カテゴリー:セキュリティ
-
【セキュリティ】「公開鍵暗号方式」について
07.22
公開鍵暗号方式とは? 暗号化と復号にそれぞれ別の鍵を用いる暗号方式のことです。 公開鍵暗号方式のデータ送受信の流れ 用途 この仕組みは、「デジタル署名」に活用されていたりします。 …
-
「電子署名」とは? ファイルの作成者が、自分の作成したファイルに添付するデータのことで、該当ファイルの正当性(改ざんされていないということ)を証明してくれます。 「電子署名」と「デジタル署名」との違いは? ほぼ同じ意味ですが若干異なり…
-
【セキュリティ】「SAML」とは?
07.22
SAMLとは? 「Security Assertion Markup Language」の略です。 異なるネットワークドメイン間で、ユーザー認証を行うためのXMLをベースとした規格で、企業の持つAD等の情報を使って「シングルサインオ…
-
「SSO(シングルサインオン)」とは? 一つのID、パスワードを用いてパスワード認証を行って、複数のWebサービスやクラウドにアクセスすることができる仕組みです。 昨今は、様々なシステムがあるので、都度パスワードを入力する手間がかか…
-
一般的なエンタープライズ向け AD、LDAP認証を行い、CookieやHTTPヘッダーなど認証情報を埋め込むなどして、Webアプリケーションへの認可を行うもの。 デメリット 独自のプロトコルを使用しており、実装が難しく非常に時間がかか…
-
「Auth0」とは? 元Microsoft社勤務の社員が中心となって、2013年に創業したアメリカの企業で、Webアプリ等の認証・認可のサービスをクラウドベースで提供しているクラウド型シングルサインオンであるIDaaSのベンダになります。…
-
通常のWebアプリケーションであれば、パスワードはデータベースに保存します。 ただ、そのままDBに保存するのは、セキュリティ上望ましくありません。 その対策として、現在はDBにパスワードを保存する際は、ハッシュ化させるのが普通に…
-
【Webセキュリティ】クッキーの仕組み
04.15
クッキーとは? クライアントのブラウザ側に保存されるテキストデータのことです。 セキュリティ上の制約 自分で発行したクッキーにしかアクセスできない。 発行元のホスト情報が記録されていて、それ以外のホストからはアクセスできないようにな…
-
それでは、実際に、XSS(クロスサイトスクリプティング)をJavaサーブレットで、体験してみましょう。百聞は一見に如かずといいますしね。 なお、Chromeだと、XSSがデフォルトで動きませんので、IEで実行するようにしましょう。 …
-
サーブレットの基本になりますが、一応まとめておきます。 そもそも、GET、POSTとは? ブラウザからのサーブレットへのリクエストの種類のことです。GETとPOSTでは、全く仕組みが異なりますが、サーブレットがそれを隠してくれているので…