安全なウェブサイトの作り方を読んだので、理解した内容を自分なりにまとめておきます。資料 上記は3章構成になっていてそれぞれ長めの内容なので、ここでは3章の『失敗例』について、Ruby on Rails ではどうするかについてをまとめます。 SQL インジェクシ…

安全なウェブサイトの作り方を読んだので、理解した内容を自分なりにまとめておきます。資料 上記は3章構成になっていてそれぞれ長めの内容なので、ここでは2章の『ウェブサイトの安全性向上のための取り組み』の Web サーバの運用に関する対策や、Web サイ…

安全なウェブサイトの作り方を読んだので、理解した内容を自分なりにまとめておきます。資料 上記は3章構成になっていてそれぞれ長めの内容なので、ここでは1章の『ウェブアプリケーションのセキュリティ実装』の設計や実装レベルの解決や対策方法についてま…

Rails セキュリティガイド - Railsガイドを読んだので、理解した内容を自分なりにまとめておきます。 Web アプリケーションの脅威 セッション セッションハイジャック セッションストレージ cookie のローテション CookieStore セッションに対するリプレイ攻…

本全体への所感 印象に残った点 情報セキュリティとは リバースブルートフォース攻撃 参考 暗号と認証のしくみと理論がこれ1冊でしっかりわかる教科書を読んで重要だと思ったことのまとめです。 本全体への所感 絵が多めでイメージしやすく理解しやすい 印象…

発生しうる脅威 XSSの種類 注意すべきページの特徴 対策の種類 HTMLテキストの入力を許可しない場合の対策 HTMLテキストの入力を許可する場合の対策 全てのウェブアプリケーションに共通の対策 参考サイト XSSはクロスサイトスクリプティング（Cross Site Sc…

データ通信時の4つの問題 暗号化 ハイブリット暗号方式 メッセージ認証コード デジタル署名 デジタル証明書 参考 データ通信時の4つの問題 インターネット上でのデータ通信時に起こりうる代表的な問題として下記の４種類がある。 項目 説明 対策 盗聴 伝送路…

証明書は、サイトを証明するための認証方法の違いによって種類が異なり、３種類ある。 暗号強度に関しては違いはない。 名称 認証方法 費用 DV ドメイン所有のみ証明 0〜数万円 OV ドメイン所有、会社実在性を証明 数万円〜 EV ドメイン所有、会社実在性、電…

snapdのインストール Let’s Encryptを使うにはACME プロトコルというルールを使用するソフトウェアを使う。Certbot という ACME クライアントを使うことを公式では推奨している。このCertbotを使うためにsnapdをインストールする。 Installing snap on Debia…

サーバ証明書はどんな時に使うのか？ HTTP通信とHTTPS通信の違い なぜサーバ証明書が必要？ サーバ証明書発行の流れ 参考 サーバ証明書はどんな時に使うのか？ サーバ証明書は、HTTPS通信に対応したサイトにする際に必要になる。HTTPS通信は下記のようなサー…

オレオレ証明書を発行する nginxの設定ファイルを変更する 参考 オレオレ証明書を発行する 証明書発行の流れは下記のような感じ。 オレオレ証明書では、認証局でやることを自分でやることから『オレオレ』証明書と言われる。 オレオレ証明書の発行の流れは下…