タグ付けされた質問 「security」

サードパーティのマーチャントを通じて繰り返し請求するために、クレジットカード番号を保存する必要があります。 詳細の保存に関して遵守する必要がある基準はありますか？私たちは何年もクレジットカードを受け入れてきましたが、クレジットカードを使い終わるとすぐにその詳細を破棄していました。お客様は、毎月手動でサブスクリプション料金を支払う必要がないように、詳細を保存することを要求しています。 サブスクリプションを利用するためにPayPalに移行することはオプションではありません。それらを保管する必要があり、保管が安全であることを確認する必要があります！ データ用にMSSQL 2005を使用しており、すべてが既にSSLされています。

60 security  creditcard  storage 

数年の間、Google、FacebookなどがHTTPS経由でコンテンツの提供を開始（さらにリダイレクト）していることがわかりました。 安全でないHTTPでパスワードを要求するサイトにサービスを提供することは1999年でも間違っていましたが、2010年でも受け入れられると考えていました。 しかし、今日では公開ページ（Bing / Googleからのクエリなど）でもHTTPS経由で提供されます。 HTTPSへの大量移行の原因となったイベントは何ですか？ウィキリークスのスキャンダル、米国/ EUの法執行機関、SSL / TSLハンドシェイクのコストを削減し、一般的にサーバー時間のコストを削減し、管理のIT文化レベルを上げましたか？ https://letsencrypt.org/のような公共の取り組みでさえ、さほど昔ではありませんでした... @briantist私も趣味のサイトを管理しており、安価で楽なSSL / TLSソリューションに興味があります。VPS（月額5ドルから開始）については、最近、操作モードで（他のボットが利用可能）で暗号化しようと評価しました。これにより、3か月間有効なSAN証明書が提供されます（有効期限が切れる1か月前に更新が実行されます）。certbotwebrootcron certbot certonly -n --expand --webroot \ -w /srv/www/base/ -d example.com \ -w /srv/www/blog/ -d blog.example.com

40 https  security 

Webサイトに一般的な脆弱性（SQLインジェクション、XSSなど）があるかどうかを確認できる優れたツール（デスクトップまたはオンライン）はありますか？

35 security 

マルチドメインSSL証明書を購入した後、Nginx Webサーバーでテストを開始しました（SSL wikiページのドキュメントを参照）。 すべてがうまくいき、機能し、URLバーに緑色の南京錠のシンボルが表示されますが... Nginxを再起動するたびに次の質問が表示されます（各サーバーに1回、たとえば5回）： nginxの開始：PEMパスフレーズを入力してください： これは正常ですか、他の多くの人は何をしていますか？または、パスワードが記憶されるように構成できますか？ 特に、これは、PEMパスフレーズが入力されるまでWebサーバーが起動しないため、マシンが再起動されるときの問題です（つまり、Webサイトは人間の操作があるまでダウンタイムが発生します）。

28 security  apache  https  nginx 

Edward SnowdenがNSA監視について明らかにしたおかげで、今ではWebサイトを安全に表示するための標準的な方法としてSSLを使用し始めているWebサイトの大部分を目にし始めています。 すべてのWebサイトでセキュリティ、表示、支払い、その他すべてにSSLを使用することをWeb標準にする必要がありますか？ 私はシンプルな個人ブログを所有していますが、NSAの主題に関する意見、懸念、アイデアを表明しているため、使用する必要があると言う人がいます。

22 security  https 

私は自分のウェブサイトへの訪問者が可能な限り最高の体験を得られるようにしたいので、彼らがLastPassと他のパスワードマネージャーを使用できるようにしたいと思います。 私の訪問者がこれらのプラグインのいずれかを使用しているかどうかを識別する方法はありますか？

