個人的に「Webサービスの公開前チェックリスト」を作っていたのですが、けっこう育ってきたので公開します。このリストは、過去に自分がミスしたときや、情報収集する中で「明日は我が身…」と思ったときなどに個人的にメモしてきたものをまとめた内容になります。 セキュリティ 認証に関わるCookieの属性 HttpOnly属性が設定されていること XSSの緩和策 SameSite属性がLaxもしくはStrictになっていること 主にCSRF対策のため。Laxの場合、GETリクエストで更新処理を行っているエンドポイントがないか合わせて確認 Secure属性が設定されていること HTTPS通信でのみCookieが送られるように Domain属性が適切に設定されていること サブドメインにもCookieが送られる設定の場合、他のサブドメインのサイトに脆弱性があるとそこからインシデントに繋がるリスクを理解してお
raspberry pi のSDカードはこわれます。 過去何枚も使い潰してきました。32GBを使うようになってからあまり壊れてないので、32GBぐらいがOSのログ頻度でも寿命を維持できるサイズなのかと思ってる。 それでも枚数を使い潰すと、安くない出費である。台数も増えてきたので設定を見直しておく。 単純に ramdisk にしてしまってもいいのだけれどね。 準備 ネットワーク設定関連を切り替えるまえに、ttyS0/ttyUSB0を使う。 sudo systemctl enable serial-getty@ttyUSB0 sudo systemctl start serial-getty@ttyUSB0 ## 終わったら sudo systemctl stop serial-getty@ttyUSB0 シリアルコンソールでトラブルがおきたときにネットワーク設定がうまくいくことを確認するため
総務省は、今般、令和4年10月に公表した「クラウドサービス利用・提供における適切な設定のためのガイドライン」の内容を、わかりやすく解説するために「クラウドの設定ミス対策ガイドブック」を策定いたしました。 総務省では、クラウドサービス利用・提供における適切な設定の促進を図り、安全安心なクラウドサービスの利活用を推進するため、クラウドサービスの提供者・利用者双方が設定ミスを起こさないために講ずべき対策や、対策を実施する上でのベストプラクティスについてとりまとめた「クラウドサービス利用・提供における適切な設定のためのガイドライン」を、令和4年10月に策定・公表しました。 今般、クラウドサービスを利用する事業者において、情報の流失のおそれに至る事案が引き続き発生している中で、本ガイドラインの活用促進を図るため、ガイドラインの内容をわかりやすく解説した「クラウドの設定ミス対策ガイドブック」を策定しま
DK @game_sennin 初稿に取り掛かる前に、プロットや設定資料をつくる人は多いと思うけど、さらにその前の工程を設けてみませんか、という提案。 100文字制限、200文字制限は、本当に大事な情報を厳選した上で書こうとすると、意外に苦労するけど、その苦労が作品をより洗練させる、と考えていただければ。 pic.twitter.com/MgC29KmlEo 2023-01-10 14:14:17 DK @game_sennin 制限文字数内でなんとか書き収めることがポイントなので文字数は厳守してください。 「たくさん書くぶんにはいいだろ」と思わずに、どうしたら収まるか、残す情報と削る情報をどう判断するか、よく吟味して書くことに意味があります。 あまりないかもしれませんが無駄に文字数だけ埋めるのもNG 2023-01-10 14:14:18 DK @game_sennin この工程を避けよ
こんにちは。Infra Study Meetup 運営の重本です。先日 4月24日(金)夜に開催したオンライン勉強会「Infra Study Meetup #1『Infrastructure as Code』」において配信トラブルが発生し、ライブ配信開始から45分にわたり1000名を超える参加者に多大なるご不便をお掛けしてしまいました。本記事では、今回のトラブルの原因およびリカバリー方法、再発防止策についてまとめ公開いたします。 概要 本勉強会は2020年4月24日(金) 19:25より、YouTube Live を用いてオンラインで開催しました。 発表者には Zoom ミーティングを用いて画面共有および発表していただき、その様子を配信ソフトを介した上で YouTube Live で配信するという構成です。 配信開始直後の19:25〜19:35の間、YouTube Liveでのライブ視聴が
はじめに 中山(順)です 4年ほど前にこの記事のタイトルと同じテーマで資料を作成したことがあるのですが、古い内容があったり新しいサービスのことが含まれていなかったりするので改めてまとめてみました。令和だし! その時の資料はこちらです(クラスメソッドにジョインするくらい2年前です)。 AWSアカウントを作ったら最初にやるべきこと サインアップ (業務利用の場合)非個人メールアドレスでサインアップ サポートプランの確認 ID管理 / 権限管理 CloudTrailの有効化 ルートアカウントのMFA設定 IAM User / IAM Groupの作成 パスワードポリシーの設定 GuardDutyの有効化 Security Hubの有効化 請求 IAM Userによる請求情報へのアクセス許可 支払通貨の変更 Budgetの設定 Cost Explorerの有効化 Cost Usage Report
