"セキュリティ" タグの付けられた記事 ( 1 / 2 ページ )

 全ての記事 928 件のうち 19 件の記事が該当しました。 (2 ページ)。

MovableType の一時(テンポラリ)ディレクトリについて

Posted by
ぴろり
Posted at
2013/07/15 20:35
Trackbacks
関連記事 (0)
Post Comment
コメントできます
Category
MovableType カテゴリ
カバー イメージ

 Movable Type ユーザーコミュニティにて、 さくらインターネットでtmpディレクトリが見えないというトピックが立っていました。トピ主の問題は解決したようですが、自分なりに調べてみたことの覚書き。

本文を読む (7 分で読めます)

Debian/GNU Linux で Tor プロキシを立てる

Posted by
ぴろり
Posted at
2012/08/07 18:10
Trackbacks
関連記事 (0)
Post Comment
コメントできます
Category
開発メモ カテゴリ
カバー イメージ

 Tor (トーア、The Onion Router) は、ネットワークの接続経路を匿名化するための規格であると同時に、そのリファレンス実装でもあります。Tor では、P2P 技術を利用し、接続ごとにランダムに選択された複数のノードを経由して目的のサーバへ接続することで、その接続元を追跡されにくくしています。今回、自宅の Debian サーバに Tor プロキシ サーバを建ててみました。

本文を読む (25 分で読めます)

管理画面に毎回ログインを要求する MovableType プラグイン:NotRememberMe

Posted by
ぴろり
Posted at
2012/04/28 19:38
Trackbacks
関連記事 (0)
Post Comment
コメントできます
Category
プラグイン カテゴリ
カバー イメージ

 企業などのセキュリティ ガイドラインで、社内からアクセスするウェブ サービスは毎回ログアウトし、ログイン情報を永続化しないように求められることがあります。使用しているウェブ サービスに XSS や CSRF などの脆弱性があった場合、悪意の第三者が用意したリンクを不用意にクリックして機密情報が漏れたり、ポータブル コンピュータを紛失した際にウェブ サービスを悪用される懸念があるためです。
 MovableType 管理画面のログイン画面にも、ログイン状態を永続化する「ログイン情報を記憶する」チェックボックスがあります。運用ガイドラインなどで「チェックを入れるな」と禁止することはできても、これを完全に防止することはできません。上司が見ていないのを良いことに、ガイドラインを遵守しないユーザが居ないとも限りません。そこで、MovableType のログイン状態を永続化できないようにするプラグインを書いてみました。
 個人ユースではあまり意味がありませんが、厳しいセキュリティ ガイドラインを求められるような運用では使えるかもしれません。

本文を読む (2 分で読めます)

Basic 認証は本当に遅いのか?

Posted by
ぴろり
Posted at
2012/03/10 22:24
Trackbacks
関連記事 (0)
Post Comment
コメントできます
Category
開発メモ カテゴリ
カバー イメージ

 HTTP(S) 通信で簡易にパスワード セキュリティを実現できる Basic 認証。ちょろっと検索したところでは、セキュリティの問題に加えてパフォーマンスについても問題があるように書かれています。

 .htpasswd ファイルのような、テキストファイルによるユーザー管理は最も手軽ですが、パスワードファイルを上から下へと線形で読むために、実際のところ効率はよくありません。ユーザ数が数 100 単位に増えてきた時に、サーバのパフォーマンスは低下します。

ユーザー認証のパフォーマンス問題 - ミケネコの htaccess リファレンス

 正確に言えば、テキスト ファイルでパスワードを管理する Basic 認証は本当に遅いのか?ということになります。数百ユーザのアカウントを、テキスト ファイル ベースで管理するのもアレだと思いますが、んじゃ、実際のところどれくらいパフォーマンスに影響するのよ? ってところを調べてみました。

本文を読む (7 分で読めます)

初期パスワード文字列を生成するウェブサービス

Posted by
ぴろり
Posted at
2010/11/14 16:25
Trackbacks
関連記事 (0)
Post Comment
コメントできます
Category
電算室 カテゴリ
カバー イメージ

