スポンサーリンク
OWASP Top 10の基本概念と最新動向

【実務・中級編】JWTのペイロードにおける機密情報漏洩リスクと暗号化(JWE)の検討 – アプリケーションセキュリティ & 安全な開発防御ガイド

JWTの「署名=保護」という勘違いを正す ― 機密情報漏洩の盲点とJWEによる解決策JWT(JSON Web Token)は今やWeb認証のデファクトスタンダードだ。しかし、現場のコードレビューで「これ、JWTの中にユーザーのメールアドレス...
OWASP Top 10の基本概念と最新動向

【入門編】JWTのペイロードにおける機密情報漏洩リスクと暗号化(JWE)の検討 – アプリケーションセキュリティ & 安全な開発防御ガイド

JWTは「透明な封筒」?機密情報を守るための正しい作法を学ぼうこんにちは。現場の最前線でセキュリティと向き合っているエンジニアです。皆さんは「JWT(JSON Web Token)」という言葉を聞いたことがありますか?今のWeb開発ではログ...
OWASP Top 10の基本概念と最新動向

【テクニカル・上級編】クロスサイトリクエストフォージェリ(CSRF)対策としてのstateパラメータの活用 – アプリケーションセキュリティ & 安全な開発防御ガイド

OAuth 2.0におけるCSRFの深淵:`state`パラメータは単なる「おまじない」ではない多くの開発者は、OAuth 2.0のフローに`state`パラメータを組み込む際、単なる「仕様だから」という理由で惰性的に実装している。だが、現...
OWASP Top 10の基本概念と最新動向

【実務・中級編】クロスサイトリクエストフォージェリ(CSRF)対策としてのstateパラメータの活用 – アプリケーションセキュリティ & 安全な開発防御ガイド

現場のエンジニア諸君、お疲れ様。セキュリティチームのチーフだ。今日は「OAuthの`state`パラメータ」について話をしよう。教科書には「CSRF対策に必要」と一行で書かれているが、なぜそれが必要なのか、そして「とりあえず適当な乱数を入れ...
OWASP Top 10の基本概念と最新動向

【入門編】クロスサイトリクエストフォージェリ(CSRF)対策としてのstateパラメータの活用 – アプリケーションセキュリティ & 安全な開発防御ガイド

こんにちは。セキュリティの世界へようこそ。日々、見えない脅威と戦っているエンジニアの皆さん、お疲れ様です。今日は、Webアプリ開発において「避けては通れないけれど、意外と勘違いされやすい」CSRF(クロスサイトリクエストフォージェリ)、特に...
OWASP Top 10の基本概念と最新動向

【テクニカル・上級編】OAuth 2.0における暗黙的フロー(Implicit Flow)の廃止と推奨される移行先 – アプリケーションセキュリティ & 安全な開発防御ガイド

OAuth 2.0の「暗黙的フロー」を葬る:なぜ我々はPKCEを義務化せざるを得ないのかOAuth 2.0の「暗黙的フロー(Implicit Flow)」が、セキュリティの歴史書から抹消されようとしている。これを「単なる仕様変更」と捉えてい...
OWASP Top 10の基本概念と最新動向

【実務・中級編】OAuth 2.0における暗黙的フロー(Implicit Flow)の廃止と推奨される移行先 – アプリケーションセキュリティ & 安全な開発防御ガイド

OAuth 2.0「暗黙的フロー」はなぜ死んだのか?今すぐPKCEへ移行すべき技術的根拠と実装ガイド現場でコードをレビューしていると、いまだに「手軽だから」という理由でOAuth 2.0の暗黙的フロー(Implicit Flow)を実装して...
OWASP Top 10の基本概念と最新動向

【入門編】OAuth 2.0における暗黙的フロー(Implicit Flow)の廃止と推奨される移行先 – アプリケーションセキュリティ & 安全な開発防御ガイド

もう「暗黙的フロー」は古い?OAuth 2.0の安全な歩き方を解説します!こんにちは!現場で泥臭くセキュリティと向き合っているエンジニアです。今日は、Web開発の世界で昔は「便利で簡単」ともてはやされた「暗黙的フロー(Implicit Fl...
OWASP Top 10の基本概念と最新動向

【テクニカル・上級編】JWTの失効管理(Revocation)とブラックリストパターンの実装 – アプリケーションセキュリティ & 安全な開発防御ガイド

JWTの「ステートレス」という幻想と、失効管理のリアリティJWT(JSON Web Token)を語る際、多くのエンジニアは「ステートレスでスケーラブル」という美辞麗句に酔いしれる。しかし、現場でインシデント対応の最前線に立つ我々からすれば...
OWASP Top 10の基本概念と最新動向

【実務・中級編】JWTの失効管理(Revocation)とブラックリストパターンの実装 – アプリケーションセキュリティ & 安全な開発防御ガイド

JWTの「ステートレス」という甘い罠:失効管理をサボるエンジニアが迎える結末「JWTはサーバー側で状態を持たないからスケーラブルだ」。確かにその通りだ。しかし、この設計思想を教条的に信じすぎた結果、重大なインシデントに直結するケースを私は山...
スポンサーリンク