- 1. Web上でパスワード不要のE2E暗号化してセキュアにファイル転送をしたい
- 2. 秘密計算ことはじめ2019
- 3. 【PHP】SESSIONも危ない!セキュリティを見直そう。
- 4. 「Micro Hardening」に参加してきました
- 5. CTF解法メモ【Hacker101】
- 6. コンピュータウイルスに感染したかもしれないと思ったら
- 7. Google Chrome 78以降でMonacaにアクセスした際にサードパーティーCookieでエラーが出る場合の対処法
- 8. 個人開発でFirestoreのセキュリティルールを頑張って書いてみたので少し公開する
- 9. sSSLScan.exe Manual
- 10. 高度サイバー攻撃の痕跡を見つけるためのDNS Queryログ分析:Soliton NKのWinevent インジェスターを用いたWindowsデバイス管理
- 11. Dockerでファイルマウントができない
- 12. C#でRC4(Arcfour)を計算する
- 13. AWSネットワーク周り基礎知識まとめ
- 14. AWS での多エレメント認証 (MFA) の使用
- 15. 同一オリジンポリシーとCORS
- 16. C#でバイナリファイルのSHA-256を計算する(実質4行)
- 17. ウェブページセキュリティ対策(クリックジャッキング)
- 18. マルチクラウド環境におけるサーバ証明書の運用 Let’s Encrypt/AWS/Azure
- 19. 「セキュアで堅牢なAWSアカウント」を実現する CloudFormationテンプレート – ②パスワードポリシーの自動修復
- 20. 「セキュアで堅牢なAWSアカウント」を実現する CloudFormationテンプレート – ①サービスの有効化
Web上でパスワード不要のE2E暗号化してセキュアにファイル転送をしたい
## なにを目指しているか?
多くのクラウドストレージやメールを使ったファイル転送ではクライアントとサーバー間の暗号化はされています。ですが、その多くの場合サーバー内では生のデータもしくは暗号化されていてもサーバー内で復号可能の場合が多いと思います。
そこで送受信を行う**端末間でエンドツーエンド暗号化(E2E暗号化)してサーバー側にも分からない形してサーバーを信じなくても良い、より高度なセキュリティ**を目指したいです。それと同時に**安全性かつ手軽にファイルを転送**を重視したいです。
一般にセキュリティを強めると不便になったりして、安全性と利便性にトレードオフがあると思います。このトレードオフをなるべく解決して、安全性と利便性の両立して安全性と手軽さを両立することを考えました。ユーザーのパスワードの入力不要で、手軽にセキュアに転送するために使った技術に関して後述します。### アプリケーション
という完全準同型暗号ライブラリのチートシートです。
Pyfhelを使うと**暗号化されたデータを復号せずにそのまま演算することが可能**です。
## Pyfhelについて
– ソースコード
– [ibarrond/Pyfhel: PYthon For Homomorphic Encryption Libraries, perform encrypted computations such as sum, mult, scalar product or matrix multiplication in Python, with NumPy compatibility. Uses SEAL/HElib/PALISADE as backends, implemented using Cython.](https://github.com/ibarrond/Pyfhel)– ドキュメント
– [Welcome to
【PHP】SESSIONも危ない!セキュリティを見直そう。
## 初めに
みなさんは、“`php
session_start();
“`だけでセッションを利用していませんか?もし、この一行だけでsessionを使用しているのなら、直ちに変更したほうがいいでしょう。
## どこが危ないのか
セッションの仕組みをもう一度確認してみましょう。
まず、サーバーが初アクセスのプレイヤーにクッキーでIDを作成し保存します。
そのあと、セッションIDをアクセス毎に確認し、保存データからHTML等を生成します。ここで注意する点が、***Cookieでsessionidを保存する***ということです。
Cookieとは、クライアント側で変更可能(ほとんどのブラウザで可能)なため、友人のsessionidを盗めばログインもできてしまいますし保存データもすべてアクセスできてしまいます。つまり、ほとんどのサイトがsessionにログインデータを保存しているので、ユーザーを識別するためのsessinidが盗まれてしまえば保存されているデータも盗まれるということになりますし、メモサイトであればメモのデータを変更さえ削除さえできてしまいます。
簡単な事
「Micro Hardening」に参加してきました
# Micro Hardeningに参加してきました
– セキュリティをゲーム感覚で学べる競技
– ECサイトに次々降りかかってくるセキュリティ攻撃にどう対処するかを競い合う競技# 学んだこと
– 作業の共有は大事
– 万が一やらかした時に戻せるようにしておかないとやばい
– 私もiptablesの設定をやらかしてしまい、救済してもらいました…
– ログをどれだけ効率よく見れるか
– サービスの動作の監視の重要性
– 使わないサービスは消しましょう
– 実際に攻撃された事例を知らなければ防ぐのが難しいと思った
– どったんばったんすると穴を生みやすかった# ネタバレ防止のため内容を公開できないので、興味を持った人は参加してみてください!!
CTF解法メモ【Hacker101】
# これは?
CTFを解く中であまりにも自分ができなさすぎるので,そもそも当たり前としてどこにも載っていないレベルの常識を書き溜めるモノ.Hacker101の問題を取り上げる適宜更新していく
## micro-cms v1: Easy
### 解けなかったやつ
* URLに対するSQLi -> `/path/to/10’`
* 1時間考えても全く思いつかず
* ただの気づきがないやつ -> `閲覧URLのパーミッション拒否ページを見たあと,その編集ページは開ける`
* `/path/to/10` は403だが `/path/to/edit/10` は見れてフラグがある
* そもそも番号が一部飛んでることに気付けなかったのが問題### 解けたやつ
* `’javascript’`が消される環境下でのxss
* -> `onclick=’alert(1)’`, `