-
解決済
- 回答
- 4
アプリケーション内でのログインのセキュリティ
セキュリティにはあんまり詳しくなく、曖昧な表現になっているかもしれません… 例えば、アプリ内でアカウントでログインしてデータをアップロードできるようになる、といったものを想定したとき、 ログインするためのIDパスワードとデータを一緒にしてHTTPS通信するとき、 そのアプリが改造されていて、どっか別のサーバーにいったんデータを送っているような場
- 0評価
- 750PV
-
受付中
- 回答
- 0
VPSの秘密鍵はやっぱり設定したほうがいいのでしょうか?
VPSの初期設定では、必ず公開鍵と秘密鍵を設定すると思うのですが、エラーなどで上手くいきません。 この場合、パスワードを強固にするなどして対策をしても、やはりセキュリティ的には危ないものでしょうか? 一応、rootのログインは禁止しているので、一般ユーザーのログインパスワードだけしっかり作れば問題ないのではないか?と思ってしまいます。 あまりセキ
- 0評価
- 44PV
teratailが18時間前に アップデート -
解決済
- 回答
- 5
-
解決済
- 回答
- 3
画像アップロード機能の脆弱性対策
先日、画像(JPEG)のアップロード機能を含むシステムを作成し、 外部の企業にそのシステムの脆弱性チェックを行って頂きました。 その際、 ファイルのアップロード時には「ファイルの拡張子のチェック」だけではなく、 「ファイルヘッダのチェック」も行うように指摘されました。 「ファイルヘッダのチェック」というのは、 例えば、 以下のサイトのように「MIME
- 0評価
- 217PV
-
受付中
- 回答
- 2
Jenkinsでの二要素認証の方法について
Jenkinsの管理画面へのログインに2要素認証を設定したいと考えています。 プラグインやその他ツールを連携して実現する方法はありますでしょうか? 【例】 ①ユーザーデータベース ②Google Authenticator ※IP制限も別途設定 【参考】 https://support.cloudbees.com/hc/en-us/article
- 0評価
- 45PV
-
解決済
- 回答
- 5
クレジットカードの番号、名義、有効期限をシステムで保存するのは何のためか?
概要 クレジットカードの番号、名義、有効期限をシステムで保存するのは何のためなのでしょうか。 詳細 健康食品通販サイトにおけるお客さま情報の流出に関するお詫びと調査結果のお知らせ | ニュースリリース | 森永乳業株式会社 こちらの事件ではクレジットカード情報が流出し、カード情報が不正に使用されるという被害(不正請求)があったそうです。
- 0評価
- 929PV
-
受付中
- 回答
- 1
アクセストークンに対する、ID/Passwordを毎回含めたリクエストのデメリットについて
認証が必要なAPIサーバを開発する際の主流は以下の流れだと思います。 1. クライアントからID/Passwordを含めたログインリクエストを送る 2. サーバ側でID/Passwordを検査して、正しければアクセストークンを発行、返却する 3. クライアント側でアクセストークンをlocalStorage等に保存して、認証が必要なリクエスト時に付与する
- 0評価
- 58PV
-
解決済
- 回答
- 7
多くのサービスがログイン時に生のパスワードをそのまま送っているが、「サーバー管理者」にパスワードを悪...
多くの登録制のウェブサイト(Twitterとfacebookで確認しました)は、ログイン時のパスワードをformのパラメーターに直接載せています。 しかし、パスワードが直接渡ると、サーバー側で(分かりづらかったため追記3:"クラッカー"ではなく"サーバー管理者"に)パスワードが抜き取られる可能性が出てくるので、ユーザーにとっては不安であると思います。 そこで
- 3評価
- 2925PV
-
解決済
- 回答
- 1
管理者でログインしているのにも関わらずファイル監査の操作が出来ない
御世話になります。 AWSでWindowsSever2016でファイルサーバを構築し、自宅のドメインに参加しドメイン内のAdministratorとしてログインしました。 そして、共有ファイルの監査設定を行おうとしたのですが 以下の画像のようなメッセージが表示され、続行を押下すると監査の項目が消えてしまい、監査設定ができません。 この他の管理者と
- 0評価
- 80PV
-
受付中
- 回答
- 0
React Router + Firebaseによるユーザ認証機能の方法
前提・実現したいこと React RouterとFirebaseのAuthenticationを利用して、ユーザの認証機能を作成しようとしています。 ルーティングは以下のようになっており、ルートにアクセスしようとした際、ログイン済みならそのまま表示して、未ログインの場合は/loginにリダイレクトさせるという感じです。 App.jsx impor
- 0評価
- 79PV
teratailが2週間前に アップデート -
受付中
- 回答
- 1
【PHP】CSRF対策について
①お問い合わせフォームのCSRF対策をしようと思います。以下の通りプログラムを作っています。 どの画面でどの処理をやるか不明なのですが、index.phpでtokenを取得し、遷移先のconfirm.phpでtokenのチェックという流れでよいでしょうか。 index.php(お問い合わせフォーム/入力画面)→confirm.php(確認、送信画面)
- 0評価
- 358PV
-
解決済
- 回答
- 2
ユーザー情報の照会時に「存在しないユーザー」と出力しない設計について
とあるウェブサービスのログイン情報を紛失し、パスワードリセットの為の操作を行い、 「入力されたメールアドレスにリセットの為のメールを送信した」 と表示されたものの、待てど暮らせど一向に届かない事がありました。 問い合わせをしてみると、 「そのメールアドレスで登録された情報は存在しないので、そもそもメールは送信されない」 という答えが返ってきました。 同じ
- 0評価
- 99PV
-
解決済
- 回答
- 2
SSLを導入したらWeb改ざんは防げますか?
