テックニュース JP
← カテゴリ一覧に戻る

セキュリティ

2件の記事

HN セキュリティ

Critical vulnerability found in OpenSSH affecting versions 8.5-9.8

OpenSSHのSFTPサーバーコンポーネントに認証前のリモートコード実行脆弱性(CVE-2026-1247)が発見されました。バージョン8.5から9.8が影響を受け、未認証の攻撃者がsshdユーザーとして任意のコードを実行できます。全ての影響バージョン向けにパッチが提供されています。早急なアップデートが推奨されます。

  • 影響範囲: OpenSSH 8.5〜9.8(多くのLinuxディストリビューションのデフォルトバージョンを含む)
  • CVSS スコア: 9.8(Critical)、認証不要でリモートからの悪用が可能
2156 387 by tptacek 元記事
Dev.to セキュリティ

Stop using JWTs for sessions – here's what to use instead

JWTをセッション管理に使うべきでない理由を詳細に分析した記事です。トークン失効の問題、ストレージの落とし穴を具体的に示し、代替としてサーバーサイドストレージを使ったオペークセッショントークンを推奨しています。議論を呼ぶテーマですが根拠がしっかりしています。

  • JWTは即座に無効化できないため、セッション管理には根本的に不向き
  • ブラックリスト方式で失効管理するとJWTのステートレスの利点が失われる
1876 432 by auth_security 元記事