セキュリティ

作成日時：2024-09-29
更新日時：2024-09-29

JWT / JWK

• JSON形式のトークンと暗号鍵
• JWTの仕組み

JWT

• JSON web token
• {ヘッダ}.{ペイロード}.{署名}のBase64
• 復号して検証する

JWK

• JSON web key
• JSONで表した暗号鍵
• 鍵の正当性の検証方法は色々
  • サーバー証明書みたいにCAとかでも

CORS

• Cross origin resource sharing
• 同一生成元ポリシーを回避するためのもの
• 別にセキュリティの技術ではない
• 悪意のあるサイトに送信させようと思えばできる
• プリフライトリクエスト
  • JavaScriptで何らかの通信をする際に、送信する内容がSOPに引っかかるか確認するためのリクエスト
  • 単純リクエストの場合は投げない
  • OPTIONSメソッドを使う
  • 使用可能なメソッドやオリジン、ヘッダなどが返却される
• 変なとこに情報を送信させたくなければCSPの実装とXSS対策

DoS対策

IPごとの同接制限

SELinux

• Security-Enhanced Linux
• アクセス管理を所有者/グループ/その他だけではなく、rootも対象にしたり、プロセス単位での権限を付与したりできる

TOTP

サーバとクライアントで秘密鍵を共有。
その鍵と時刻でトークンを生成。
トークンを渡して検証。