Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article?
87歳になるそろそろ父が死にそう。 むしろもう半年前からほぼ死んでて入院中で意思の疎通が取れない状態が続いている。 父はそれなりに先進的な人間でフリーランスのSEとして66歳まで仕事を続けており、ウェブ上で様々な決済や仮想通貨取引、投資などを行っていた。 ここで問題になるのが、父が持っている資産の全貌を掴むのが難しいのではないかということだ。 父が持っている端末、iPhone、galaxy、PCにはそれぞれパスワードがかかっており、家族の誰もアクセスすることができない。 こうなると、父がどのサービスにどの程度の資産を持っているのかほとんどわからない状況になる。 昔なら株券や通帳がまとめて資産として金庫なり箪笥なりにしまわれていて、遺品整理の際にそこから死亡後の死亡届の提出や相続手続きに移れたが、 多くがウェブ上に存在し、それを確認できる端末にアクセスできないとなってしまうと総資産の把握がめ
私はプロではないのでわからないので、間違っているのは当たり前だと思って読んでください。 個々人のエンジニアの能力がとかクレジットカードがとかは基本関係ないという話です。 (関係なくてもパスワードを使い回している場合は、同じパスワードを使っているサービスのパスワードはすぐ変えるの推奨) 三行VPN→プライベートクラウドの管理システムとオンプレ認証→各システムと言う流れで侵入されていると思われるオンプレのディレクトリサービスとクラウドのidMが接続され、オンプレの認証資格でSaaSは一部やられた可能性がある現在クラウドにリフトアップ中で、新システムはモダンな対策された方法で保護されており無事だった。が、それ故にオンプレへの対策が後手だったのでは会社のシステムはどうなってるか私は長年社内システムの奴隷をやって参りました。現在のクラウドになる前のサーバも触って参りましたので、その辺りからお話しをさ
更新履歴 2024/6/28 ネットワーク遮断の是非について追記しました。 はじめに とあるセキュリティインシデントにおいて、サーバを電源ケーブルごと引き抜いたという対応が行われ、X(Twitter)ではこの対応について賛否両論が見られました。このうち電源を入れたままにすべきという人の意見には、「マルウェアの中にはシャットダウンすることで自分自身を削除し、感染痕跡を削除するものがある」「メモリを調査すべきなのでシャットダウンすべきではない」のような意見が見られました。 本記事では実際にメモリからどのような情報がわかるか、そしてメモリダンプを解析することの有用性と課題について記載します。 また、インシデント発生時の特に封じ込めフェーズについても考察します。 メモリフォレンジック セキュリティインシデントにおいてはフォレンジック調査が行われる場合があります。フォレンジック調査には、HDDやSS
セキュリティに限定せず、「コンテナとは何か」から詳細に説明しています。コンテナやセキュリティの深淵に触れてみたい方にお勧めの、遅効性の良書という印象です。 コーヒーが好きな emi です。 コンテナを使ったアーキテクチャは引き合いも多く、私も常々しっかり学ばねばならないと思っていました。そんな折、以下のイベントでコンテナセキュリティに関する内容で登壇をすることになりました。 コンテナセキュリティについて学ぶため「コンテナセキュリティ コンテナ化されたアプリケーションを保護する要素技術」を読みましたので、本記事では本書の概要と感想を記載します。 書籍情報 書籍タイトル : コンテナセキュリティ コンテナ化されたアプリケーションを保護する要素技術 著者 : Liz Rice(著)、株式会社スリーシェイク(監修)、水元 恭平、生賀 一輝、戸澤 涼、元内 柊也(訳) 出版社 : インプレス 出版日
今回記載した2つのパターンを分けるポイントになったのは、2列目に記載している、仮登録時のパスワードの要否です。 ユーザが自分自身で登録するパターンに記載している、signUp関数を使っても、管理者によるユーザ登録ができなくもないのですが、その際は登録時に設定したパスワードを、別手段(手動のメールなど)でユーザに知らせる必要があり、それは手間だろうということで、今回のパターン分けに至りました。 具体的な流れ・注意事項など それぞれのパターンについて、具体的な流れを記載していきます。前提として、フロントエンドでamplifyを使用できる箇所は積極的に使っています(amplifyのインストール・設定についてはこちら)。 また、今回紹介するのはあくまで上記2パターンの一例であり、もちろんその他の実装パターンもあります。 コードの参考例を記載する箇所は、<バックエンド>、<フロントエンド>のように、
