PHP PHP5.5系にてPDOでSSLを使うとサーバー証明書検証不備の脆弱性になる
「PHP5.6系PHP7.0系ではPDOにてSSHトンネリングとSSLは同時に使えない」に書いた事ではあるのですが、視点を変えてもう一度書いてみます。「PHP PDO RDS SSL」で検索するとトップに出てくる「PHPからRDSのMySQ...
Security
PHP PHP PHP5.6系PHP7.0系ではPDOにてSSHトンネリングとSSLは同時に使えない
「Azure FunctionsにてPDO(MySQL)でSSLを使う」の続き記事になります。今回はAzure FunctionsではなくてDocker(Ubuntu16.04)で開発中に遭遇した事象を検証した結果です。前回の記事でSSHト...
Security カゴヤジャパン的には個人情報流出は謝罪に値しないらしい
2016年11月10日にカゴヤジャパンというサーバー会社から、こんなメールが届いた。要するに個人情報が流出したとのこと。後日、郵便物でも同様の内容の文書が届いた。ところが、SNSで流れている情報と内包物が異なるので、カゴヤジャパンにメールで...
Security サーバーのセキュリティツールを検証してみた
某クラウド型サイバー攻撃防御ツールを無償で検証する機会があったので、その検証結果をまとめてみます。まずは、そのツールの防御の仕組みから説明すると、各種ログをクラウドに送信する・防御指令をクラウドから受信するエージェントをサーバーに導入し、有...
Security 函館バス商会のサイトがいろいろヤバい
いつもチェックしている改竄速報のツイートを見ていたら北海道の会社のサイトが改竄されたらしいことが判明。いろいろ調べてみた。改竄情報(Malware注意):www hbs-co jp/xx.htm #def_jp — JPドメイン Web改竄...
Security YJFX!の個人情報漏洩可能性の調査結果が来たよ
今年2月の「元従業員による顧客情報などの持ち出しについて」というYJFX!の発表で、口座を持っている僕は色々想像が膨らんだわけですが、先日、丁寧にも簡易書留で調査報告書が送られてきました。たかが書類だけで簡易書留と言う事は無いだろうと色めき...
Security 徳丸さんの「フォーム改竄説」に追記しておく
つい先日、大規模な個人情報漏洩事件が明らかにされました。事件を起こしたのは株式会社ザ・キッスという会社で、そこが運営する通販サイト「THE KISS ONLINE SHOP」より、約20万件の個人情報が漏洩したというものです。公式発表もされ...
kumachan's 道東の地方自治体に見られる不適切なドメイン運用
実は先日、会社のブログに「別海町役場に学ぶドメインの適正利用について」という記事を書かせて頂きました。これは、たまたま改竄事件があって発覚した別海町役場の不適切なドメイン運用についてまとめてみたものです。ところが、調査を続けていくと別海町役...
Security WordPressなサイトでhttpなアクセスをhttpsにリダイレクトさせる方法
Googleさんが「HTTPSページが優先的にインデックスに登録されるようになります」というアナウンスを出してから、SEOに影響するのではないかとサーバー証明書の導入を進めるページが増えてきていると思います。まぁ、このアナウンスはよく読めば...
Linux GeoTrustのQuick SSL Premiumを使う場合の注意点
この年初に、サーバー証明書が入っている某サイトの移動を行ってサーバー証明書を新規に取り直したのですが、その際にサイトシール(スマートシール)の表示が出ないというトラブルがあったのでメモとして残しておきます。結果として以下の対応で修正されたの...