Windowsを利用されている方は、Windows 10にバージョンアップされてから新しいキーボードショートカットが多数追加されたことをご存じでしょうか。 この記事では、知っていると作業が快適になるWindows 10のキーボードショートカットを紹介していきます。 ウィンドウの操作について ウィンドウとは、WordやExcelなど、開いているソフトの画面を表示したり、すべての画面を非表示にしたり、開いている画面を右に表示したりする操作です。 それぞれどのような操作が出来るのか、見ていきましょう。 Windowsキー Windowsキーは、キーボード下段にあるWindowsのロゴが記載されているキーで、ウィンドウの操作についてはWindowsキーで行えるものが多くなっています。 Windowsキー + D:デスクトップ表示 Windowsキーを押しながらDを押すと、デスクトップを表示してくれ
はじめに Webサーバをセキュアに保つ為、個人的に行っている設定をざっくりまとめてみました。 設定内容はApache 2.4での運用を想定していますので、他のHTTPdをお使いの方は適宜読み替えてください。 各設定項目は以下のオンラインテストサイトでA+相当を取ることを目指しています。 設定ファイル生成 Mozilla SSL Configuration Generator オンラインテスト Mozilla Observatory Qualys SSL Server Test 前提条件 以下で設定する項目は特にHTTPS接続や攻撃防止に関するものになります。 HTTPdそのものに関する基本設定については別記事をご参照ください。 SSLProtocol 危殆化した古いプロトコルを有効にしている場合、古いプロトコルを標的としたダウングレード攻撃等を受ける可能性がある為、新しいプロトコルのみを有
アクセス解析は最初の設定が命。「ちゃんと設定しておけばよかった!」と後悔しても、過去の忘れた数値はもう二度と手に入りません。 今回は、Webサイトの財産とも言える解析データをしっかり取得するためにも、必ず設定しておきたいGoogleAnalyticsの設定項目をまとめました。 損をしないため、この機会に一度、設定を見返してみて下さい。 1. トップページを正しく計測する GoogleAnalyticsはURL単位でページを計測します。しかし、表示ページが同一でも、利用している環境によってURLが異なる場合があります。例えば「/」と「/index.html」は別々のページとして認識され、レポート上に表示されます。 このような事態を防ぐため、「/」「/index.html」をどちらも同じページとして計測するように管理画面の「デフォルトのページ」設定を行います。この設定を行うと、「/」のみでアク
Windows でスリープ後の反応が悪いので、一度ハイバネーションを無効にし、システムファイルを修復する
1. スリープ後の反応が悪い Windows がスリープから復帰した後、反応が悪くなる。 特に Firefox の動作がもっさりとする。 a. スリープの種類 Windows のスリープ状態には、「スリープ」「休止状態」「ハイブリッドスリープ」の 3 種類ある。 第22回 節電にはWindows7を!!(ハイブリッドスリープのお話):IT Bootstrap:ITmedia オルタナティブ・ブログ によると、 スリープ 稼働中のOSの状態をそのままメモリに保持してOSを停止させます。スリープから解除させるとそのまま中断した状態に即時復帰できます。但し、電源を落としてしまうと、その状態も消えてしまいます。 休止状態(ハイバネーション) 稼働中のOSをハードディスクに保存します。電源を落としてもその状態は保持されます。再度電源を入れるとハードディスクからメモリの状態をメモリに戻します。これで休
定期的にこういう内容を書いて公開している気がする。昔の記事もあるのでそちらを読めばいいのだが、また書く必要性が生じてきたのであらためて書きます。 現代では AWS のようなクラウドや VPS など格安で手軽にインターネット上にサーバーを持てるようになった。しかしインターネットで誰でもアクセスできる環境でサーバーを稼働させるということは、常に人間やロボットの攻撃に晒されるということを同時に意味している。したがって初心者だからだとか、会社の中ではこうやって仕事をしているからといった言い訳は一切通用しない。セキュリティ設定をきちんとしなければ内部への侵入をたやすく許し、思わぬデータの漏洩につながるのである。とはいえセキュリティというのはトレードオフを考慮しなければいくらでも強化できるものでありキリがない。ここでは最低限これだけはやっておこうという現実的な落とし所を提示し、人々への啓蒙をはかるもの
さくらインターネットのVPSサービス「さくらのVPS」ではroot権限が提供され、自由にソフトウェアをインストールして利用できる。しかし、どのように設定を行うべきか、セキュアなサーバーを構築するにはどうすれば良いのか、迷う人も多いだろう。そこで本記事では、まっさらなVPS環境に対して一通りのセキュリティ設定を施した上で、Webサーバーやメールサーバー、データベースなどをインストールし、実際の運用環境を構築する手順を解説していく。 さくらのVPSでは、デフォルトのOSとしてCentOS 5.5が採用されている。CentOSはRed Hat Enterprise Linux互換のLinuxディストリビューションで、豊富な設定ツールを利用して容易に各種サーバーをインストール・設定できるのが特徴だ。しかし、VPSではGUIの設定ツールは基本的には利用できない。一通りの環境を整えた後にVNCやX O
