タグ

認証に関するmooonymannのブックマーク (5)

  • 送信ドメイン認証について

    送信ドメイン認証とは? 送信ドメイン認証とは、送信者のアドレスが正規なものであることを証明する技術です。正確に言うと、そのメールアドレスのドメインを見て、それがが正規なサーバーから発信されているか否かを検証します。これは多くのスパムが送信者を偽って送りつけられるため、こうした「なりすまし」を排除すればスパムが減るという考えに基づいて開発された技術です。今後、スパムの根的な解決のために、この技術が普及することが期待されており、ここではその概要を説明します。 スパムは「なりすまし」ばかり まず、送信ドメイン技術の重要性を理解するために、いかに「なりすまし」が簡単かを理解することが必要です。フィッシング詐欺や迷惑メールのほとんどは「なりすまし」によって送られています。現在のメール送信技術では、送信元とされるFrom:アドレスを簡単に詐称することができるからです。試しに、自分のメールソフトの自ア

  • よくわかる認証と認可 | DevelopersIO

    よく訓練されたアップル信者、都元です。「認証 認可」でググると保育園の話が山程出て来ます。が、今日は保育園の話ではありません。そちらを期待した方はごめんなさい。こちらからお帰りください。 さて、先日のDevelopers.IO 2016において、マイクロWebアプリケーションというテーマでお話させて頂きました。一言で言うと OAuth 2.0 と OpenID Connect 1.0 のお話だったのですが、これらを理解するにあたっては「認証」と「認可」をはっきりと別のものとしてクッキリと認識する必要があります。 まず、ざっくりとした理解 認証と認可は密接に絡み合っている一方で全く別の概念です。正直、理解は簡単ではないと思います。 まず「認証」は英語では Authentication と言います。長いので略して AuthN と書いたりすることもあります。意味としては 通信の相手が誰(何)であ

    よくわかる認証と認可 | DevelopersIO
  • 横柄なパスワード – パスワード認証に関する改善策 | POSTD

    パスワードにはうんざり。改善しましょう。 誰もが経験するあの瞬間。新しいサービスに登録し、パスワードを選んで入力する。でも、入れません。選んだパスワードは十分安全なはずなのに、使いたいサービスが独善的にそれを拒むのです。 記号、数字、大文字、小文字を少なくとも1つずつ使用しなければなりません。 小文字の長いパスワードの方がドルマークだらけの短いパスワードより安全だということを証明する、 XKCDの有名なコミック のことは忘れましょう。まず、あなたの主力パスワードが $$ICECREAM$$ だとします。アイスクリームは、恐ろしい人生の希望の灯火とも呼べるほどの大好物なので簡単に思い出せます。そして、このパスワードにはブートのための特殊文字が入っています。 残念なことに、 $$ICECREAM$$ には小文字と数字がないので、客観的に見れば安全ではありません。そこで、このサービスのためのパス

    横柄なパスワード – パスワード認証に関する改善策 | POSTD
  • セキュリティ監査で文句を言われないHTTPステータスコードの使い分け - Qiita

    最近はハンドリングしくてもいいや的な、入力改ざんで発生するバリデーションエラーをそのまま500のHTTPステータスで返すと、攻撃者が「なんか攻撃成功しちゃいそう」って思っちゃうとかなんとかで、監査的なところから「500はやめろ」って言われることがあります。 一理ある ということで、安易に500を返さない方法を考えてみます。 HTTPステータスコードにあまり馴染みのない方は、こちら…ではなく、こちらをまず読んでください。 HTTPステータスコードの使い分け基礎 400 まず、ユーザの入力値、データの状態によってエラーになるケースは 400 Bad Request とします。エラーメッセージを表示して再入力を促すHTMLページを返す、一般的な入力エラー系の遷移は200 OKを返しても、実用上問題はないかと思います。 ユーザの操作が原因で、サーバ処理がエラーになった場合も400で扱うのはおかしい

    セキュリティ監査で文句を言われないHTTPステータスコードの使い分け - Qiita
  • 楽しく学ぼう公開鍵暗号方式 - 定食屋おろポン

    仕事で「そろそろパスワードやめて公開鍵暗号つかいませんか..?」と近代化をすすめるにあたって、説明資料が必要かと思って公開鍵暗号方式の説明から作り始めた。 よく考えたら、興味のない人には仕組みとかどうでもよくて「なにがよいのか」「どうつかうのか」「なにに気をつけたらいいのか」の3点だけ伝えればよいことに気づいたので、公開鍵暗号方式の説明は業務時間外に書いて公開することにした。 かなり平易に解説したつもりなのでいろいろな人に読んでほしい反面、個人として暗号やセキュリティに造詣が深くない、というかあまり知らないので間違いが含まれていないかが怖いので、斧とか斧とか待ってます。 知識不足なのでRSA暗号自体の仕組み(非対称関数とか)は触れていません。気になったらサイモン・シンの暗号解読あたりを読んでください。 楽しく学ぼう公開鍵暗号方式 from oroponya

    楽しく学ぼう公開鍵暗号方式 - 定食屋おろポン
  • 1