徳丸 浩(@ockeghem)さんの人気ツイート(新しい順)

26
毎日これやるの?>『同市の情報システム課とひまわりネットワークにおいて、日々の業務開始前に「強制BCCシステム」の稼働状況を双方で確認する』 「強制BCCシステム」停止 メールアドレス 652 件流出、ライセンス更新怠る | ScanNetSecurity scan.netsecurity.ne.jp/article/2023/0…
27
既にレインボーテーブルは第一の脅威ではなくて、GPUによる総当りが脅威だと思います。レインボーテーブル対策であればソルトで十分ですが、GPU総当りだとソルトだけでは不十分で、ストレッチングあるいは遅いハッシュ関数を使うべし…というのは徳丸本2版P477に書いてあります twitter.com/omochimetaru/s…
28
生々しいルポ。いきなり逮捕などでなくてよかった。捜査員がその場で確認したのですね。対策については同意しません / “自宅に捜査員が…家のルーターが知らぬ間にサイバー攻撃発信元に | 毎日新聞” htn.to/25ZKne5cM1
29
YouTubeでセキュリティの勉強をしようと思い、10万回再生されているブラウザ設定の動画を視聴していたら、『DNSをまったく利用していないという方は、オフでも構いません』と説明していた。この方、インターネットをまったく理解していない🤔コメントは絶賛の嵐なんですが…
30
IPAのページにGoogle検索でいくと404になるので、案内に従ってIPAサイト内検索したところ、やはり404になるのウケる(ウケない)
31
『システムへのアクセス集中により印刷処理の待ちが生じた結果、印刷イメージファイルのロックが解除され、同時期に交付を申請した別の利用者が当該ファイルを印刷できてしまったという』 / “コンビニ交付で別人の住民票が発行されるバグ、富士通Japanが原因を説明” htn.to/6QKXKSiYT5
32
古いPHPプログラムのPHPバージョンアップ業務をChatGPTに質問して、その結果をTeratailでレビュー依頼する人物が現れた模様です
33
こういう認識の人が多いから、POSTすべき処理をGETでやって、脆弱性診断等で指摘されるんでしょうね(結構ある)。GETとPOSTの使い分けについては、拙著でも記載しています。 twitter.com/ebiebi_pg/stat…
34
無茶言うなよ。できるわけないだろ>『新たな対策として、(家庭用ルーターの)見覚えのない設定変更がなされていないか定期的に確認する。をお願いします』 / “家庭用ルーターの不正利用に関する注意喚起について 警視庁” htn.to/2PzvrpLJ8S
35
さっそく入社試験問題をChatGPTに解かせてみましたが、GPT-3.5だと当方の誘導が必要でしたが、GPT-4だと誘導も必要なく最初から完璧な解答が得られました。問題は不正アクセス事件の概要を読ませ、原因と対策を問うものです。 twitter.com/ockeghem/statu…
36
本日公開しました。ウェブ健康診断仕様の13種類をはじめ多種の脆弱性が学べる脆弱性入りアプリ(やられアプリ)です。非営利の個人利用向けに公開しています / “GitHub - Bad Todo 非常に多種の脆弱性を含む診断実習やられアプリbadtodo” htn.to/2jNWUzY9mq
37
『大阪府の40歳代男性名義で再発行したSIMカードを利用し、スマホを使って金融機関のアプリに不正にログイン。男性名義の口座から約600万円を両被告らの管理する口座に送った疑い』 / “SIMカード再発行でスマホ乗っ取り、不正送金の男2人を全国初逮捕…世界で…” htn.to/YcNr1KQE86
38
ChatGPTに「Reactで○○するプログラムを書いて」と指示したら、私の罠を見事に回避して脆弱性のないコードを提示したので関心したのだけど、ふと閃いて、Vue.jsで書いてもらったら、私の意図通りXSSのあるコードを生成したので今日はもう帰ってもいいですか?
39
ECサイトからのクレジットカード情報漏洩でセキュリティコード含めて漏れるのは、セキュリティコードを保存していたからではないケースが大半と10年間言い続けているが、いっこうに浸透しない…が言い続けるしかない
40
「ペイメントアプリケーションの改ざん」でカード情報を盗む手口はこちら。日本では10年間にわたって使われている手法ですが、まだまだ認知されていないようです youtube.com/watch?v=XNgVeH…
41
手元の集計では、2022年にはクレジットカード情報漏洩のリリースが52件あり、いずれもセキュリティコードが漏れています。名義が漏れない事件はありましたが、セキュリティコードはどの事件でも漏れています
42
クレジットカード情報11万件の漏洩。これ、1月4日にカード情報漏洩の懸念が伝えられているのに、1月17日まで漏洩が続いているのが初動の問題ですね / “弊社が運営する「ソースネクストオンラインショップ」への不正アクセスによる個人情報漏えいに関するお詫びとお知らせ|…” htn.to/3bziMusC6U
43
こちらを見て、Cookieのtweetdeck_versionを削除したら、TweetDeck使えるようになりました(legacyになっていた) twitter.com/hetima/status/…
44
1月23日追記として、以下が追記されているが… 12月28日14時00分: セールスフォース・ジャパンのご担当者の方々が当社を訪問し、Herokuの障害ではないことを確認し、同社が把握している状況の詳しい説明を受ける。 01月23日12時00分: セールスフォース・ジャパンとの協議を経て、本件が完全に解決。 twitter.com/ockeghem/statu…
45
やはりGETでの更新は原則避けるべきだと思います。 (1) GETの方がキャッシュされやすく、更新処理のリクエストがエンドポイントに届かない場合がある (2) ブラウザ等の先読み機能で「勝手に」アクセスされる可能性 (3) フレームワーク類がGETでの更新を想定していないのでCSRF保護が働かない twitter.com/phono2xx/statu…
46
ちょっと理解しがたい事態なのでメディアの方はHerokuかセールスフォース・ジャパンに取材して欲しい / “【復旧】12月23日、24日に発生しました障害に関するご報告” htn.to/3VGQwKrJMd
47
安全なWebアプリケーションの作り方第2版の実習環境を M1/M2 Mac 向けに Docker対応いたしました。ARM64だけでなくAMD64にも対応しています。 / “Docker版実習環境の使い方 - 安全なWebアプリケーションの作り方 第2版 サポートサイト” htn.to/2QTMHTvUs8
48
汎用機というのはIBMのSystem/360に由来する言葉で、当時の計算機の主な応用は事務計算と科学技術計算であり、かつそれぞれ「専用機」だったものが、System/360はどちらもできるいう意味での「汎用機」ですね。360度すなわち全方位をカバーするというIBMらしい大げさなネーミングですな twitter.com/ebiebi_pg/stat…
49
Teratailの質問で、「HTTPSは不完全なので独自の暗号化を組み込みたい、方式の候補はBASE64やシーザー暗号」というのがありました。ネタと言われそうですが、本当にあるんです。テレグラムみたいな実装を目指しているだそうです。LINEのドキュメント読めば? と回答しようかな
50
MySQL使っている最中にカップラーメン作ろうとおもったら、以下で3分間待つことができます。 SELECT sleep(180); その間mysqlコマンドが使えなくなるので、別ターミナルで実行するとよいでしょう。 twitter.com/mshb5656/statu…