21 security  forms  ux 

単純化された問題 ドメインを購入し、DNSSECで完全に保護されたWebサイトを作りたい。 正しいSSL証明書のみがブラウザーで検証され、不正なSSL証明書または非修飾名の証明書がすべて拒否されることを確認したいと思います。 ドメインはどこで購入できますか？証明書を購入する必要がありますか？（または、 CA ではなく DNSSECで自己署名証明書を使用する必要がありますか？）どこでDNSをホストできますか？プロセス全体を最も便利で手頃な価格で、最も完全で、最も専門的で、最も堅牢で、最も安全なものにしているプロバイダーはどれですか バックグラウンド 私は何年もの間DNSの不安について聞いてきました。私は、Dan KaminskyなどによるDNSエクスプロイト からThe DNS Security Panelの未来までのすべての講演を見てきました。セキュリティなしでDNSを使用することは、起こるのを待っている災害であることを知っていました。DNSSEC規格の開発に従いました。調印式を祝いました。 一方、CIA、MI6、Mossad、およびDNSSECによって解決できるSSLで保護されたWebサイトの現在の実装に関する問題を示すような他の多くのストーリーについて、非修飾名に発行された数千のSSL証明書と不正なSSL証明書について読みました（参照：A主要なインターネットのマイルストーン：DNSSECとSSLおよびDNSSECは、SSLの混乱とSSL証明書の検証とDNSSEC を修正します）。安全なDNSシステムを最終的に導入するためのすべてが適切な軌道に乗っていました。 そして今、2年以上後、私は誰もがやるべきだと言ったことをしたかっただけです。新しいドメインにDNSSECを使用します。したがって、ドメインレジストラーとDNSSECをサポートするDNSホスティングサービスが必要です。驚くべきことに、誰がどの程度DNSSECをサポートしているかを知ることはそれほど簡単ではありません。実際、2年前にDNSSECの情報を見つけるのははるかに簡単でしたが、誰もがDNSSECをすぐにサポートする予定でしたが、今では何年も経ち、進捗はほとんど見られません。間違った場所を見ているだけで、ここの誰かがすべての疑問を親切に説明してくれることを願っています。 安全なウェブサイトを作りたい他の人にもこの質問が役に立つと思うことを願っています。 何が必要とされているか .comドメインのDNSSECを完全にサポートするレジストラとDNSサーバー DNSSECとSSL証明書の統合 不要なもの IPv6サポート ウェブホスティング それ以上 これまでにわかったこと Go Daddyは、年間36ドルのプレミアムDNSサービスを提供しています。これにより、「DNSSECで最大5つのドメインを保護」できます。 easyDNSでは、すべてのサービスレベルでDNSSECをベータ版で利用できます（設定で「ベータ版」フラグを有効にする必要があります）が、実稼働準備ができていないようで、更新の不足から判断すると、最優先の機能ではありません（easyDNSブログの2011年3月からの最後の更新）。 Name.com -The Register（米国のドメインレジストラはIPv6、DNSSEC）によると、2010年からDNSSECをサポートしていますが、現時点（2012年10月）では、DNSSECに関連するものはWebサイトで見つかりませんでした。 頻繁に推奨されるDynadotはDNSSECをサポートしていません よく推奨されるNamecheapは、DNSSECをサポートしていません。2011年のサポートの回答では、追加されたことが示唆されましたが、2012年にはまだETAが顧客に提供されていません。 DynDNSはDNSSECをサポートするはずでしたが、DNSSECサポートを説明するリンクを見つけましたが、404 Not Foundページを提供し、検索ボックスを提供します-DNSSECを検索すると、「クエリの結果が見つかりません」と表示されます。 GSECはDNSSECサポートのためにオンラインで推奨されましたが、DNSSECサポートのレベルに関する情報を見つけることは困難です-DNSSECとは何か、および委任署名者レコードに署名する方法についての簡単な説明がFAQにありますが、実際のサポートのレベルに関する情報はありません見つけられた。 Ask Slashdot：どのレジストラがDNSSECをサポートしていますか？： - 2011年7月からの回答は、サポートDNSSECしかしがあること、レジストラとしてゴーダディ、DynDNSの、GKG、Name.comをリスト上記を参照してください。 ICANNによるDSレコードの入力を含め、エンドユーザーのDNSSEC管理をサポートするレジストラ（このことを思い出してくれたRobに感謝します）-このリストの問題は、サポートのレベルが不明であり、DNSSECに追加料金を支払う必要があるかどうかという事実ですDNSSECおよびSSLで完全に保護されたドメインの購入、設定、ホスティングの利便性は言うまでもなく、料金については言及されていません。 Public Interest Registryによって公開されたDNSSECのOT＆Eに合格した.ORGレジストラのリスト -多くのレジストラがリストされていますが、.orgTLDサポート用にリストされており、「レジストラがDNSSECサービスを登録者に対して有効にしたかどうかは示していません」 。DNSSECサービスについては、レジストラに直接お問い合わせください。」 ドメインレジストラを使用したドメインでDNSSECを確保し、署名する方法によりインターネット協会（のおかげでニックそれを指摘して）現在のリストを2つだけサポートその.com「レジストラは、登録のためDNSSECのサポートとホスティング」すなわちのリスト上のTLD。Go Daddy（追加費用36ドル/年）およびDyn（追加費用330ドル/年）。詳細については、Dyn、Incを使用してDNSSECでドメインに署名する方法およびGoDaddy.comを使用してDNSSECでドメインに署名する方法を参照してください。 …

17 dns  security  domain-registration  security-certificate  domain-registrar 

1週間前、GoogleからHTTPSを使用するためのメールが送られてきました。HTTPをHTTPSに転送しない場合、サイトにテキストを入力しようとするすべてのサイト訪問者に対して、接続が保護されていないことが表示されます。 SSLを使用せずに、接続を保護する他の方法はありますか？Web URLでSSLを使用する費用のかかるプロセスに関連しているため、代わりに他のオプションを検索しています。

