Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article? 「添付ファイルのパスワードは別途送付します」 皆さんも、添付されたZIPファイルと共に、どこかで一度はこの文面を見たことがあると思います。 そして、この行為が無意味であるという事もまた、ご存じかと思います。 しかし、日本の特に大手企業では古い習慣や責任逃れとして、未だに使われ続けているのが現状です。 そして、そのような事を続けている企業ではもれなく、クラウドストレージサービスの使用も制限されているのがお約束です。 今回は、そんな脳死古い思考を引き摺った環境でも、安全でなるべく簡単にファイル転送を行えるアプリケーションを作ってみました。

この記事は NestJS Advent Calendar 2019 12日目の記事です。昨日は私 @ci7lus の NestJS Response ヘッダー 変え方 でした。 今日は NestJS における簡易的なパスワード認証の実装を紹介します。 NestJS における認可・認証は Guards という機能を用います。 Guards とは 参考: Guards | NestJS - A progressive Node.js web framework Guards は、コントローラーにおいてアクセス元の情報に合わせた認可を行う仕組みです。 Express などにおいて認可は Middleware の一部として実装されますが、NestJS においては専用のモジュールとして実装されているので、これを利用することでより宣言的で確実な認可を行うことができます。 上記ドキュメントでは、プレーン

Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article?

Intro Cookie は、ブラウザに一度保存すれば、次からその値を自動的に送ってくるという、非常に都合の良い仕様から始まった。 State Less が基本だった Web にセッションの概念をもたらし、今ではこれが無ければ実現できないユースケースの方が多い。 冷静に考えればふざけてるとして思えないヘッダ名からもわかるように、当初はこのヘッダがこんなに重宝され、Web のあり方を変えるかもしれないくらい重要な議論を巻き起こすことになるとは、最初の実装者も思ってなかっただろう。 そんな Cookie が今どう使われ、3rd Party Cookie (3rdPC) の何が問題になっているのかを踏まえ、これからどうなっていくのかについて考える。 Cookie のユースケース Web にある API の中でも Cookie はいくつかの点で特異な挙動をする 一度保存すれば、次から自動で送る 現

宅ふぁいる便から平文パスワードが漏洩した件を受けて、あらためてパスワードの安全な保存方法が関心を集めています。現在のパスワード保存のベストプラクティスは、パスワード保存に特化したハッシュ関数（ソルトやストレッチングも用いる）であるbcryptやArgon2などを用いることです。PHPの場合は、PHP5.5以降で使用できるpassword_hash関数が非常に便利ですし、他の言語やアプリケーションフレームワークでも、それぞれ用意されているパスワード保護の機能を使うことはパスワード保護の第一選択肢となります。 なかでもbcryptは、PHPのpassword_hash関数のデフォルトアルゴリズムである他、他の言語でも安全なハッシュ保存機能として広く利用されていますが、パスワードが最大72文字で切り詰められるという実装上の特性があり、その点が気になる人もいるようです（この制限はDoS脆弱性回避が

構築したメールサーバーから送信したメールが迷惑メールとして識別されたことはありませんか？ このような場合は、送信したメールが経由するメールサーバーのなりすましメール対策に引っかかっている場合が殆どです。（まれに迷惑メールのブラックリストに登録されていることもあります） 前回までの記事で安全なメールサーバーの構築手順を紹介してきましたが、メールを受信側で送ったメールが迷惑メールと判定される可能性があります。

特定の会社やブランドの名前を騙った、不審なメールを受け取ったことがある方も多いのではないでしょうか？こうしたフィッシングメールでは、メール受信者の個人情報を盗むためにドメインスプーフィング（なりすまし）をする場合が多いようです。現在のメールインフラの規格は完全ではなく、時に悪用されることがあります。それでは、どうやって自身のドメインやブランドをこうした ”なりすまし” から守れば良いのでしょうか？ DMARC（Domain-based Message Authentication, Reporting & Conformance）に参加するという方法があります。DMARCは、「SPFとDKIMのどちらの認証にも失敗した場合に、受信サーバはどうすべきか」を示したものです。これはつまり、「なりすましメールを受け取った時に、受信サーバはどうすべきか」ということです。 SendGridでDMARC

この記事は What Is DMARC in Email (Understanding DMARC Records)? の抄訳です。 DMARC（Domain-based Message Authentication, Reporting & Conformance）とは、メールの認証を行うSPF（Sender Policy Framework）とDKIM（DomainKeys identified mail）を利用して、メールの信頼性を判断するプロトコルです。DMARCを利用することで、正規の組織になりすました攻撃者のメール（なりすましメール）をドメイン管理者が捕捉できるようになります。 SPF 送信者が自身のドメインのメール送信サーバ（IPアドレス）を事前に登録しておくことで、なりすましを見破る技術です。受信サーバはSPFレコードをチェックし、許可されたサーバから送られたメールであるこ

