当ブログを(無駄に)常時SSL/TLSにした

 

ついに我がブログもhttpsに対応した。

個人情報のやり取りがあるわけでもないので特に必要ないのだが、WordPressにログインする箇所が平文で通信しているのも嫌なので、いつかは暗号化したかった。

もっとも、自分一人しかログインしないのであれば、管理画面に限ってオレオレ証明書を使えば良いのだけれども
「公開しているウェブサービスでオレオレって…」という抵抗感があり実施しなかった(平文で続けるのもいいものではないが)… 続きを読む

企業がやっちゃう情報漏洩でビクビクしないために

ちょいと前にgmailのパスワードが流出が報道されていた。
本当かどうかわからないし、身近に被害があったとか聞かないのでクリティカルな漏洩じゃなかったみたいだ。

でも、いつか自分のパスワードが本当に漏洩したときのためにやらなければないこと、
やっちゃだけなことがある。

まずやらなきゃならないこと… 続きを読む

情報セキュリティスペシャリスト合格報告と何をやって合格したか

受験後に受験票を紛失して(恐らく問題冊子と一緒に捨てた!!情報漏洩!!セキュリティインシデント!!はずかしいー)、合否がわからないまま過ごしていたら
昨日、青天の霹靂のごとく書留が届き合格を伝えた。

結構長い間チャレンジしていたのだけれども、それほど集中して行ったわけではなく
試験日一週間前からやり始めると言った程度だった。
それでも四回くらいは落ちている。… 続きを読む

Bashの脆弱性『ShellShock』を突いた当ブログへの攻撃を確認

先日Bashに重大な脆弱性があるというニュースが飛び交った。

環境変数にホニャララすると任意のコードをBashに実行させることができる。
そしてCGIは呼びだされた時にデータ渡しに環境変数を用いていて、UserAgentを細工すれば簡単に攻撃が成立してしまうう。

というわけで、UserAgentがおかしいアクセスを抽出してみたらCGI経由で攻撃を仕掛けたアクセスが分かる。

例えば『{(中括弧)』が含まれている様なUserAgentはどれほどあるだろうか…… 続きを読む