作者について: 徳丸本の中の人 OWASP Japanアドバイザリーボード EGセキュアソリューションズ取締役CTO IPA非常勤職員 YouTubeチャンネル: 徳丸浩のウェブセキュリティ講座 https://j.mp/web-sec-study スライド一覧 各ページのテキスト 1. SPAセキュリティ入門 EGセキュアソリューションズ株式会社 徳丸 浩 2. 徳丸浩の…
SPA認証トークンはlocalStorageでもCookieでもない、Auth0方式はいいねというお話 – @mizumotokのブログ
SPA認証トークンをどこに保存するかは論争が絶えません。localStorageやCookieがよく使われますが、Auth0は違う方法を採用しています。この記事では、Auth0のトークン管理の方式を理解でき、トークン管理上のセキュリティへの理解を深めることができます。 SPAの認証トークンをどこに保存するか ブラウザでトークンを保…
SSVCを参考にした脆弱性管理について本気出して考えてみている(進行中) – ペネトレーションしのべくん
はじめに ここ最近脆弱性管理についてずっと考えていたのですが、SSVCを知ってからというもの、かなりシンプルに考えられるようになりました。試み自体はまだ途上なのですが、以下のようなことを目的として、SSVCの概要や、現時点での経過や私の考えを文字に起こしてみます。 アイデアを整理したい 脆弱性管理・運用に悩…
Load cross-origin resources without CORP headers using `COEP: credentialless` – Chrome Developers
Load cross-origin resources without CORP headers using `COEP: credentialless`Cross-origin resources served by third-parties often do not include adequate CORP headers. If they can be requested without credentials, now you can enable cross-origin isolation by marking them as such. Published on Thu…
[無料]3分で読める、初めて山に登る人が読むべき情報|松本圭司@ジオグラフィカ開発者|note
最近、都市近郊の低山を登る人が増えていて、同時に低山での山岳遭難も増えているそうです。なので、初めて登山する人が注意すべき装備や行動を最低限書きました。 お願いですから、これくらいは読んでから山に入ってください。 対象読者初めて山に登る人、連れて行ってもらったことあっても自分で予定などを決めて登る…
脆弱性診断につかえるツール集 – Qiita
$ sudo apt install nikto -y $ nikto -h localhost – Nikto v2.1.5 ————————————————————————— + Target IP: 127.0.0.1 + Target Hostname: localhost + Target Port: 80 + Start Time: 2019-08-23 22:26:00 (GMT9) ———————————————-…
送信ドメイン認証(SPF / DKIM / DMARC)の仕組みと、なりすましメール対策への活用法を徹底解説-エンタープライズIT [COLUMNS]
送信ドメイン認証(SPF / DKIM / DMARC)の仕組みと、なりすましメール対策への活用法を徹底解説 実在するメールアドレスを悪用して、マルウェアに感染させたり、ID/パスワードなどの重要情報を騙し取る「なりすましメール」の被害が後を絶ちません。偽の口座に直接金銭を振り込ませるなどの実害も発生しています。なり…
フールプルーフ[foolproof]とフェイルセーフ[fail-safe]: i-Learning 株式会社アイ・ラーニング
皆さんはフールプルーフ、フェイルセーフ、という言葉を聞いたことがありますか? どちらも【ものごとの設計】段階で考慮される言葉です。 フールプルーフ設計・・・ フェイルセーフ設計・・・ のように使われます。身の回りにも結構多いので少し紹介してみましょう。 フールプルーフを直訳すると「簡単」となりますが、…