技術とか戦略とか

IT技術者が技術や戦略について書くブログです。

セキュリティ

情報処理技術者試験対策:DNSキャッシュポイズニング・カミンスキー型攻撃

この記事では、「DNSキャッシュポイズニング」と呼ばれる攻撃手法と、その発展型である「カミンスキー型攻撃」について説明します。これは情報処理技術者試験では頻出のキーワードであり、特に情報処理安全確保支援士試験を受験する際には内容を抑える必要が…

ハッシュ化(暗号化)におけるソルトとは

この記事では、ハッシュ化で使われる「ソルト」について、説明していきます。どちらかと言うと初心者向けです。 ---- 【ハッシュ化とは】ハッシュ化とは、与えられた文字列を特定の方式(アルゴリズム)に従って変換することです。変換後の文字列から変換前…

7payの脆弱性残存の原因の考察(形式的チェックの問題点、集団浅慮の問題点)

(2019/07/13に一部表現を見直しました。内容は変えていません。) ニュースでも大々的に取り上げられていますが、7payがサービスイン直後にセキュリティ上の脆弱性を突かれて不正利用されてしまいました。第三者のログインを許し、クレジットカードから7payへ…

情報処理技術者試験対策「httpとhttpsの違い」

普通にWebシステムを使う分には「httpsはhttpを暗号化したプロトコルで、盗聴・なりすまし・中間者攻撃の対策になる。認証等の機密性の高いやりとりをWeb上で行う時に使用する。」というレベルの認識で十分なのですが、応用情報技術者ではもう少し正確な理解…