16 security  google-chrome  forms 

ブログや個人プロジェクトをホストするためにWebminをインストールする予定のVPSインストールを保護する基本的な手順は何ですか？

16 security  server  vps 

Webサイトをスキャンして、サイトがテストに合格した場合に画像vulnerabilitiesの表示を許可するサービスがいくつかあります。これにより、潜在的なクライアントがウェブサイトに対して感じる信頼のレベルが高まり、したがって、購入を完了する可能性が高くなります。 trustmark マカフィーは、売上の大幅な増加を示す調査があると主張しています。私はそれを彼らの言葉にすべきでしょうか？もしあれば、どのような増加を本当に期待すべきですか？これらのタイプのサービスは、彼らが請求する価格に見合っていますか？

16 security  ecommerce 

WebサイトでHTTPS / SSL暗号化が必要な場合、証明書の取得元は重要ですか？一部のSSL証明書ベンダーは他のベンダーより優れていますか？もしそうなら、なぜですか？

16 https  security-certificate  security 

現在、Webサイトで作業しており、SSL証明書を正常にインストールしました。 GeoTrust SSL / TLSチェッカーは、証明書チェーン（CAを含む）が適切にインストールされていることを確認しました。Chromeではすべてが正常に見えますが、私の南京錠は緑色ではなく、Firefoxでは、暗号化されていない要素があるため、Webサイトは安全ではないと実際に述べています。 オンラインサービスを使用してその理由を確認しましたが、実際に私の画像は安全なURLとは見なされていません。この状況にどのように対処しますか、つまり、どのように自分のウェブサイトに安全に画像を埋め込むのですか？

14 https  images  security 

Google Analyticsで多くのウェブサイトを追跡しています。最近、サイトAのトラッキングコードを誤ってサイトBに追加しましたが、数週間後に気付きました。それまでに、1つのWebサイトには2週間の訪問者がいませんでした。もう1つのWebサイトには、他のWebサイトに比べて大量のトラフィックがありました。 サイトの分析データが完全に台無しになり、他のサイトのデータが追加されました。 サイトのソースとGoogleアナリティクスコードを簡単に表示できるので、誰かがそのコードを取得して自分のサイトに追加し、サイトの分析データを完全に台無しにしてしまう可能性があります。 非常に有名なウェブサイトの多くはGoogleアナリティクスを使用していますが、なぜこれが考えられたり緩和されたりしていないのでしょうか。ソースドメインが追跡対象のサイトと一致するかどうかをGoogleが確認するのはそれほど難しくありません。 これをどのように軽減できますか？ 更新：残念なことに、これはWebサイトをスパムする新しい方法になり（http://www.analyticsedge.com/2014/12/removing-referral-spam-google-analytics/）、以下の回答がこれまで以上に重要になっています。ボットからの偽の分析ヒットを除外するためにデフォルトのフィルターが配置されていない理由はまだわかりません。

13 google-analytics  security 

Googleのウェブサイトを所有しており、Googleの検索結果から、別の完全にランダムなソースによって不適切またはスパム目的でリンクされていると判断しました。 彼らは最近ドメインを登録し、そのドメインを私たちのサイトに向けています（ただし、URLがそのままである場合、303リダイレクトのように見えます）。その結果、ドメインがGoogle検索結果にOURサイトとして表示されるようになりました。 これをどのように防ぐことができますか？

13 security  seo  spam 

Cloudflareを使用すると、セキュリティ証明書（「Flexible SSL」と呼ばれる製品）を購入してインストールすることなく、SSL経由でサイトを提供できます。（これらはプロキシとして機能し、サーバーからSSLを介してサイトにサービスを提供しますが、サーバーからサーバーへの接続は暗号化されません。） 現在、フレキシブルSSLを無料で提供しています。 HTTPSがランキングシグナルになったというGoogleの発表により、複数のサイトをCloudflareに切り替え、Proアカウントを購入し、「Flexible SSL」オプションを有効にすることを検討しています。複数の証明書を購入して管理する必要があります。 CloudflareのFlexible SSLにマイナス面はありますか？ 私はプロキシとしてCloudflareを使用することに不安がありません。2つの要因にもっと興味があります。 エンドユーザー向けの体験。（たとえば、訪問者にセキュリティ警告が表示されますか？） 提供されるセキュリティのレベル。（シンプルなブログには十分ですが、オンラインショップには十分ではありません。クレジットカードデータをサーバーから暗号化せずにあなたのサーバーに渡しますか？）

12 seo  security  https  cloudflare