-
- いいね!0
ypresto (TSKaigi:型とパフォーマンス)
@yuya_presto
- 設計がNG→権限マトリックスを作る - 実装がNG→認証状況の確認を行う、権限確認はデータベース等の情報で行う oO(とにかく権限制御は徹底してもらうしかない、感じ、かしら #tktksec
2024-02-04 14:45:49
ypresto (TSKaigi:型とパフォーマンス)
@yuya_presto
oO(できたらシークレット文字列以外の方法で認証するようにしたい #tktksec
2024-02-04 14:59:53
ypresto (TSKaigi:型とパフォーマンス)
@yuya_presto
シークレット:秘匿性、変更容易性、環境別設定 「強制ローテートさせられたことがある」 #tktksec
2024-02-04 15:02:13
ypresto (TSKaigi:型とパフォーマンス)
@yuya_presto
~/.aws/credentialsがWebからアクセス可能になってるのを攻撃してくるログ😰 #tktksec
2024-02-04 15:09:03
ypresto (TSKaigi:型とパフォーマンス)
@yuya_presto
シークレットをコード上で暗号化しても結局どこかで復号されてしまう、それなんですよね #tktksec
2024-02-04 15:12:55
ypresto (TSKaigi:型とパフォーマンス)
@yuya_presto
環境変数で渡す方法、完全に安全ではないなと思いつつ、一番マシでもありつつ #tktksec
2024-02-04 15:13:58
ypresto (TSKaigi:型とパフォーマンス)
@yuya_presto
oO(シークレット管理→*環境変数*→アプリ の*が気になってしまう、という意味 #tktksec
2024-02-04 15:18:01
ypresto (TSKaigi:型とパフォーマンス)
@yuya_presto
oO(パスワードリスト攻撃、漏らしたほうの責任が大きいと思ってたけど、意識低かった #tktksec
2024-02-04 15:26:10
ypresto (TSKaigi:型とパフォーマンス)
@yuya_presto
ちゃんとログ取ってないと、漏えい等の報告義務を満たせず法的なリスクを背負う可能性 #tktksec
2024-02-04 15:29:58
ypresto (TSKaigi:型とパフォーマンス)
@yuya_presto
アプリケーションログ:なぜ、何を、どこに。何がリスクなのかを定義しないといけない。 oO(それ #tktksec
2024-02-04 15:36:13
ypresto (TSKaigi:型とパフォーマンス)
@yuya_presto
アプリケーションログに残すべきイベントの一覧: cheatsheetseries.owasp.org/cheatsheets/Lo… #tktksec
2024-02-04 15:40:24
ypresto (TSKaigi:型とパフォーマンス)
@yuya_presto
セキュリティのCIAに加えて、Traceabilityを足して、CIAT #tktksec
2024-02-04 15:45:21
ypresto (TSKaigi:型とパフォーマンス)
@yuya_presto
ログの語彙を統一しましょう cheatsheetseries.owasp.org/cheatsheets/Lo… #tktksec
2024-02-04 15:48:50
ypresto (TSKaigi:型とパフォーマンス)
@yuya_presto
ログが真っ白、モニタリングシステムからアラートが上がらない、ということがないようにチェックする #tktksec
2024-02-04 15:53:23