whitedec's Blog

Published 1月 23, 2026 by whitedec

許可されたHTTPメソッドだけを通す：Nginxで405/444でノイズリクエストをブロックする

ウェブアプリ運用時に発生する異常HTTPメソッド（例：PROPFIND、MKCOLなど）をNginxで405または444でブロックする方法を紹介。前段で即時終了させてコストを削減し、アプリログをクリーンに保ち、攻撃面を縮小する実務的な設定…

#セキュリティ #nginx #444 #ログ整理 #405 #httpメソッド

Published 1月 15, 2026 by whitedec

Pillowのopen()、verify()、load()をセキュリティ観点で理解する

Pillowのopen()、verify()、load()メソッドをセキュリティ観点で分析し、画像アップロード時にデコーダに渡すリスクを低減するための一次ブロック、壊れたファイルフィルタリング、デコード段階でのDoS防御戦略を実務例ととも…

#django #セキュリティ #pillow #画像アップロード #verify #load #open

Published 1月 14, 2026 by whitedec

DjangoでX-Accel-Redirectを使い、Nginxにファイル転送を任せる設定方法

Djangoでファイルを直接送信するとアプリサーバに負荷がかかります。X-Accel-Redirectを利用して、権限チェックはDjango、実際のファイル転送はNginxに任せる設定方法と運用ポイントを解説。大容量ファイルや同時ダウンロ…

#django #セキュリティ #nginx #x-accel-redirect #ファイル転送 #ダウンロード性能

Published 1月 13, 2026 by whitedec

Django画像アップロードセキュリティガイド：サーバーを壊さずに効率的に処理する方法

Django ベースのウェブサービスで画像アップロード時に発生し得るセキュリティリスクとリソース浪費を防ぐ実践ガイドです。ファイルサイズ、MIME、解像度検証は最小コストで実施し、最終保存段階でサーバーが新しくエンコードしてメタデータを整…

#django #セキュリティ #drf #pillow #画像アップロード #トランスコーディング #マジックナンバー

Published 12月 19, 2025 by whitedec

ログテイリングの美学：サーバーを横切るボットの世界

サーバーログをリアルタイムで監視し、'tail -f' コマンドで現れる多種多様なボットトラフィックを分析します。礼儀正しい検索エンジンから攻撃的なクローラまで、各ボットの特徴、IP帯、サーバーへの影響を整理。ログテイリングでサーバーと外…

#セキュリティ #ログテイリング #ボット #サーバー監視 #トラフィック分析 #サーバー管理

Published 12月 08, 2025 by whitedec

React RCE事件から学ぶ教訓：HMAC署名・キー回転・ゼロトラストの必要性

React Server Components/Next.jsで発生したRCE（CVE-2025-55182）事件は、クライアントデータへの無条件の信頼がどれほど危険かを示しています。この記事では、HMAC署名とキー回転、ゼロトラストの原…

#セキュリティ #react rce #hmac署名 #キー回転 #ゼロトラスト #apiセキュリティ

Published 12月 05, 2025 by whitedec

悪意あるボットは止められない。代わりにアプリ前で切り捨てよう - nginxで奇妙なURLを整理する方法

ウェブアプリを公開すると、悪意あるボットやスキャナが無差別にリクエストを送ります。この記事では、nginxの444ステータスコードを活用し、blackhole.confで奇妙なURLを事前にブロックする方法を紹介します。ログノイズの低減、…

#セキュリティ #nginx #444 #ブラックホール #ログ整理 #悪意あるボット #サーバ運用

Published 12月 05, 2025 by whitedec

Cloudflare（クラウドフレア）はなぜ無料なのか？：CDNの仕組みと『お金』になるビジネスモデル

Cloudflareが無料でCDNとセキュリティサービスを提供する理由とビジネスモデル、無料プランが個人ブログや小規模サービスに与えるメリット、そして有料プランへ自然に移行するプロセスを詳しく解説します。無料プランの利点と限界、成長段階で…

#セキュリティ #開発者 #cdn #cloudflare #無料 #ビジネスモデル #パフォーマンス

Published 12月 03, 2025 by whitedec

DjangoモデルにFernetで秘密鍵を安全に保存する方法

Django で API キーやトークンなどの機密情報を安全に保存するには、Fernet 暗号化を活用するのが最も簡単で効果的です。本記事では、Fernet キー生成、settings.py 設定、EncryptedTextField 実…

#django #セキュリティ #fernet #暗号化 #カスタムフィールド

Published 11月 24, 2025 by whitedec

あなたのSSHサーバーは安全ですか？SSHサーバーログによるハッキングの兆候完全解析

SSHサーバーログを通じてハッキングの兆候を識別し、ブルートフォース攻撃とパスワードログイン失敗を防ぐ実践的な分析方法を紹介します。ログを読み、fail2banやファイアウォール設定まで段階的に案内します。

#ssh #fail2ban #セキュリティ #ログ #ハッキング

Published 11月 17, 2025 by whitedec

SPAとReactのための必須知識 - ブラウザストレージ完全ガイド

SPAとReact開発者のためのブラウザストレージ（セッションストレージ、ローカルストレージ、インデックスDBなど）活用法を整理した完全ガイドです。ストレージの種類、使用シナリオ、セキュリティ問題、性能ヒント、そして実際のコード例を通じて…

#セキュリティ #spa #react #indexeddb #ブラウザストレージ #セッションストレージ #ローカルストレージ #ウェブストレージ #性能

Published 11月 10, 2025 by whitedec

コンテナをrootで実行すると何故いけないのか？

コンテナをrootで実行するとセキュリティ上の危険が高い。コンテナ脱出時にホストroot権限を取得する可能性、最小権限原則、Dockerfileのベストプラクティスを紹介します。

#セキュリティ #root #dockerfile #コンテナ

Published 11月 10, 2025 by whitedec

adminを今すぐ隠すべき理由

Django管理ページのadminを即座に隠す必要性とその方法をまとめた記事です。セキュリティの強化と運用効率を同時に達成する実践ガイドです。

#django #セキュリティ #admin

Published 11月 04, 2025 by whitedec

Djangoのget_valid_filename関数の活用法

Djangoのget_valid_filename関数を使用してファイル名を安全に変換する方法と実際の活用例を紹介します。

#セキュリティ #ファイル名 #ユーティリティ

Published 7月 15, 2025 by whitedec

ウェブクローラーボット：有益な存在と有害な侵入者の区別

ウェブサイトのトラフィックの半分以上はボットによって生成されています。有益な検索エンジンボットと悪性ボットの区別、そしてウェブサーバーログ分析からハニーポットまでの効果적인防御戦略を紹介します。

#waf #検索エンジンボット #クローラー #悪性ボット #セキュリティ #ウェブセキュリティ #ハニーポット #ウェブサーバーログ #ウェブボット分析

Posts tagged with "セキュリティ"