web上のあれこれ

パスワード認証の理想と現実

Googleがパスワード認証から離れようとしているのは、結構有名な話だと思うのですが。
このような記事を見つけました。

パスワード認証ってもう古くないですか?(LIG様 より)

パスワード

私が個人的に抱いていた疑問点を、ものすごく分かりやすく語ってくださってます。
数々のセキュリティ突破問題があり、パスワードがやたらと強化されていますよね。
パスワード作成時に、強度を求めるパターンがとても多いです。
大文字と小文字と数字と記号を混ぜて、数字はパスワードの先頭には持っていけないとか、大文字は3文字以上連続不可、とか。
大手ECサイトになると、その上パスワードの定期的な変更を強制されます。

セキュリティのためには仕方ありません。
でも

覚えていられるはずないです。

なので、大抵の人は、2つの方法で解決を試みます。
・メモやクラウドサービスに残しておく
・絶対に覚えていられる簡単なものにする(誕生日や電話番号や123456など)
2つとも、記事の中で危険だとされている方法です。

私はパスワードそのものではなく、自分にしか分からないヒントを書き留めています。
SNS:社名+社長の誕生日(heartbrain0714)など。
(ちなみに実在しないパスワードなので、ご安心ください。7月14日にはブラックサンダー1つでも投げ付けてくださると喜びます、社員が)

しかしそれさえも危険である可能性があるので、スマートフォンのパスワード管理ツールを使用してみました。

パスワード管理

パスワード作成

まずはサービス名とIDとパスワードを入力します。

パスワード保存後

保存すると、このような画面になります。
スライドすると出てくるメニューをタップすれば、何と自動的にコピーされます。
入力の手間が省けて便利です。

ただ

パターンロック

何故パターンロック……。
いえ、指紋認証とかよりはずっと良いですし、盗まれる危険性も、覗き見もしくは盗撮という、原始的な方法のみのようです。
ただ、皮膚トラブルでたまに指紋がなくなったり、ATMの指認証で酷い目に遭った私としては、避けたい方法であるのも確かなんです。
何よりも

覚えていられるはずないです。

【ハートブレーン】http://heartbrain.net

語彙力が涎が出るほど欲しい

昨日、過去の記事を漁っている途中に、色々発心してはその度に忘却してきた足跡を見つけたのですが。
中でも気になったのは、文章力に関する悩みが多かったことです。
昔も今も同じ悩みを抱えているので、多分その発心した内容を永続的に続けていたなら、少しは上達していただろうに……。

辞書

そして昔も今も、1番の課題は語彙力です。
引き出しが少ないので、表現力にも乏しくなり、幼稚な文章しか書けなくなるのです。
なので、自分の程度を測定してみることにしました。

日本語ボキャブラリーテスト

日本語ボキャブラリーテスト

ん???

いや、少し前にTwitterで人気だったテストなのですが、確か大半の人が夏目漱石だったはずです。
TLだけで既に0.27%を超えている気がしたくらいですから。
問題の内容自体は…………酷かったです。50問もある上に、残り10問くらいが超難問。
最後には完全に勘で答えてました。

と、すぐに形容詞に逃げてしまうのも、昔自分で語っていた自分の欠点です。

最後に、ハートブレーンのブログらしく、今日のハートブレーンの風景を……。

「暑い!暑いって、もう!」と、ひたすら空に向かって吠え続ける社長の声に、度々仕事の手を止めさせられていました。
天候や気温の弊害を訴えられても、1人の人間でしかない能登にはどうすることもできないのですが、とにかく吠えないと自分のテンションが保てないのでしょう。
1人ノースリーブ姿になり体温調節しながら仕事をしていた能登が、この上司をどう黙らせようかと考えていたところに、打ち合わせに出かけていた齊藤さんが帰ってきました。
途端に春風が吹き抜けたかのような空気に包まれ、社長の頭にも花が咲いたらしく、機嫌は上昇した……かと思われたのですが。
春風も湿気には勝てないらしく、再び吠え始める社長でした。
「暑いって!能登さん、何とかして!」
意味不明の社長命令が下った能登の胸には、春風と入れ替わるようにブリザードが吹き荒れたのでした。