 初期パスワード文字列を生成する Perl の one-liner を書いてみましたが、これってウェブサービスにしちゃった方が楽だよねぇ? ってことで、10 分で作ってみた。適当な所を適当な長さだけ文字列選択してコピペ、で。

本文を読む (0 分で読めます)

Identification と Authentication と Authorization

Posted by
ぴろり
Posted at
2010/05/09 11:07
Trackbacks
関連記事 (0)
Post Comment
コメントできます
Category
開発メモ カテゴリ
カバー イメージ

 日本語で言うと、それぞれ、識別(Identification)と認証(Authentication)と承認(Authorization)になりますが、特に Authentication と Authorization はどう違うの? ということで個人的なメモ。

本文を読む (2 分で読めます)

twitterのツブヤキをBlowfishで暗号化 - twitCipher

Posted by
ぴろり
Posted at
2010/03/19 10:39
Trackbacks
関連記事 (0)
Post Comment
コメントできます
Category
電算室 カテゴリ
カバー イメージ

 twitCipher は twitter のツブヤキを暗号化することで、心無いユーザによる情報漏えいを防ぐための画期的ソリューション(?)です。Blowfishは堅牢で高速処理が可能な、ライセンスフリーの暗号化技術で、投稿者が設定したパスワードを正しく入力しない限り元の文章を読むことはできません。しかし貴方が信頼してパスワードを教えた人が、実は情報漏えいの黒幕であった場合にはどうしようもありません。 人間関係は大切にしましょう。

twitCipher - twitter Cryptographer


dsniff/nemesis の導入

Posted by
ぴろり
Posted at
2010/03/08 17:56
Post Comment
コメントできます
Category
開発メモ カテゴリ
カバー イメージ

 ちょっと所用で使うことになったのでインストール。色々大変だった… dsniff はハッキングツール、クラッキングツールも含むので取り扱いには注意が必要です。

本文を読む (1 分で読めます)

PHP 版 Gumblar ウィルスも登場

Posted by
ぴろり
Posted at
2010/02/26 23:07
Trackbacks
関連記事 (0)
Post Comment
コメントできます
Category
電算室 カテゴリ
カバー イメージ

Gumblar Breaks WordPress blogs and other complex PHP sites
So what happens if both index.php and wp-config.php are infected with the gumblar backdoor scripts? Since Gumblar injects identical backdoor scripts into files on the same site, they’ll have declarations of identically named functions, which PHP doesn’t allow.

 どうやら、PHP で構築された WordPress などのサイトに感染するタイプの Gumblar ウィルスの亜種が出現しているようです。影響を受けるのは WordPress や Joomla, Drupal などの PHP ベースで書かれたシステムの他にも、PHP を複合的に使用しているサイト全てとのこと。MovableType は Perl ベースですが、動的生成処理は PHP で書かれています。また、サイドバーの共通化などのために、PHP ファイルを生成している場合があるので注意が必要です。

本文を読む (2 分で読めます)

Googleが提供するブラックリストでURLを評価するMovableTypeプラグイン:GoogleSafeBrowsing

Posted by
ぴろり
Posted at
2010/02/21 18:53
Trackbacks
関連記事 (0)
Comments
コメント (1)
Post Comment
コメントできます
Category
プラグイン カテゴリ
カバー イメージ

 Google Safe Browsing APIは、Google が実験的に提供しているフィッシング詐欺ページやマルウェア配布サイトのブラックリストです。このリストは Google によって定期的に更新されており、URL をこのリストと照合することでそのセキュリティチェックをすることができます。これを用いて、例えばフィッシング詐欺ページへのリンクを含むコメントの投稿を自動的機械的に阻止したりできます。
 今回、このサービスを MovableType のコメント/トラックバックのジャンクフィルタとして利用できるように MovableType プラグインにしてみました。

本文を読む (2 分で読めます)

Open MagicV o ox.net

» 次へ