フジ・メディア・ホールディングス子会社で通販大手ディノス・セシールが新たな手法によるサイバー攻撃の被害に遭った。同社は2018年6月2日にWebサイト「セシールオンラインショップ」が不正アクセスを受け、4日後の6月6日に顧客情報が流出した可能性があったと公表した。 手口は「リスト攻撃（リスト型アカウントハッキング）」の一種だ。リスト攻撃とは、サイバー攻撃や闇取引など何らかの手段で入手した、攻撃対象のWebサイトのユーザーIDとパスワードの一覧（リスト、パスワードリストとも）を使って、機械的にログイン試行を繰り返し、不正ログインを試みるものだ。ログインできたら個人情報を盗んだり、ポイントを金品に換えたりする。 今回、ディノス・セシールを襲ったのは、より巧妙さを増した「新型リスト攻撃」と言えるものだった。結果的に不正ログインが成功したのは490人にとどまったものの、セキュリティ関係者には波紋が

Google アカウントで 2 段階認証を有効にしている場合にはユーザー名とパスワードに加えて確認コードなどの認証を行う必要がありますが、 Outlook など他社のサービスや製品から Google アカウントにログインしようとすると 2 段階認証に対応していないためログインできなくなってしまいます。そこで 2 段階認証に対応していないサービスや製品からログインするための手段としてアプリパスワードが用意されています。ここではアプリパスワードの生成と実際の利用方法について解説します。 (Last modified: 2023年07月10日) 新しいアプリパスワードを生成する 新しいアプリパスワードを作成します。 Google アカウントにログインしたあと、画面右上に表示されているプロフィール画像をクリックし、表示された画面の中の「Googleアカウントを管理」をクリックしてください。 「Go

2018年2月末頃から何者かによるルーター内の設定情報が書き換えられる被害が報告されています。改ざんによりインターネットへ接続できなくなったり、マルウェア配布サイトへ誘導されたりする事象が発生し、日本国内でも3月半ばぐらいから同様の事象が報告があがっています。 ここでは関連情報をまとめます。 確認されている被害事象 (1) ルーターの設定情報が改ざんされる ルーター内部に設定されたDNS情報が改ざんされる。 DNSはプライマリ、セカンダリともに改ざんされた事例が報告されている。 (2) マルウェア配布サイトへ誘導される 改ざんされたDNSへ名前解決のクエリを要求するとマルウェアを配布するサイトのIPアドレスが返され配布サイトへ誘導される。 一部サイト（Twitter,Facebookなど）は正規のIPアドレスが返されサイトへ接続できる。 誘導先の配布サイトではマルウェアのインストールを促す

【変更履歴 2018年2月15日】当初の記事タイトルは「いまなぜHTTPS化なのか？ 技術者が知っておきたいSEOよりずっと大切なこと ― TLSの歴史と技術背景」でしたが、現行のものに変更しました。現在GoogleではWebサイトのHTTPS対応と検索結果の関係を強調しておらず、本記事の趣旨の一つにも本来は独立した問題であるSEOとHTTPS化を関連付けるという根強い誤解を解くことがありますが、当初のタイトルではかえってSEOとHTTPSを関連付けて読まれるおそれがあり、また同様の指摘もいただいたことから変更いたしました。 HTTPとHTTPSは、共にTCP通信上で動作します。したがって、いずれもTCPハンドシェイクで通信を開始します。 HTTP通信の場合には、このTCPハンドシェイク直後に、HTTPリクエストとレスポンスのやり取りが始まります。このHTTPのやり取りは平文通信であり、途

Chrome 61から使えるようになったWebUSB APIを使ってUSBデバイスと会話する方法を解説します。 これは2017年12月13日に行われた Shibuya.XSS techtalk #10 の発表資料です。 これは2017年9月23日に行われた 第3回 カーネル／VM探検隊@北陸での発…

Wi-FiやBluetoothのオンオフや、音量や輝度の調節、さらには特定機能のショートカットが配置できるコントロールセンターは、「iOS 11」の中でも特に大きな変更が加えられたもののひとつです。しかし、このコントロールセンターでWi-FiやBluetoothをオフにしてもWi-FiおよびBluetoothが完全に無効になるわけではないことが明らかになりました。 iOS 11's Control Center doesn't let you turn off Wi-Fi or Bluetooth - The Verge https://www.theverge.com/2017/9/20/16340460/apple-ios-11-control-center-wi-fi-bluetooth-tricking-users Apple clarifies why iOS 11 Contro

本日コーポレートサイトでお知らせした通り、Web版のメルカリにおいて一部のお客さまの個人情報が他者から閲覧できる状態になっていたことが判明しました。原因はすでに判明して修正が完了しております。また、個人情報を閲覧された可能性のあるお客さまには、メルカリ事務局より、メルカリ内の個別メッセージにてご連絡させていただきました。 お客さまの大切な個人情報をお預かりしているにも関わらず、このような事態に至り、深くお詫びを申し上げます。 本エントリでは技術的観点から詳細をお伝えさせていただきます。 2017年6月27日　CDNのキャッシュの動作について、CDNプロバイダと仕様について確認し検証を行いました。その結果一部記述に実際と異なる箇所があり、加筆修正いたしました。 概要 メルカリWeb版のコンテンツキャッシュをしているCDNのプロバイダ切り替えを行いました。 その際本来キャッシュされるべきでない