB社内システム)で...

セキュリティについてかなり初心者です。 現在instagram apiを使ったサービスを作っているのですが、以下のようなapiを叩くとき、js側で叩いても良いのでしょうか?jsに書いてしまうと他の人にaccesstokenがわかってしまうので。 https://api.instagram.com/v1/users/{USER_ID}/media/recent/?access_token={A...

HTTPSにより入力データを暗号化する場合、データを受け取るページをHTTPSにしておけば、ユーザの入力値は暗号化され、盗聴されることはないと思います。しかし、HTTPSを使う場合は、入力画面のページからHTTPSにしないと意味がないと聞きました。その理由はなんでしょうか?

データベースにユーザーのパスワード情報を保存する場合、MD5やSHA-256でハッシュを取って、パスワードそのものではなくハッシュ値を保存することが多いと思うのですが、このとき安全性を高めるためにソルトを使うべきと言われていますよね。このソルトについて、ちょっと混乱しているので以下の点について教えて下さい。 ソルトはDBとは別の場所に保存して隔離すべきか? ソルトは全ユーザーについて共通のも...