51
「セキュリティエンジニアを目指す理由はなんですか?」という質問への回答が「日本のセキュリティを守りたい」でも「お金になりそうだから」でも扱いは変わりませんが、「脆弱性楽しいからです」と言われたら身を乗り出すと思います。仕方ないですよね。人間だもの
52
Quoraに『なぜwebアプリケーションではphpやrubyなど動的で型付けのない言語が使われることが多いのですか?』という質問があった。うーむ、というところだけど、有識者からの回答を期待
53
いい加減、偽サイトについて「見分けがつかない!」と驚くふりをするのはやめたらどうですかね。本物をコピーしているわけだから外見で見分けられるわけがない。
54
クレジットカード情報の盗用による被害は年間400億円に到達する勢いであり、日本のセキュリティの最大の課題の一つといってもよいものだと思いますが、セキュリティカード業界のこのような秘密主義はまったく賛同できません
55
今月から新規にECサイト等でクレジットカード取引を開始する場合はクレジット取引セキュリティ対策協議会が定めた「セキュリティ・チェックリスト」によるセキュリティ対策の実施状況の申告が求められるようになりました(続く)
56
ちょうど動画作っていた
『TCP/IPを理解している人ほど間違いやすい 常時SSLでもCookieのSecure属性が必要な理由』
youtube.com/watch?v=yXNOJE… twitter.com/ockeghem/statu…
58
解雇されたエンジニアがマクドナルドのWi-Fiから企業ネットワークに接続して企業システムのVM 88サーバーを削除した例ならあります
geekpage.jp/blog/?id=2011/… twitter.com/MacopeninSUTAB…
59
PoC出ました。結局、XSSの脅威に対しては、HttpOnlyなCookie、localStorage、Auth0流のin-memory方式のいずれも大差ないという結論でよいと思います。 / “【PoC編】XSSへの耐性においてブラウザのメモリ空間方式はLocal Storage方式より安全か? - Flatt Security Blog” htn.to/4n6tSP6x23
60
もう少し噛み砕いて書くと、例えば徳丸のケータイの電話番号を知っている人がこの脆弱性を悪用すると、徳丸の裏垢がわかったりする、ということですね。 twitter.com/ockeghem/statu…
61
ITmediaの速報は肝心なところを書いてないですね。匿名アカウントの場合は電話番号やメールアドレスを紐付けないことを推奨、2段階認証には(SMSではなく)認証アプリを使うことを推奨、ということですね。いっときにTwitterは認証アプリの設定が不安定だったので、SMS使っている人は多いのでは? twitter.com/ockeghem/statu…
62
Twitterのリリースを見ると、Twitterから電話番号などが漏れたのではなく、Twitterに電話番号やメールアドレスを入力すると、該当のTwitterアカウントが分かる脆弱性だったようです。二段階認証は認証アプリなどを推奨 / “Twitter、ゼロデイ脆弱性悪用の約540万アカウント…” htn.to/2eVZrCfsZ7
63
僕の場合だと、/path/to が最初分からなかった。あと、唐突に「アリスは…」と出てくるやつ。 / “本でプログラミングを学習中にどうしても理解できない単語が出てきて困ってます。『hoge』これはどんな意味を持つのでしょうか?→「割とマジで独学はこういうので詰む」” htn.to/2dtWPiCy7M
64
Web3によってGAFAなど既存の権威を打破しようという書籍が既存の権威につぶされた構図なので、田上氏はWeb3によって思いのままに書籍を発行すればよいのではと思いました(提案) / “書籍「いちばんやさしいWeb3の教本 人気講師が教えるNFT、DAO、DeFiが織りなす新世界」の…” htn.to/3hHKTkGPhG
65
Web3教本が届いたのでパラパラ見てますが、P27の記載によると、Web2のブラウザはChromeやSafari、Web3のブラウザはBraveだそうです。BraveはChromiumベースなので、GAFAを倒したいならFirefox一択ではないか…と思いました twitter.com/ockeghem/statu…
66
Quoraって、「Ruby、jQueryなどの廃れていくOSSを開発している人達はどういう気持ちで日々それらを開発しているんですか?」という質問に、まつもとゆきひろさんが真面目に(ちょっとは感情的になって)回答して、それを他の読者がハラハラしながら読むサイトなんです
jp.quora.com/Ruby-jQuery%E3… twitter.com/ockeghem/statu…
67
『Web3でGAFAを倒すぞと言いながら下で動いてるのはAWSという悲しさ』という秀逸なブックマークコメントを読んで、せめてAzure上にしておけばと思いました(そうじゃない)
68
半田病院のケースがこれだね>『SIerはシステム導入のみを担当しており…運用保守ベンダがいても主にハードウェアトラブル等の対応が主たる契約内容であり、脆弱性の修正対応は明示的に契約内容に入っていない』 / “なぜ、SSL-VPN製品の脆弱性は放置されるのか ~“サプライ…” htn.to/36FtzX2mk9
69
僕はSQLインジェクション攻撃のデモをやるときは郵便番号検索の画面でやるのですが、その理由は、「セキュリティが手薄になっていると郵便番号検索でもやばい」ということを理解してもらうためですね twitter.com/ockeghem/statu…
70
日記書いた / “メタップスペイメント不正アクセス事件の第三者報告書から攻撃の模様を読み解く” htn.to/3yDynXBgAY
71
ちょうど今日ウェブセキュリティの講習やっていて、「ウェブサイトでパスワードのハッシュ保存が常識になったのはここ10年ほどのことだし、今もパスワードを平文保存しているサイトは多いと思う」と説明したばかりなので、僕が嘘を言っていない証拠になると思いました twitter.com/ockeghem/statu…
72
昔、高木浩光氏がWAS Forumの講演で持ち時間を大幅に超過して、しかも「大切なお話なので上野さんの時間をお借りして…」とか言いながら上野宣さんのセッションの時間を奪ったことがあり、誰ともなく「セッションハイジャックだ」といわれたことを思い出しました
wasforum.jp/about-wasforum…
73
公衆無線LANで偽アクセスポイントつかんでもAmazonは盗聴できません。その理由はこちらの動画で説明しています。ドメイン名が違っていたら盗聴できますが、それはフィッシングみたいなものです。
"偽Wi-Fiアクセスポイントで本当にパスワードは盗聴できるか試してみた"
youtu.be/k0xBCjWPqcU t.co/o8pdJ09BX2
74
日本のセキュリティの現状はこの報告書に凝縮されているのではないでしょうか。 / “コンピュータウイルス感染事案有識者会議調査報告書について つるぎ町立半田病院” htn.to/2L8ZqC9iML
75
McAfee更新しなかった92.5%がちゃんとMcAfeeアンインストールしたか気になる。アンインストールしないまま放置する人が多いと、有償ウイルス対策ソフトのプレインストールは危険性増すだけなんだけど。 twitter.com/ockeghem/statu…
徳丸本の中の人 OWASP Japanアドバイザリーボード EGセキュアソリューションズ取締役CTO IPA非常勤職員
YouTubeチャンネル: 徳丸浩のウェブセキュリティ講座 youtube.com/@websecstudy