Tokumaru
Hiroshi 徳丸浩の
ウェブセキュリティ講座

No.37

難易度

CORSの原理を知って正しく使おう

最近質問サイト等でCORS(Cross-Origin Resource Sharing)に関する質問が急増していますが、その多くがCORSの原理をまったく理解せずに、とにかくCORSの制限を回避して動かす方法を求めるように見受けます。

No.36

難易度

不正ログイン手法入門（初級編）

他人のIDとパスワードを用いてログインすることを不正ログインと呼びます。この動画では、代表的な不正ログインの手法について解説します。

No.35

難易度

常時SSLでもCookieの改ざんはできるワケ

以前、下記のブログで解説したよう常時SSLでもCookieの改変はできてしまいます。その後のブラウザ側の改善はあるものの、Cookieの改変は現在でも十分防げるわけではありません。

No.34

難易度

TCP/IPを理解している人ほど間違いやすい 常時SSLでもCookieのSecure属性が必要な理由

20年来のネタではありますが、TCP 80ポートが閉じられているサイトでもCookieのsecure属性は必要です。その理由について詳しく解説します。

No.33

クロスサイトスクリプティング(XSS)対策としてCookieのHttpOnly属性でどこまで安全になるのか

クロスサイトスクリプティング(XSS)の緩和策として、CookieにHttpOnly属性を付与する方法が知られていますが、これはどの程度効果があるのでしょうか。デモを通じて、実はHttpOnly属性にはあまりXSS攻撃緩和の効果がないことを紹介します。

No.32

超入門：ウェブサイトのパスワード保護～ウェブサイトでパスワードを保護する方法～

ウェブサイトにおけるパスワード保護の重要性を3回シリーズで解説します。第3回は、ウェブサイトにてパスワードを保護した形で保存する方法について説明します。

No.31

超入門：ウェブサイトのパスワード保護～ウェブサイトのパスワード管理に対する誤解～

ウェブサイトにおけるパスワード保護の重要性を3回シリーズで解説します。第2回は、ウェブサイトのパスワード管理に対する典型的な誤解について説明します。

No.30

超入門：ウェブサイトのパスワード保護～ウェブサイトへのパスワード攻撃の現状～

ウェブサイトにおけるパスワード保護の重要性を3回シリーズで解説します。
1回目は、ウェブサイトへのパスワード攻撃の現状として、パスワードリスト攻撃に関する入門的な解説です。

No.29

脅威分析の手法によりウェブサーバーにウイルス対策ソフトが必要かを検証する

ウェブサーバーにウイルス対策ソフトを導入していますか?
ウェブサーバーにウイルス対策ソフトは必要なのか否か、脅威分析の手法により分析した例を示します。

No.28

戻るボタンで情報が漏洩するサイトを作ってみた

雇用調整助成金等オンライン受付システムにて、ブラウザの「戻る」ボタンを使うと別の会社の申請書が閲覧できてしまう事故が発生しました。