以前にも形容詞を抜いた文章に挑戦していましたが、あまり進歩が見られない気がします。
継続は力なり、という言葉が身に染みます。

【ハートブレーン】http://heartbrain.net

楽天GOLDとYahooトリプルを雑に比較してみた

どちらもショッピングサイトのFTPサービスです。
TOPページや他の独立したページなど、商品やカテゴリページ以外をHTMLで作れます。
FTP接続にはFTP専用ソフトを使用する点も、普通のwebサイトと変わりません。

本当に似たようなサービスなので、減点方式でしか比較できないのですが。

楽天GOLD
【料金】無料
【容量】1GB
【URL】www.rakuten.ne.jp/gold/ストアアカウント/
【外部リンク】不可
【個人的なデメリット】YoutubeやGoogleなど外部サービス利用不可

Yahooトリプル
【料金】
容量300MBの場合 月額3,000円
容量10GBの場合 月額5,000円
【URL】shopping.geocities.jp/ストアアカウント/
【外部リンク】不可
【個人的なデメリット】反映がものすごく遅い(5分以上は確実にかかる)

安価で便利なのは楽天GOLD、使い込みとSEO対策としてはYahooトリプルでしょうか。
どちらも外部リンク不可なのと、TOPページで利用した場合はリダイレクト必須なのが考えものです。

しかし自由度は高く、好きなデザインにできます。
サービス内容を取捨選択して、思い描くサイトに近い方を利用してください。

【ハートブレーン】http://heartbrain.net

穴だらけの常時SSL化対応の説明

ネット回線やセキュリティに関しては、そんじょそこらの素人には負けないくらいの無知さを誇っているという自負があります。
ツッコミ所しかない説明ですが、生温かく見守っていただけると幸いです。

早速ヘタレ全開ですが、そもそもこのような記事を偶然見つけたのが始まりでした。

ロリポップで運営のWordPressサイトを、httpからhttps(SSL化)に無料で移行しました(Swingin’ Thinkin’様 より)

今年の8月の記事に対して「偶然見つけた」とか言い出す能登のセキュリティ意識が窺い知れるというものですが、これってなかなか大きいことだと思うのです。
これまでのロリポップで常時SSL対応するには、そこそこ費用がかかりましたから。

手順をものすごーーーく大雑把に説明すると

ロリポップの管理画面で独自SSL(無料)を設定する。

サイト内のaタグ・imgタグ・css内での背景画像指定など、全ての「http://◯◯◯◯(お持ちのドメイン)」の表記を「https://◯◯◯◯(お持ちのドメイン)」に変更する。

.htaccessでhttp→httpsのリダイレクトを設定する。
(Google Analyticsを導入している場合はプロパティのURLをhttpsに書き換え、Google Search Consoleを導入している場合はhttpsで新規にサイトを追加する)

これがwordpressだともう一手間あるのですが、上記の記事がすごく分かりやすく解説してくださっているので、そちらをご参照ください。

しかしそんな少々面倒な手順を踏んでまでSSL対応にする意味って何かあるの?
という質問を何件かいただいた記憶があります。

一言で言えば、充分あります。

ハッキング

SSL(Secure Sockets Layer)とTLS(Transport Layer Security)は、いずれもインターネット上でデータを暗号化して送受信する仕組み(プロトコル)です。 個人情報やクレジットカード情報などの重要なデータを暗号化して、サーバ~PC間での通信を安全に行なうことができます。(SSL/TLS総合解説サイト様 より)

って、「SSL」でぐぐると上部に出てきます。Googleもどんどん便利になっていきますね。
ものすごく簡単に言えば、メールフォームなどで送信した個人情報の内容が暗号化されます、ということです。