Webサイトを構築するにあたり、SSL証明書の購入も考えております。企業のページなのでサイト改ざんなどを防ぎたいと思います。 初心者な質問かもしれませんが、SSLを導入したらweb改ざんは防げますでしょうか?防げる場合、メールなどで改ざん通知などもあるのでしょうか? ある情報ではSSLだけでは改ざんは防げない、他のシステムを導入する必要があるなどなど。
- 1評価
- 1855PV
-
受付中
- 回答
- 1
WEBサーバー間のセキュアな通信方法について教えてください。
■希望する機能 公開済みのWEBサイトのお問い合わせフォーム(PHP)で 入力された内容をCSVで保存をしたいです。 CSVの保存先はWEBサイト上ではなく、 社内のクローズド環境にあるWEBサーバーへ保存したいと思います。 社内サーバーへデータ保存する方法は WEBからPOST送信しようと思います。 ■ご質問 CSVに記載する内容は個人情報のため、
- 0評価
- 135PV
-
解決済
- 回答
- 2
COOKIEにてサイト表示を切り替え時の不正アクセス手段
レンタルサーバーにてサイト制作(HTTPS) PHPにてMYSQLから会員ID,パスワードを比較し (複数回ログイン失敗時は特定時間ログイン処理出来ないように設定) COOKIE['session_check']に照合一致の文字列を有効時間指定で書き込み データが入ってない場合はログインページへ戻るようにしてあります <?php if(!isset(
- 0評価
- 1035PV
-
受付中
- 回答
- 1
cookieを完全コピーしてもログイン状態を保つことができない理由
例えばyahooにchromeでログインした後、そのクッキーをfirefoxにコピーすればfirefoxでもそのアカウントでログイン状態を保つことができましたが、現時点でのyahooはそれができなくなっています。 どのような仕組みによってそれを不可能にしたのでしょうか? 宜しくお願いいたします。
- 0評価
- 118PV
-
受付中
- 回答
- 1
アップデートをしてから、ソフトから何もフォルダに保存できなくなりました。
現在、Windows10で、アクセス許可の不具合が起きてとても困っており、作業が滞っているため助けていただけると幸いです。 最近Windows10のアップデートがあったのですが、 アップデートした後から、インターネットからダウンロードしたアプリで作成した画像ファイルなどが、どこにも保存できなくなってしまいました。([ダウンロード]フォルダのみ保存できまし
- 0評価
- 294PV
-
解決済
- 回答
- 2
テザリングを利用したVPNについて
テザリングのリスクについてお教えください。 仮に、マルウエアに感染しているスマートフォンを利用して テザリングしているとします。 上記スマートフォン経由PCからVPNを張り、 企業へ接続し場合、何らかのリスクはありますか? パソコンのクライアント証明書はインストールされていない状態といたします。
- -1評価
- 242PV
-
解決済
- 回答
- 3
clientのipアドレスを取得 → DBにそのまま保管 は問題なしか??
実現したいこと 「一回目だけサイトに訪れた場合にあるモーダルを表示する」という実装を$_SERVER["REMOTE_ADDR"] ;を使用し実装しようと思っております。 その際にipアドレスをDBに保管 →その情報を元にモーダルを表示するかしないかのif文分岐を行う 疑問点 しかしこの際にDBにただ単にipアドレスをinsertしてもセキュリテ
- 0評価
- 140PV
-
解決済
- 回答
- 2
WordPressでwp-adminディレクトリにIP制限をかける意味はあるのか
お世話になります。 WordPressでwp-adminディレクトリにIP制限をかける意味はあるのかと、疑問に思っております。 最近WordPressを使いだし、色々セキュリティ関連の記事をネットであさりました。 その中には「wp-adminディレクトリにIP制限・Basic認証をつけよ」という記事がありました。 ただ、理由がどれも不明瞭です。「管理
- 0評価
- 138PV
