請負開発したシステムでEU域内の個人データを扱う場合、GDPRの遵守は納入先となる顧客が負うことになるわけだけれど、とはいえGDPRに対応するための機能が入ってないと問題になることは見えているので、提案書の段階で必要な機能は機能要件に織り込んでおく…

GDPRを遵守するためにアプリケーションに必要となる機能

内閣官房が政府CIOポータルで公開してる標準ガイドライン群では、APIテクニカルガイドブックで、API認証をする際は「APIキー又はOpenID Connect」による認証を推奨しています。 ただ、調達の受注者としては「政府CIOポータルで推奨されている方式に従いまし…

組織内でのAPI認証にOAuth2 Client Credential flowを使うメリット募集

一般的なエンタープライズアプリケーションアーキテクチャの考えかたでは、 RDBMSの1レコードはそのまま現実世界の状態をモデル化したもの 画面に表示されているデータの内容と、DB上のデータとは整合しているべき レコードを更新するということは（たとえ部…

RDBMSに対する考えかた（レコード内での整合性）

Problem: There is no way to show SSL certificate in Safari on iOS. Reason: It seems to be by design. Solution: Use Chrome for iOS. Note: You can view SSL certificate on https://www.digicert.com/help or other SSL diagnostics services, only …

There is no way to show SSL certificate in Safari on iOS

(A) Use "netsh trace" command pros: You can use it in isolated network. cons: You should convert the captured file with Microsoft Message Analyzer if you want to see packets with Wireshark. (You can also view the packets with Microsoft Mes…

How to capture network packet without additional software in Windows

Context When you try to attack to OAuth2 Authorization Code Flow with CSRF (See RFC 6749 "10.12. Cross-Site Request Forgery"), you have to pause before redirect in order to get redirection URI, because the redirection URI is unique and wil…

Pause before HTTP redirect (302) and get redirection URI with Chrome developer tools

In Japan, so many companies have their own security policy like "When you send email with attachments, you must zip all the attachments with password, and send the password in another email". Some say this policy is pointless, but on the o…

Who does recommend to encrypt the attachments in email

Purpose of account lockout These are some purpose for account lockout, such as: Detect login attempts 1 Example: Logging 2 Slow down login attempts Example: Duration-based lockout, scrypt, Argon2 Interrupt login attempts Example: Requires …

What can you do with account lockout and its unlock