Rails 6 で omniauth-cognito-idp を使って Amazon Cognito 認証を実装するサンプルRailsAWScognito 要点 Amazon Cognitoを使えば、deviseに依存せずに、ユーザ登録・ログイン・ログアウト・パスワードリセット・ソーシャルログイン・n段階認証・SAMLなど、様々な機能がアプリケーションコードから分離するかたちで追加可能です。Amazon Cognitoの他にも、Auth0やFirebase Authentication等があり、IDaaS(Identity as a Service)と呼ばれます。 本記事では、Railsアプリケーションで動作検証をする場合の手順を記載しています。 Amazon Cognitoのユーザープールの作成とクライアントの設定の基本的な手順を解説(作業時間: 10分程度) 動作検証するためのサンプル
前記事 AWS Fargate, ECSを用いたコンテナ運用設計、構築をしてみた。~アーキテクチャ考察~ 今回やること 前回の記事でアーキテクチャを考えました!! 今回はアーキテクチャを構築するためのネットワーク、セキュリティグループを作成していきます。 アーキテクチャ精査 前回作成したアーキテクチャに以下サブネットを追記します。 自分はCloud9を使用してALB→Fargateの疎通確認やDBの設定、ECRへのプッシュを行いましたので、Cloud9用のサブネットを追加しています。 赤線はCloud9から接続する必要があるルートです!このルートを通れるようにセキュリティグループを設定しないといけません。(自分はここ設定し忘れてテストで嘆いてました。) Interfase Endopoint用Private subnet(ECR, CloudWatch, Secret Manager用)
クラメソさんのこの記事を読んで追加で色々試してみたのでメモ。 dev.classmethod.jp [ALBからのHTTPS通信?] [aws-ecs-patterns] [nginxで実験] [まとめ] [ALBからのHTTPS通信?] こちらのAWS公式ドキュメントに記載されているように、ロードバランサでTLS接続を終わらせ、EC2やECSへの接続にはHTTPSでなくHTTP通信を利用するだけでも十分であることが多い。一方で、より厳しいルールに従うならばロードバランサからバックエンドへの通信にHTTPSを利用することもできる。 以下の記事では、バックエンドにEC2インスタンスを利用し、自己署名証明書でHTTPS接続している。 dev.classmethod.jp 自己署名証明書を使っているが、ALBのトラストストアに問題の証明書を登録するような手順は確認できなかった。ということは、AL
ALBのターゲットグループ設定でHTTPSが選択できるため、バックエンドEC2とのHTTPS通信設定し通信できるのか確認してみました。 また、利用したサーバ証明書は、ALBはACM、EC2は自己証明書(オレオレ証明書)を利用してみました。どなたかのお役に立てれば光栄です。 こんにちは、コカコーラ大好きカジです。 ALBのターゲットグループ設定でHTTPSが選択できるため、バックエンドEC2とのHTTPS通信設定し通信できるのか確認してみました。 また、利用したサーバ証明書は、ALBはACM、EC2は自己証明書(オレオレ証明書)を利用してみました。 ELBとEC2間をSSL通信にしたい場合、以前だとCLB(Classic Load Balancer)では、TCPリスナーやHTTPS リスナーでBackend Certificateを利用していましたね。 構成 結果 ターゲットグループのプロト
はじめに セキュリティの重要性が増してくる昨今、Webサイトにも様々なセキュリティ強化の規格が策定されています。 その中でも、対応サイトが増えているように感じるHSTS(HTTP Strict Transport Security)についてまとめました。 HSTS(HTTP Strict Transport Security)とは? HTTPレスポンスヘッダにHSTSに関する事項を記載することで、指定した有効期間内はブラウザ(ユーザエージェント)が同一ドメインにアクセスする際はTLSによる通信を強制する仕組みです。 つまり、HTTPでアクセスしようとしても、ブラウザが「このドメインはHTTPSでアクセスするドメインだ!」と覚えていてくれて、HTTPSでリクエストを送ってくれるということですね。 HSTS(HTTP Strict Transport Security)はRFC6797で規定さ
HSTS – HTTP Strict Transport Securityの使い方 WordPressサイトのセキュリティが正しく設定されていることは、特にハッカーから身を守る場合に非常に重要です。サイトが確実に保護されるための機能強化や最高のWordPressのセキュリティ慣行が多いです。WordPressサイトがHTTPSを使用している場合、お勧めの拡張機能の一つはHSTSセキュリティヘッダーです。これは、中間者攻撃(Man In The Middle Attack、省略MitM)とクッキーハイジャックの防止に役立ちます。 HSTS(Strict Transport Security) WordPressサイトにHSTSを追加するには HSTSヘッダーの検証 HSTSのSEOへの影響 HSTS(Strict Transport Security)とは? HSTSはHTTP Strict
