いくらセキュリティに拘っても安全にならない場合があります。その代表例はソフトウェアの開発環境です。そもそもセキュアにすることが無理な場合、別の対策を取る必要があります。 細かいセキュリティ対策を実施するより、本質を捉えて全体対策を行う方がより安全になる場合があります。開発環境はその代表例です。 (さらに…)

ファイアーウォールで守っている、プロキシも使っている、だからインターネットからローカルネットワークは守られている！ 半分あたりですが、半分はずれです。よくあるネットワークシステムではローカルネットワークはインターネットから半分くらいしか守っていません。 まだ対策をしていない場合は実施することを強くお勧めします。 クロスサイト攻撃からローカルネットワークを守る…

前のエントリでFirefox + NoScriptによる内部ネットワークを守る方法を簡単に紹介しました。本当はネットワークを分離（物理的またはVLAN）し、それぞれに安全に利用できるプロキシーサーバー（ローカルネットワークのリソースにアクセスさせない、など）を用意して利用する方が良い、のですがこれには”それなりのモノと手間”が必要です。 Firefox + …

ソフトウェアの開発環境は通常の環境と違う対策が必要です。その理由は開発環境には 他人が書いた未検証のモノ 自分が書いた実験用のモノ 他人または自分が書いた作りかけのモノ 制御された環境での利用を前提としたモノ 意図的に利用している新しいモノ（リリース前のソフトウェアなど） 意図的に利用している古いモノ（古いシステムサポートためなど） ※モノにはコード／ライブ…

世の中には仕様としてセキュリティを考慮していないWebアプリも多くあります。特に開発環境では多いのではないでしょうか？こういったアプリも安全に使う為には少しだけ工夫が必要です。本来、セキュリティを考慮しておいた方が良いWebアプリであっても、セキュリティが考慮されていない場合でもこの方法は利用できます。 参考： ソフトウェア開発環境のセキュリティ対策 (さら…

Webシステムには様々なリスクがあります。より安全に利用するためのTipsを紹介します。 他の方も普通にこれから紹介する方法を使ってWebシステムにアクセスしている、と思っていたのですがそうでもないようです。これから紹介する方法でリクエストフォージェリやクロスサイトスクリプティングなどのリスクを排除／軽減できます。