不撓不屈

戦国史同盟管理人・蛛賢(Shuken)のブログです。 サイト運営情報、技術情報、備忘録、作品公開等について投稿しています。

セキュリティ

セキュリティ関係の備忘録です。

昨今「target="_blank"」の危険性が叫ばれています。
これを受けて、livedoorBlogも aタグには自動で「rel="noopener"」が挿入されるようと嬉しいですが…

静的HTMLには一括置換でもかけようかと思案中…
target="_blank"
 ↓
target="_blank" rel="noopener"

参考
 
このエントリーをはてなブックマークに追加 mixiチェック

前掲示板と今回掲示板共にphpbb3というフォーラムシステムを利用しています。
全世界で利用されており、非常に高機能なところも売りです。
ただし、その分、ハッカーの標的にもなりやすいようです。(現に…)
(最近ではフォーラムシステム自体の選択肢が限られてきた印象があります)

今回も設置後、次のサイトを参考にし、いろいろと設定を行いました。




しかし、早速ウクライナ等から不審なユーザ登録申請の痕跡が2個ありましたので、
認証をCaptchaから日本語の合言葉に、そして次のサイトを参考にして日本以外のIPを遮断することとしました。





確認は次の2通りで行いました。どちらも403エラーで見れないようです。




当該情報は2~3日で更新されるということですので、メンテナンスを定期的に実施する方針です。
・phpbbデータベースのバックアップ
・ユーザ登録の状況確認(不審なユーザの有無、ブロック、方針検討)
・IPアドレステーブルの更新、調整
・phpbbのバージョンアップ有無確認及び(あれば)実施検討

これ以外にも改ざん防止、監視の仕組みの導入を検討中です。
(検討中の対策方法には、有料のものもあるので、様子を見ながら…)

攻撃されることを前提で復旧をいかに簡便にできるかを重点に準備していこうという方針です…

最新情報を仕入れながら対応予定ではありますが、個人では限界もあるので、既存のサービス(Twitter、Uploader.jp等)利用しながら、細く長く運営できる方法を併せて検討します。
CardWirthは良い例だと思います。

掲示板がIP制限で見れない方がいましたら、Twitter等にて情報提供お願いします。
何か妙案ありましたらアドバイスいただければ幸いです。これからもよろしくお願いします。
このエントリーをはてなブックマークに追加 mixiチェック

↑このページのトップヘ