Learn the systems behind secure tools.
仕組みを読んで、すぐにブラウザ上のツールで確認する。 secutils の Learn は、知識と実験を同じローカルな作業面に置くための セキュリティ学習ページです。
JWT のよくあるセキュリティ問題
alg=none、アルゴリズム混同、弱い秘密鍵、payloadの過信など、JWTで起きがちな事故を実務目線で整理します。
Secure application thinking
Webアプリ、認証、暗号、ブラウザ防御を、実装判断につながる粒度で整理します。
JWT のよくあるセキュリティ問題
alg=none、アルゴリズム混同、弱い秘密鍵、payloadの過信など、JWTで起きがちな事故を実務目線で整理します。
パスワード強度はどう決まるか
文字数だけではなく、エントロピー、総当たり時間、パスフレーズの考え方から安全なパスワードを説明します。
XSS の基本と防ぎ方
Reflected / Stored / DOM XSS の違い、出力エスケープ、CSP、危険な実装パターンを整理します。
CSRF の仕組みと対策
SameSite Cookie、CSRFトークン、Origin検証を中心に、ログイン済みユーザーを狙う攻撃を理解します。
SQLインジェクション入門
文字列連結が危険な理由、プレースホルダ、ORM利用時の注意点、Blind SQLi の考え方を解説します。
OWASP Top 10 入門
Webアプリの代表的なリスクを、A01からA10まで実装者が押さえるべき観点で読み解きます。
MFA、TOTP、FIDO2、Passkey の違い
多要素認証の方式ごとの強み、フィッシング耐性、復旧手段を比較して選び方を整理します。
パスワードハッシュの選び方
平文保存が危険な理由、salt、pepper、bcrypt / scrypt / Argon2 の位置づけを説明します。
CORS と Same-Origin Policy
ブラウザの同一オリジン制約、プリフライト、credentials、危険なCORS設定を整理します。
セッション認証とJWT認証の違い
保存場所、失効、リフレッシュトークン、用途別の選び方を比較します。
公開鍵暗号の基本
RSA、ECDSA、Ed25519、鍵交換、署名、証明書の役割を開発者向けに整理します。
OAuth 2.0 と OpenID Connect 入門
認可と認証の違い、Authorization Code + PKCE、id_token と access_token の役割を説明します。
HTTPセキュリティヘッダー詳解
CSP、HSTS、X-Frame-Options、Permissions-Policy など、ブラウザ防御に効くヘッダーを整理します。
安全な乱数の基本
CSPRNG と Math.random の違い、modulo bias、rejection sampling を実装者視点で説明します。
クリックジャッキング詳解 - 透明iframeとX-Frame-Options/CSPで防ぐ
透明iframeでUIを重ねて意図しないクリックを誘発する攻撃の仕組み、likejacking/cursorjackingなどUIリドレッシング全般、X-Frame-Options と CSP frame-ancestors による防御を解説します。
SSRF 詳解 - クラウドメタデータ狙いとCapital One事件・IMDSv2
SSRFの仕組みと典型攻撃、AWS IMDS (169.254.169.254) を狙うクラウドAPI悪用、Capital One 1億件流出事件、許可リスト方式・IMDSv2・SSRFガード設計を日本語で解説します。
パストラバーサル詳解 - ../攻撃・URLエンコード回避・防御の基本
パストラバーサル(ディレクトリトラバーサル)の仕組み、../ や URLエンコードを使った検査回避、Null Byte挿入、ZipSlip、防御策としての正規化後の許可リスト・抽象化APIを解説します。
Network fundamentals
通信、名前解決、IP、HTTPまわりの基礎を、運用や障害調査で使える形にします。
CIDR記法の読み方と仕組み
/24 の意味、サブネットマスク、ホスト数、/31 の扱いなどをネットワーク初学者向けに解説します。
TCP と UDP の違い
信頼性と速度のトレードオフ、HTTP、DNS、動画配信、QUICなど用途別の選び方を説明します。
DNSの仕組みと名前解決の流れ
ブラウザにURLを入力してからIPアドレスが見つかるまでを、レコード種別とキャッシュ込みで追います。
HTTPS と TLS の仕組み
TLSハンドシェイク、証明書チェーン、HSTS、MITM対策など、HTTPSの基本を整理します。
OSI参照モデルとTCP/IPモデル
L1からL7までの役割、カプセル化、代表プロトコル、障害切り分けへの使い方を説明します。
ポート番号の基本
well-known、registered、dynamic/private の違いと、80、443、22など代表的な番号を整理します。
NAT とポートフォワーディング
家庭用ルーターで何が起きているか、NAPT、UPnP、CGNAT、IPv6との関係を説明します。
ICMP / ping / traceroute の基本
疎通確認、TTL、経路調査、パケットロスの読み方など、ネットワーク調査の入口を説明します。
MACアドレスとARPの仕組み
L2でパケットが届く仕組み、ARP Request/Reply、ARP spoofing、IPv6のNDPとの違いを整理します。
HTTP/1.1、HTTP/2、HTTP/3 の違い
Keep-Alive、多重化、Head-of-Line Blocking、QUICなど、Web通信の進化を比較します。
VPNの仕組み
IPsec、OpenVPN、WireGuard、リモートアクセス、プライバシー面の誤解を整理します。
IPv4 と IPv6 の違い
アドレス長、表記、SLAAC、NDP、デュアルスタック、NAT不要という設計思想を解説します。
ファイアウォールの基本
ステートレス、ステートフル、L7、WAF、クラウドのセキュリティグループまで整理します。
DHCP の仕組み
Discover / Offer / Request / Ack の流れ、リース、DHCPリレー、トラブルシュートを説明します。
エックスサーバー vs ConoHa WING 比較 - 初心者向けおすすめ診断
無料お試し、料金の見方、WordPressの始めやすさ、サポート、更新時の注意点を比較し、初心者が納得して選べる判断基準を整理します。
XServer VPSとは?初心者向けの始め方とレンタルサーバーとの違い
VPSと共有レンタルサーバーの違い、マイクラサーバーやDiscord Botなど代表的な用途、XServer VPSを選ぶときの判断材料を初心者向けに整理します。
独自ドメイン取得ガイド - XServerドメインで .jp / .com / .dev を選ぶ判断
独自ドメインのメリット、TLDの選び方、XServerドメインでの取得手順、Vercelとの連携、AdSense承認との関係を実体験ベースで整理します。