Security OWASP TOP 10のトップ3を解説 概要 OWASPが発表している最新のWeb攻撃手法のことです。2017年時点の内容ですが、2020年時点でもこれらの攻撃手法は現役です。"Top 10 Web Application Security Risks"。通称は OWAS... 2020.08.06 Security
Security I found a vulnerability related to the potential of Zoom Bomb Abstract I found a security issue related to the strength of password authentication.This can be attacked from a rem... 2020.06.29 Security
Security Zoomのパスワード強度に関する脆弱性を見つけた 概要 Zoomにおいてパスワード認証に関連する脆弱性を見つけました。特徴はリモートから、Zoomのサービスを利用しているユーザに対して、秘匿性に影響する内容です。自己診断したCVSSスコアは6.5です。CVSS:3.0/AV:N/A... 2020.06.29 Security
Security このサイトをTLS1.3に対応しました 概要 いつからか、matsu.teraren.comのTLS設定において、TLS1.3に対応していなかったので対応しました。TLS1.3は、1.2から大きくハンドシェイクシーケンスが変わっていたり、ちょっと古めの暗号化アルゴリズムが... 2020.03.12 Securitynginx
PCI DSS PCI DSS v3.2 セキュリティ基準の内容を構造化してみた 概要 PCIセキュリティ基準の準拠項目を構造化しました。ソース最初は自分でPDFからコピペしていましたが、大変だったのでクラウドソーシングに出して作ってもらいました。自分が想定していた速度の3倍くらい速かったので、餅は餅屋だなと思い... 2019.08.28 PCI DSSSecurity
Security TLS 1.1以下の対応を無くし、TLS 1.2と1.3だけを有効化 背景 PCI DSS 3.2では、SSLとTLS1.1は2018年6月28日までに無くさなければいけないと明示している。 Visaは2018年2月にTLS1.1以下を無効にする主旨を発表し、各プログラミング言語に応じた移行方法... 2017.10.30 Securitynginx
Network & Infrastructure certbotを使ってSSL証明書を自動更新 概要 Let's encryptのSSL証明書を自動更新するためのプログラムがcertbotとして切り出されたので対応してみました。 Mac OS Xの場合 % brew install certbot 試... 2016.06.08 Network & InfrastructureSecurity
Linux Let’s Encryptを使って簡単0円でサーバ証明書を取得 概要 Let's Encrypt を使って、無料サーバ証明書を発行して設置します。 手順通りやれば、10分程度で出来ると思います。 最近Facebookがゴールドスポンサーになって、盛り上がってきています。 12月3日にPubli... 2015.12.12 LinuxMac OS X ServerSecurity
Diary SSLサイト運営者は一度確認した方がいい事 背景 こちらの件。世の中騒がれて居なさすぎだなぁと思ってます。 【翻訳】GoogleがWebでのSHA-1の利用停止を急ぐ理由 要約:CSRの一方向ハッシュのアルゴリズムが脆弱だと、偽証明書の偽造リスクが高いですよ。 世の... 2015.02.06 DiarySecurity
AWS AWSのElastiCacheはPCI DSS非対応 いつ対応するか未定とのこと。とりあえず、要求は上げてもらった。 7/7 追記AWSのソリューションアーキテクトに聞いたところ、ElastiCacheに対してどのような要件が足りていないかを相談してもらうのが良いとのこと。 ... 2014.06.16 AWSSecurity