26
高木浩光氏の逆鱗に触れた記事(その後修正)を書いたのは、かつて、ゆうちょ銀行の記者会見で「セキュリティのひんじゃくせい」を連呼して、視聴しているこちらがいたたまれなくなった方じゃないか。
27
知恵袋で「みずほ銀行以外でシステム障害がめったに起こらない理由は?」という質問があるが、回答が難しい
28
ちょっと理解しがたい事態なのでメディアの方はHerokuかセールスフォース・ジャパンに取材して欲しい / “【復旧】12月23日、24日に発生しました障害に関するご報告” htn.to/3VGQwKrJMd
29
@stachyon お気持ちはわかりますが、クレジットカードを使うのであれば、むしろカード情報は保存した方が漏洩しにくいですよ。今どき、カード情報が盗まれるのは保存データではなく、入力画面からなので、入力頻度が低い方が盗まれにくいです
30
「ハッカーになりたい高校生へ」みたいなYouTube動画をチラ見していたら、僕のYouTubeチャンネルが紹介されて、「セキュリティの仕事をするというのはだいたいこういうことをするんです。徳丸さんの動画を見て興味が持てなければあきらめた方がよい」みたいな話で、試金石かよと思いましたw
31
付け加えると、更新系処理のSQLインジェクションを「安全に」確認することも難しいです。試している人は「正義のため」という意識でやっているかもしれませんが、本番データ壊したら「正義」どころではないですからね twitter.com/ockeghem/statu…
32
確かに無礼なメールだが、その返答は洒落ている。こういう人物でありたいと思った / “オープンソースcURLの作者、某大企業から「24時間以内にこの質問に答えるように」との無礼なメールを受け取る” htn.to/4xgyCj3KFV
33
某銀行の事故を頭取は報道で知ったとのことですが、私はその事故を報道より先にTwitterで知っていたので、Twitter監視は重要だなと思いました
34
iモード公式サイトの終了を記念して「iモードがいかにセキュリティ的にやばかったか」という動画を作ろうと着想したけど、若い人はそもそもiモードを知らないだろうし、あまり需要はないですかね。なお、現実にiモードのセキュリティ事件はほとんどないと思いますが、その理由も説明しないとね
35
いい加減、偽サイトについて「見分けがつかない!」と驚くふりをするのはやめたらどうですかね。本物をコピーしているわけだから外見で見分けられるわけがない。
36
迅速な対応でいいですね。一般論として「ソースコードが漏れたらセキュリティが心配」とは言えないですよね。バックドアとかあれば別ですが、それはバックドアをつける方が問題 / “GitHub上に三井住友銀の一部コードが流出、「事実だがセキュリティーに影響せず」 | 日経ク…” htn.to/25uAaD61Jx
37
Quoraって、「Ruby、jQueryなどの廃れていくOSSを開発している人達はどういう気持ちで日々それらを開発しているんですか?」という質問に、まつもとゆきひろさんが真面目に(ちょっとは感情的になって)回答して、それを他の読者がハラハラしながら読むサイトなんです
jp.quora.com/Ruby-jQuery%E3… twitter.com/ockeghem/statu…
38
みんな、もうSNSでいがみ合うのはやめよう。
平和に好きなJWTの話でもしようよ。
JWTの格納場所はlocalStorageとCookieのどっちが好き?
39
YouTubeでセキュリティの勉強をしようと思い、10万回再生されているブラウザ設定の動画を視聴していたら、『DNSをまったく利用していないという方は、オフでも構いません』と説明していた。この方、インターネットをまったく理解していない🤔コメントは絶賛の嵐なんですが…
40
SQLインジェクション警察です。セミコロンの後は、DROP TABLE employee"' となるのでSQL文はシンタックスエラーになり実行されません twitter.com/kaityo256/stat…
41
そんなことは通常ない。いい加減なことを書かないでほしい>『CookieにはIDやパスワードなど重要な情報が含まれ、多くの個人情報を保存しています』 / “クロスサイトスクリプティングとは?具体的な事例とテストのやり方、対策法を解説 | Qbook” htn.to/344aEVHZhA
42
なぜカード情報をサイトに保存したほうが漏洩しにくいかは以下の動画で説明しています。
youtube.com/watch?v=fXVasf… twitter.com/ockeghem/statu…
44
『預金口座の番号や暗証番号などが何らかの理由で外部に漏れてしまうという最悪のケースに備えておく』が利用者の責務というのはナンセンスだし、仮に利用者側で対策するなら、暗証番号の定期的変更くらいしかないわけですが、それが必要な銀行は解約しますね twitter.com/ockeghem/statu…
45
『本事象の原因は、2か所のコンビニで、2名の住民の方が同一タイミング(時間間隔1秒以内)で証明書の交付申請を行った際に、後続の処理が先行する処理を上書きしてしまうことによるものです』 川崎市様における証明書誤交付ついて(富士通ジャパン) htn.to/3dDcGHqpQ5
46
ECサイトからのクレジットカード情報漏洩でセキュリティコード含めて漏れるのは、セキュリティコードを保存していたからではないケースが大半と10年間言い続けているが、いっこうに浸透しない…が言い続けるしかない
47
どの銀行のシステムも同じSIerが作っているのに結果が大きく異なるのは発注者の問題だから。セキュリティに関してもそうなんです、というのは皆さん気づき始めていますよね / “みずほのシステムについて質問です。 | Peing -質問箱-” htn.to/6x4yEfyF3m
49
日本人有名ハッカー(バグハンター等)には大学出ていない人が多いので勘違いする人が多そうだけど、あぁいう人たちは人間を超えたような存在なので、自分もああなれると思ってはいけません。そういう人は極めてマレです。
50
しょせん架空の話だと思う人は以下の記事をどうぞ。シオノギアメリカのコーニッシュとその友人はネットワークパスワードを上司に渡すことを拒否、解雇された後マクドナルドのWi-Fiからリモートログインして、退職前に勝手に用意したコンソールから88の業務システムVMを削除
computerworld.com/article/251039… twitter.com/MacopeninSUTAB…
徳丸本の中の人 OWASP Japanアドバイザリーボード EGセキュアソリューションズ取締役CTO IPA非常勤職員
YouTubeチャンネル: 徳丸浩のウェブセキュリティ講座 youtube.com/@websecstudy