やかんです。

今日やったことについて

今日は朝イチで車校に行ってきました。

サイバーセキュリティ3(第一回)(授業)

今まで貯めていたオンデマンド講義を消化する。

  • 最初はやっぱり超基礎的な内容だよなあ。新しい話はない。
  • 確かに、サービスを提供する場合はサーバーのセキュリティをしっかり考えて行いと、サービスが落ちることも考えられる。でもこれ、こらうどコンピューティング系を使ってしまえば一応解決、というか、考えなくて済む、ということになるよな。
  • 基本的というか、文系学生向けの授業みたいだな。工学部の科目だけど。
  • webkitに欠陥があった。iOS。←これ気になる。iOSとかのバージョンが昨今すごいアプデ重ねているらしい。
  • DoSはまあ、たくさんのリクエスト。
  • ランサムウェア。
    • データが人質になるのか。
    • これは怖いなあ。
  • Cookieとか、ちゃんと説明するの難しそうだな。やってみよう。
    • かなり、工夫の産物なんだな。当然のように使っていたけど。
    • だから、cookieが盗まれるどまずいんだ。
    • 文脈としては認証だよな。
  • 境界型防御。
    • 例えば東大のネットワークとかは安全っちゃ安全。危ないリンクをブロックしてくれたり。

サイバーセキュリティ3(第一回)(自学)

GPTとの問答

  • 認証にはセッションベースの認証とトークンベースの認証がある。
    • セッションベースの認証は、cookieにsession idを保存する。
    • トークンベースの認証はcookieにトークンを保存する。
  • トークンベースの認証の場合、サーバーはトークンの解析をすればいいだけなので、セッション情報を保持する必要がない。だから、サーバーは軽くなる。でも、トークンが盗まれたら、そのトークンの有効期限が切れるまで悪用される恐れがある。
    • これは、トークンがステートレスであることの裏返し。ステートレスだから、いわばトークンはただの文字列。これに「無効」「有効」を有効期限以外でつけることは無理。ステートレスなものだから。
    • だから、トークンによっては有効期限を非常に短くするなどで対応する。
  • セッションベースの認証の場合、サーバー側でセッション情報を保持する必要があるのでサーバーのスケーラビリティは悪くなるが、それはサーバー側でよしなに認証状況を管理できることに繋がる。
    • セッション固定攻撃、結構複雑だな。用意周到なハッキングの印象。
  • この辺がXSS(クロスサイトスクリプティング)やCORSに関係してくるの?
    • cookieのhttp onlyフラグについて。これが指定されていると、javascriptからcookieが取得できなくなる。javascriptからcookieが取得できてしまうと、XSSで悪意あるスクリプトが自分のブラウザで発火した時に、cookie情報などが悪意あるユーザーの管理するサーバーに送られてしまうことがある。
    • ↑フィシング攻撃など。aタグのnoreferrerの話。ウィンドウオープナーAPIの悪用。タブナビング。
    • http onlyフラグというのは、cookieの属性のこと。だから、cookieを利用した認証を要求するwebアプリケーションは、基本的にhttp onlyフラグをcookieに付与する必要がある。
  • 例えばフォームの入力値として悪意のあるjavascriptのスクリプトが記述されている場合。そのスクリプトがwebアプリケーションのサーバーに送信されること自体には直接的な問題はない。が、そのスクリプトが含まれるwebページを他のユーザーが閲覧した場合、特に何も対策をしていないとそのスクリプトがユーザーのブラウザで実行される恐れがある。
  • SQLインジェクションについて(GPTとの問答)。
    • ユーザーの入力をそのままクエリに代入するなんてことはしちゃダメよっていう話。
    • でもこれ、ふとした時にやってしまいそうだなあ。。気をつけよう。
  • DoS攻撃。
  • ランサムウェア。
    • ランサムウェア用のソフトウェアが売っているのか。。
    • 迷惑メールとかはランサムウェア系のものなんだ。人を騙して、ランサムウェアのソフトウェアをインストールさせると。

サイバーセキュリティ3(第二回)(授業)

教授、笑いのセンスがありすぎる、、笑

非常に楽しく受講させていただいております。

  • ヒューマンエラーって怖いよなあ。ソフトウェアも怖いけど。
  • 政治的な攻撃も存在している。
    • これ、言われてみれば想像できるけど真面目に考えると衝撃的だよな。
  • Emotetこわ。
  • 無料で使えるということは、なんらかの対価を知らない間に払わされているんだ。個人情報系。
  • ボットネットこわ。。
  • これすご。
    • https://haveibeenpwned.com/
  • コンピュータの処理速度はすごいから、ブルートフォース攻撃も現実的な時間で成立するんだな。
  • 量子コンピュータ、RSAを破る可能性を考えることもできるのか。。
  • セッションベースの認証でもハッシュ化ってされてるよね?
  • ハッシュしたパスワードも漏洩は危ないのか。。ハッシュ元の情報がわかるまでの時間が稼げるということなんだな。

なんだ、自分が知らなかっただけでめちゃめちゃリスク存在してるんだ。これ学ぶの大事だな。受講してよかった。面白いしためになる。

サイバーセキュリティ3(授業)(第3回)

  • メールってターミナルから見れるんだ。やってみたい。
  • CVSSとかの話退屈やな。。

55分くらいみたが、ちょっと退屈だな。。

やることorやりたいこと

マストでやること

  • サイバーセキュリティ受講
  • OS課題
  • エンジニア業務

やりたいこと

  • 統計学(入門統計解析の練習問題的なやつ)
  • 情報工学受講

ということで、今日の日記は終了。最後までお読みいただき、ありがとうございます。