こんにちは、熊谷です。 前回VirtualBoxについて書きましたが、今回はそれの続きについて書きたいと思います。 インストールが終わったらゲストOSをいろいろいじっていくわけなんですが、例えば、ゲストOSはLinuxでその中で開発を行いたいという場合、sshを使ってアクセスしてあれこれ操作をすると思います。となると、ホスト側からゲスト側にネットワーク経由でアクセス出来なければならいということになります。で、特に設定をしていないのであれば、VirtualBoxのネットワークアダプタの割り当ては「NAT」になっていると思います。 「NAT」の場合ゲスト側からは外に出ることは可能なので特に意識しなくてもホスト同様にネットワークを使用することが出来ます。しかし、ホスト側からゲスト側にアクセすることはできません。ということで、これではもちろんsshを使ってということは出来ないので、何か設定を行わな
Recent Entries セキュアなサーバを作るために最低限やっておくこと Yahooキーワード抽出APIライブラリ テスト駆動開発 (test driven development: TDD) のすすめ GoogleAnalyticsAPI on EC-CUBE 土日で作るコンパイラ OPEN ERPに挑戦3 OPEN ERPに挑戦2 OPEN ERPに挑戦 ERPはたくさんあれど・・・ OpenGLで3D、やってみよう Recent Comments No Responses. Recent Trackbacks テスト駆動開発 (test driven development: TDD) のすすめ 06/11 » Yahooキーワード抽出... みなさんはサーバを管理するときに、何を一番気にしますか? 人によって程度の差はあるのでしょうが、誰もが気になるのが「セキュリティ」でしょ
補足 この記事は旧徳丸浩の日記からの転載です(元URL、アーカイブ、はてなブックマーク1、はてなブックマーク2)。 備忘のため転載いたしますが、この記事は2010年9月27日に公開されたもので、当時の徳丸の考えを示すものを、基本的に内容を変更せずにそのまま転載するものです。 補足終わり PHPカンファレンス2010にて「文字コードに起因する脆弱性とその対策」というタイトルで喋らせていただきました。プレゼンテーション資料をPDF形式とslideshare.netで公開しています。 文字コードのセキュリティというと、ややこしいイメージが強くて、スピーカーの前夜祭でも「聴衆の半分は置いてきぼりになるかもね」みたいな話をしていたのですが、意外にも「分かりやすかった」等の好意的な反応をtwitter等でいただき、驚くと共に喜んでいます。土曜にPHPカンファレンスに来られるような方は意識が高いというの
Apacheの設定で Order deny,allowとか Satisfy anyとか、なんだか意味わからん人のために。僕はずっとわかってなかった。 基本 Apacheのアクセス制御には、 ホストによる制御 (Order,Allow,Deny) ユーザ認証による制御 (Auth*, Require) の2通りがある。 Satisfyは、2通りあるアクセス制御の両方を満たす必要があるかどうかを決定する。デフォルトはSatisfy all。Satisfy anyなら、どちらか片方満たせばよい。 Order http://httpd.apache.org/docs/2.2/mod/mod_authz_host.html#order Order deny,allowは、全てのホストからのアクセスを許可する。 Order allow,denyは、全てのホストからのアクセスを拒否する。 Order d
こんにちは nakamura です。最近トルシエさんテレビ出すぎじゃありません?ウィイレヤロウヨ。オフサイドダヨ! さてさて今回は意外と知られてないけど、サイトをインターネットに公開する際には知っておいた方が良い Apache の設定をいくつかご紹介します(一部 PHP の設定もありますが)。この設定をしていないからといって即危険にさらされるという訳でもありませんが、リスクの芽は摘んでおくに越した事はありませんよね。 無駄な HTTP ヘッダを返さない ディストリビューションにより異なるかもしれませんが、CentOS デフォルトの設定の場合 Apache が返してくる HTTP ヘッダは以下のようなものです。 HTTP/1.1 200 OK Date: Mon, 05 Jul 2010 01:01:14 GMT Server: Apache/2.2.3 (CentOS) X-Powered
iPhone用にjQueryと連携して動作するUIライブラリ「jQtouch」のファイルを見ていて、サイト表示を高速化するApacheサーバー設定の実例が出ていたので、説明を加えて記事にしてみました。 ライブラリ自体、iPhoneに特化したようなものなのでiPhone贔屓ではありますが、参考になる設定が多くあると思いますので見てみてください。 データをgzip圧縮して軽量化 Apache 1.x用のmod_gzip指定 テキストデータなどは画像データよりも圧縮の効率が良いので、サーバーから送信されるデータをなるべく軽くするようにgzip圧縮することが推奨されています。 「mod_gzip_dechunk」というのは、サーバー側からブラウザにデータを送信する際にSSIやPHPなどで「Transfer-Encoding:chunked」という分割方式で送られることがあるため、それも圧縮しておく
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