以下の記事の続きです。 Rails: config.force_ssl = true によるHSTSの動作をローカル環境とChromeで試してみた 参考: Rails API ActionDispatch::SSL ⚓Rails 5と6のHSTS設定方法 Rails 5以降では、config/environments/production.rbで以下の設定をコメント解除すると、production環境で強制的にHTTPS通信を試みるようになり、同時にHSTS「も」有効になります。 config.force_ssl = true ドキュメント: Rails アプリケーションを設定する - Railsガイド production環境のRailsサーバーでHSTS(HTTP Strict Transport Security)が有効になると、サーバーからのHTTPレスポンスに以下のようなStri
現在クラウドリフトの作業をしていて、ECS(またはEC2)の前段にALBを配置し、ALBをSSLの終端としている。 これはAWSでパブリックなアプリケーションを作成する際によく取られる構成だが、HTTP Strict Transport Security(HSTS)は仕様上HTTPSの経路でのみレスポンスに付与される。 この仕様により、ALBをSSLの終端に設定するとレスポンスにHSTSが付与されない。 この問題を解決するためにはECSに乗せているアプリケーション上で、ALBに到達した際のプロトコルを見るように修正する必要があり、その元のプロトコルがX-Forwarded-Proto (XFP) に入ってくる。 この対応を行う上で調べた内容をメモしておく。
概要 AWS Cognito を使ってログイン機能を構築してみます。 構築方法として、ログイン画面と会員登録画面について、Cognito 側で用意された UI(Hosted UI)を使用するパターンと、SDK 等を用いて完全に独自にログイン画面や会員登録画面を構成するパターンがあります。 まずは、Cognito 側で用意された UI(Hosted UI)を使用するパターンについて記載します。 手順 Cognito ユーザプール設定 AWS コンソールからcognito-ユーザープールの管理-ユーザープールを作成するを押下します。 プール名に任意のプール名を設定します。(例):testuserpool) ステップに従って設定するを押下します。 属性の設定を行います。ここでの設定は後から変更できないため、先に要件を決めておく必要があります。ユーザ名でのサインインとするか、Eメールアドレス、電話
背景・目的 私は、現在データエンジニアリングを生業としています。普段は、データ基盤の構築や、パフォーマンスチューニングなどビックデータに関する業務に従事しています。 日頃から、データに関わる業務が多く、Webフロントエンドやバックエンドの技術に触れる機会が少ないため、意図的に学んで行こうと思います。 今回は、Webアプリケーションの認証やユーザ管理のサービスであるAmazon Cognito(以降、Cognitoと言います。)を学んでいこうと思います。 まとめ Cognitoは、簡単な設定でユーザ認証の仕組みを提供する。 既存のシステムや他のIdPで管理しているユーザIDを使用することが可能。 概要 Cognitoとは? Amazon Cognito を使用すれば、ウェブアプリケーションおよびモバイルアプリに素早く簡単にユーザーのサインアップ/サインインおよびアクセスコントロールの機能を追
AWS資格取得に向けて実際にAWSを利用してみるシリーズの投稿です。 今回はAWSを使って素早く簡単にユーザーのサインアップ/サインインおよびアクセスコントロールの機能を追加できるAmazon Cognitoを利用してみる編です。1時間程度でCognitoを利用したログイン機能が作成できます。 資格勉強的にはCognitoのユーザープール、IDプールの違いを確認しつつ、手っ取り早くログイン画面の作成するための手順になっています。 興味がある方は読んでみて下さい。 資格試験の勉強法は記事は以下を参照。 AWS初心者がAWS 認定ソリューションアーキテクト – アソシエイト資格試験に合格した時の勉強法 AWS初心者がAWS 認定ソリューションアーキテクト – プロフェッショナル資格試験に合格した時の勉強法 想定読者 AWSでログイン機能(認証・認可)ができるCognitoを使ってサクッとログイ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く