javaについての参考サイト メモ
Oracle Java 発表
オラクルは2017年9月、JDKの提供サイクルとライセンス方式に関して、新たなリリース・モデルを発表しました。これらはJDK 9より一部が適用され、2018年9月に公開されたJDK 11で完全移行しました。新リリース・モデルはJDKの過去のリリース・モデルの課題を解決したものであり、ユーザーにより多くのメリットをもたらします。本記事では、新たな提供サイクルとライセンス方式の概要、およびオラクルによるJDKの有償サポートについて説明します。
Oracle JDKとJDK違い
OpenJDKに、商用機能、デスクトップ機能を追加したものがOracle JDK Java 11からはOpenJDKもOracle JDKも機能的には同一
JDKとかの種類の解説記事
javaのサポートロードマップ
javaの今後について まず読んでおくとよい記事
セキュリティ対策ヘッダ tomcat
※ざっと検証したことをメモしてますので、間違いがあればご指摘ください。
検証環境 OS : CentOS7 tomact : 7.0.92
システム全体への設定方法
以下の設定を<tomcat設置ディレクトリ>/conf/web.xmlへ追加する
<filter>
<filter-name>SecurityFilter</filter-name>
<filter-class>org.apache.catalina.filters.HttpHeaderSecurityFilter</filter-class>
</filter>
<filter-mapping>
<filter-name>SecurityFilter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
特定のコンテンツへの設定方法
以下の設定を<tomcat設置ディレクトリ>/webapps/<特定のディレクトリ>/WEB-INF/web.xmlへ追加する
<filter>
<filter-name>SecurityFilter</filter-name>
<filter-class>org.apache.catalina.filters.HttpHeaderSecurityFilter</filter-class>
</filter>
<filter-mapping>
<filter-name>SecurityFilter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
設定結果
curl -I http://IPアドレス:ポート番号/ HTTP/1.1 200 OK Server: Apache-Coyote/1.1 X-Frame-Options: DENY <-付与されたセキュリティヘッダ X-Content-Type-Options: nosniff <-付与されたセキュリティヘッダ X-XSS-Protection: 1; mode=block <-付与されたセキュリティヘッダ Content-Type: text/html;charset=ISO-8859-1 Transfer-Encoding: chunked Date: Mon, 14 Jan 2019 07:06:24 GMT
クロスサイトスクリプティング
クロスサイトスクリプティングとは
スクリプト注入問題が存在するサイトに対して、サイト間を横断して悪意のあるスクリプトを注入する攻撃。
被害例
悪意のあるサイトへユーザがアクセスした場合に、スクリプト注入問題がある標的サイトに対して以下のことが行われる可能性がある
- ユーザのセッションIDが盗まれる
- そのユーザの権限で、標的サイトに対して不正な動作が行われる
- 偽のログイン画面を表示してアカウントを窃取する。
- ユーザを外部の悪質なページにリダイレクトさせる。
- ページ全体を偽のページに置き換える。
- 意図しない商品の購入を行わせる。
- フォームへの入力内容の窃取や改変
- 本来は非表示(hidden属性)となっているデータを窃取したり、任意の値に変更する。
- 住所やクレジットカード番号等の個人情報を別のサーバーに転送する。
覚え書き
セキュリティ対策機能ヘッダ
- X-Frame-Options
- X-Content-Type-Options
X-XSS-Protection
設定例
Apache HTTP Server(mod_headersモジュール使用)
Header always append X-Frame-Options "SAMEORIGIN"; Header always append X-Content-Type-Options nosniff; Header always append X-XSS-Protection "1; mode=block";
Cookieを使用する場合のセキュリティ対策
- Secure属性 HTTPSによる通信時のみCookieを webサーバに送信する
- HttpOnly属性 webブラウザでクライアント側のスクリプト経由でCookieに保存されているデータを読み込みできなくなる
MIME タイプ
文書の性質や形式を示すために標準化されたもの IETF RFC 6838で定義及び標準化されている サーバが提供するファイルが、どのような種類のファイルであるのかをサーバ側で定めたもの
ブラウザは文書を処理する方法をきめるためにMIMEタイプを良く使用する サーバからの応答オブジェクトのヘッダーに正しくMIMEタイプを割り当てるように設定していることが重要
- 構文
top level type/subtype
- 例
text/plain text/html apolication/json application/javascript
利用される
静的解析に挑む前のおさらい
ssg-5 firmwareアップデート
- ・w・
最近SSG-5を触る機会があったので、とりあえずメモを。
※とは言っても、以下のように販売+サポートは終了ですが。 - Juniper NetworkのSSG/ISGシリーズ
2015~2016年には販売が終了し、その後サポートが終了。
http://www.juniper-ne.jp/blog/security/ssg-srx.html#SSGISG-2
ちなみに、SSG5の後継機はSRX300。 - 知らなかったこと
★イメージ認証キー
ジュニパーネットワークス社では、不正に改ざんされた ScreenOSが
インストールされないよう、ファームウェ アやブートローダに
イメージ認証キーを設けている。
2014 年 6 月以降に作成されたファームウェアおよ びブートローダでは、
このイメージ認証キーが新しいものになっている。
※メインリリースでは、「6.3.0r18 以降」のバージョンが対象。
これにより、以前のイメージ認証キーがインストールされている機器では、
対象バージョンへのアップグレー ドが正常に完了しない可能性がある。
※確認方法
コマンドを入力し、keyが「c」であれば旧イメージ認証キー
ssg5-isdn-> exec pki test skey
KEY1 N/A len =432
308201ac02010002818100f~略~
0c31e3f80b651 magic1 = f7e9294b magic2=0KEY2 N/A len =432
308201ac02010002818100f~略~
0c31e3f80b651 magic1 = f7e9294b magic2=0KEY3 N/A len =432
308201ac02010002818100f~略~
0c31e3f80b651 magic1 = f7e9294b magic2=0
ssg5-isdn-> - 手順
GUI使用でサクサク設定
1.イメージ認証キーの更新
2.firmwareのアップデート
「firmware update screenos」を選択し、「Load File」よりfirmwareを指定。
なんとこれだけ。 - NATの設定
「追記予定」