ネットの仕組み

主に通販サイトとのやり取りで、カード番号や名前や住所などの機密情報を入力する場面がありますが、これまでは不正にカードを利用したい人や他人の名前・住所などをSPAM業者に売り付けて儲けたい人などからの横槍が入る危険がありました。
しかし企業や店舗側のサイトがSSL対応されることによって、入力した情報が暗号化され、ハッキング被害に遭う危険性が大幅に減少するのです。

しかしそれだけだと、通販を展開していない企業には無関係では?と思われがちなのですが……実は、もう1つ意味があるのですよ。
身も蓋もない事情ではあるのですが……

Google Chromeでの表示

今やブラウザのシェア率はSafari(iPhone強すぎ)に次いで2位となった、Google Chromeです。
GoogleがSSL対応を重視するという方針は前から言われていたのですが、重視するあまり、Google ChromeではSSL未対応のサイトのアドレスバーに警告が出現します。
「保護されていない通信」なんて、ITに詳しくないユーザーからすれば「なんか知らんけど、このサイトを見るとウィルス感染しそう!」と思ってしまうことでしょう。
そして詳しいユーザーからは「この企業はSSL対応もできないんだな」と一目でレッテルを貼られてしまいます。

これまではかなり高額で敷居が高い常時SSL対応でしたが、ロリポップが無料化したように、今後は他のサーバーもそのような流れになるかもしれません。
もしお使いのサーバーから無料で対応するというお知らせがありましたら、多少の手間をかけてでも、SSL対応に踏み切ることをお勧めします。

【ハートブレーン】http://heartbrain.net

情報収集能力はセキュリティ対策上の必須事項

今日は猫の日ということで

猫の日

すぐ写真撮影ができる範囲に猫がいないので、フリー画像をお借りしました。
しかし社長は、猫を飼う猫を飼うと口では言っているのですが、一向に話が動く気配がありません。
いつになったら事務所の癒し担当をお迎えできるのでしょうか。
入ったばかりの女性社員に「癒して〜」などとセクハラ発言をする余裕があるなら、猫をお願いします。

ここ数年、ロリポップのwordpressが大量乗っ取りに遭って以来、たまにログインしようとすると、管理画面のURLが403エラーになったり

ロリポップのアクセス制限

こんな画面になったりしていました。

事務所のIPアドレスは定期的に変わるので、その度にFTPログイン→htaccess編集、とすごーーーく面倒だったのですが。
最近になって、セキュリティ系のプラグインを推奨する動きに変わったようです。

と思ったら

ロリポップ!は2015年1月26日まで、『WordPress(ワードプレス)』への攻撃に対する検知、防御機能を導入しておりましたが、現在はセキュリティ対策を更に強化するためSiteGuard WP Pluginのご利用を推奨しています。

2015年1月26日。

全然「最近」ではないですね。
今まで気づかなかった私の情報収集能力に、改めて危機感を覚えました。

今月初めにもwordpressの改ざんが問題になったり、益々セキュリティ対策の必要性が上がってきています。
セキュリティ対策に必要なのは、何と言っても危険意識。これが欠けていたら、対策は穴だらけになってしまいますし、対応は遅れます。
そして知識。知識がなければ、無駄でしかない作業に時間を費やしたり、間違った対策方法で自分を余分に危険に晒してしまったりします。セミナーは決して無駄ではないのです。

あとは、情報収集能力。
セキュリティ関係の情報は、こちらこちらで随時更新されています。
できれば毎日チェックして、身近な例と照らし合わせたり、今後起こり得ることを予測したり、対応が後手に回らないようにしていきたいものです。

Avastの誤検出に惑わされて数時間を費やした能登は、人一倍努力する必要がありそうです。

【ハートブレーン】https://heartbrain.net

1 2 3 4 5
メールでのお問合せ・お見積りはコチラ