Security

Security

AtlassianをSP、Google WorkspaceをIdPとしてSAMLを設定する方法

概要 SAMLの証明書が切れたので設定箇所をメモしておきます。 SAMLに関する設定は2箇所あるので、両方を適切に設定する必要があります。 Atlassianのドキュメントには設定1に関する事項しか載っていないので不十分でした。 設定1 S...
Security

HSTS (Http Strict Transport Security)を設定

HSTSについての説明はこちらに詳しく書かれています。 HSTSのpreloadに登録 HSTSのpreloadに登録するための設定は簡単です。 ドメイン自体のAレコードのURLに対して、HTTPヘッダを1つ追加するだけです。 HSTSのp...
Security

OWASP TOP 10のトップ3を解説

概要 OWASPが発表している最新のWeb攻撃手法のことです。2017年時点の内容ですが、2020年時点でもこれらの攻撃手法は現役です。"Top 10 Web Application Security Risks"。通称は OWASP To...
Security

I found a vulnerability related to the potential of Zoom Bomb

Abstract I found a security issue related to the strength of password authentication.This can be attacked from a remote ...
Security

Zoomのパスワード強度に関する脆弱性を見つけた

概要 Zoomにおいてパスワード認証に関連する脆弱性を見つけました。 特徴はリモートから、Zoomのサービスを利用しているユーザに対して、秘匿性に影響する内容です。 自己診断したCVSSスコアは6.5です。 CVSS:3.0/AV:N/AC...
nginx

このサイトをTLS1.3に対応しました

概要 いつからか、blog.teraren.comのTLS設定において、TLS1.3に対応していなかったので対応しました。 TLS1.3は、1.2から大きくハンドシェイクシーケンスが変わっていたり、ちょっと古めの暗号化アルゴリズムが排除され...
PCI DSS

PCI DSS v3.2 セキュリティ基準の内容を構造化してみた

概要 PCIセキュリティ基準の準拠項目を構造化しました。ソース最初は自分でPDFからコピペしていましたが、大変だったのでクラウドソーシングに出して作ってもらいました。自分が想定していた速度の3倍くらい速かったので、餅は餅屋だなと思いました。...
nginx

TLS 1.1以下の対応を無くし、TLS 1.2と1.3だけを有効化

背景 PCI DSS 3.2では、SSLとTLS1.1は2018年6月28日までに無くさなければいけないと明示している。 Visaは2018年2月にTLS1.1以下を無効にする主旨を発表し、各プログラミング言語に応じた移行方法を出している。...
Network & Infrastructure

certbotを使ってSSL証明書を自動更新

概要 Let's encryptのSSL証明書を自動更新するためのプログラムがcertbotとして切り出されたので対応してみました。 Mac OS Xの場合 % brew install certbot 試しに更新してみる。 # brew ...
Linux

Let’s Encryptを使って簡単0円でサーバ証明書を取得

概要 Let's Encrypt を使って、無料サーバ証明書を発行して設置します。 手順通りやれば、10分程度で出来ると思います。 最近Facebookがゴールドスポンサーになって、盛り上がってきています。 12月3日にPublic Bet...