Profile cover photo
Profile photo
Yasuo Ohgaki
Open Source Rocks!
Open Source Rocks!
About
Yasuo's interests
View all
Yasuo's posts

Post has attachment
ハッシュを使ったURI個別のCSRFトークンの利用方法。URI個別なのでより安全性が高く、リソースもそれほど使わない。(CPUを少しだけ)

Post has attachment
ハッシュを使った有効期限付きURLの作成方法

Post has attachment
CSP実装の調査から「意外にホワイトリストの作り方」が理解されていないことに愕然

Post has attachment
これだけ明確に記述してあっても「入力バリデーションはセキュリティ対策ではない!」と強弁する人も。違う定義のセキュリティを主張するのも構わないのですが、セキュリティ対策の目的や定義さえ明確に説明できないで主張しているは何なんでしょうね??

Post has attachment
全て書上ました。標準外のセキュリティ概念を持っている方が、セキュリティ対策が「根本的」か「保険的」か区別する事が重要といった感じの資料を公開していました。入力対策は「保険的」なので、出力時の「根本的」対策でなければならない、という趣旨だと思います。

標準セキュリティでは対策が「根本的」か「保険的」かとは区別しません。標準セキュリティでは「保険」はリスクの移譲で、緩和策とは考えられます。セキュリティ対策で重要なので対策の「効果」です。

入力対策は非常に効果が高い対策です。識別していないリスク(脆弱性)まで含め、多くの脆弱性を廃除/緩和します。アプリが厳格な入力バリデーションをして困るのは攻撃者と一部のセキュリティ業者だです。

世界のトップセキュリティ研究所/専門家が「入力対策がNo 1のセキュリティ対策」と断言しているのに、セキュリティ対策として重要ではない、という趣旨と思われる資料を公開する意図が解りません。

出鱈目なセキュリティ論を言っても何も反論や異論がない日本のセキュリティ業界はどうなってるんだ?

Post has attachment
セキュリティ対策が「根本的かどうか?」は本当はどうでも良いことですが、どうも誤解されているケースがあるので書き始めました。

Post has attachment
結構沢山、新しい物が作られていますね。知らない物が結構沢山あります。

Post has attachment
自分が使っているWordPressのセキュリティ関連プラグインの紹介です。

Post has attachment
もしかして、自分の設定を設定ファイルに書く時に最後の方に書くのは少数派?

Post has attachment
FAQの類いだと思うのですが、wp-config.phpではwp-settings.phpの前に変数/定数を設定しないとNG、という情報はGoogle先生に聞いてもわかりませんでした。

権限がおかしいのか??ということで、それ関係のWordPressの中のコードは散々読んだのですが、wp-settings.phpの中身から読めば10倍以上解決が早かった、、、と思います。
Wait while more posts are being loaded