セキュリティ
最近よく聞くが、イマイチ分かっていないので、簡単に纏めてみた。 web サービスの「認可」のためのプロトコル サービスA (クライアントアプリ) がサービスB (リソースサーバ) にアクセスできるよう、サービスBがサービスAに対して、アクセストークンを発行…
ネスペでよく出てくるネタなので、ここに纏めておく。 DNSサーバには、コンテンツサーバとキャッシュサーバの2種類がある。キャッシュサーバはフルリゾルバとも言われる。 コンテンツサーバは自分の管轄のドメインの情報を外部に返すもので、キャッシュサー…
サーバ認証はクライアント側がサーバの正当性を確認して、クライアント認証はサーバ側がクライアントの正当性を確認するもの。 TLSでは、サーバ認証は必須だが、クライアント認証はオプションである。
ネットワークスペシャリストの勉強をしていて、認証と認可について学んだので、ここに書いていく。 認証と認可は似ているが意味がちょっと違う。 認証は、アクセスしている人が本人かどうかを判定するためもの。一方で、認可は、その人が何の権限を持ってい…
先日、Java の keytool コマンドを使用して、SSLサーバ証明書を生成しようと思ったら、コマンドの引数に指定する「-alias」オプションに何を指定して良いのか分からなくてちょっと調べたので、防備としてここにメモしておく。 「-alias」オプションには、生…
httpの X-Frame-Options レスポンスヘッダについて簡単に纏める。 webサーバがクライアント(ブラウザ)に応答を返す際、そのレスポンスヘッダに「X-Frame-Options」を入れることで、ブラウザ側での iframe(フレーム) の制御をコントロールすることができる。 …
セキュリティ脆弱性の一つであるCSRF (クロス・サイト・リクエスト・フォージェリ) について簡単に纏めてみた。 CSRFを一言で言うと、攻撃者により、webサイトの利用者が意図しないリクエストがwebサイトに対して実行されてしまうセキュリティ脆弱性のこと。…
先日、SSL/TLS の署名アルゴリズム(ハッシュアルゴリズム)について話が挙がった時、「あれ?署名アルゴリズムって SSL/TLS通信のどこで使用されるんだっけ・・?」となってしまったので、また忘れないようにここに簡単に纏めておく。 署名アルゴリズムは、SH…
SSL/TLSの設定を行っていると、 TLS_RSA_WITH_DES_CBC_SHA など、暗号スイートを示す文字列に出くわすことがある。 これは、SSL/TLSの暗号技術の組み合わせを表しているのだが、何を意味するのか分かりにくいので、ちょっと調べてみた。 上の暗号スイートを…