スレ立てるまでもない質問はここで 158匹目
at TECH
[
2ch
|
▼Menu
]
■コピペモード
□
スレを通常表示
□
オプションモード
□このスレッドのURL
■項目テキスト
300:デフォルトの名無しさん 21/11/27 12:20:45.49 eX2le/NS.net >>294 心配ならその機密情報とやらを暗号化しとけばいいんじゃね? 301:デフォルトの名無しさん 21/11/27 12:51:23.13 wymfOW3B.net >>294 それがダメならAWS標準のAuthorizationヘッダ自体もダメということになる事からも安心していいよ 302:デフォルトの名無しさん 21/11/27 13:16:49.36 z8jcIZfA.net ポイントは大きく2つあって、 1. 正しい相手と通信していること 2. 通信を傍受されないこと このうち2については他の人のレスの通り、HTTPSならTLSにより暗号化されているからOK 1については見落とされがちだけど非常に重要で、これが確認できてないと相手をAWSだと思って機密情報を送ったら実際には中国の雑居ビルに送られていたということがありうる それについてもTLSでサーバーの検証を行っていれば一般的にはOK 303:デフォルトの名無しさん 21/11/27 13:32:55.63 z8jcIZfA.net あと、>>299はあくまでクライアントが正しく実装・運用されていれば安全であるという話で、 例えばクライアント側が勝手にサーバーの検証を無効化していて誤って中国の雑居ビルに機密情報を送ってしまうことは必ずしも防げないわけ そうなったときの被害をできるだけ低減することも重要で、例えば>>298のAWSのAuthorizationヘッダの例では、APIキーをそのまま送るのではなくキーと日付とリクエストの内容を混ぜてハッシュ化した値を署名として送るようになっている そうすることで仮に漏れてもそのリクエストでしか有効でない認証情報になるわけだね やらかしたとしてもあくまでクライアント側の責任なんで、そこまでやるかはサービスのポリシー次第
次ページ
最新レス表示
スレッドの検索
類似スレ一覧
話題のニュース
おまかせリスト
▼オプションを表示
レスジャンプ
mixiチェック!
Twitterに投稿
オプション
しおりを挟む
スレッドに書込
スレッドの一覧
暇つぶし2ch
110日前に更新/301 KB
担当:undef