101
しょせん架空の話だと思う人は以下の記事をどうぞ。シオノギアメリカのコーニッシュとその友人はネットワークパスワードを上司に渡すことを拒否、解雇された後マクドナルドのWi-Fiからリモートログインして、退職前に勝手に用意したコンソールから88の業務システムVMを削除
computerworld.com/article/251039… twitter.com/MacopeninSUTAB…
102
Log4jになぜあんな機能あるのかと思っていたけど、「世界的サーバー管理ソフト」なら仕方ない(違 twitter.com/marimo_orz/sta…
103
Log4jの脆弱性がShellShockやHeartBleedに匹敵する危険性という記事を読んだけど、Log4jの方が、より危険な気がする。ShellShockは攻撃経路が限られた、HeartBleedは単体ではRCEまでいかない…というのが理由だけど、まぁ基準をまず決めないと比較は難しいですね、という結論
104
iモードでセキュリティ事故がほとんどなかった理由
・実質的に閉域網でiモード端末実機でないと接続できなかった
・端末認証なのでパスワードを使わなかった
と書くとすごく良さそうだけど、これが足枷になったわけです(予告編)
105
「iモードはセキュリティ事件・事故がなかったのなら、それは安全ということでは?」という疑問が生まれますね。言い方を変えましょう。
iモードはセキュリティが足かせとなって技術的な発展ができなかった
ならいいですね。興味がある人が少なくても、歴史的には伝えていくべき内容だとは思います twitter.com/ockeghem/statu…
106
iモード公式サイトの終了を記念して「iモードがいかにセキュリティ的にやばかったか」という動画を作ろうと着想したけど、若い人はそもそもiモードを知らないだろうし、あまり需要はないですかね。なお、現実にiモードのセキュリティ事件はほとんどないと思いますが、その理由も説明しないとね
107
初歩的なゲームチートやboTの入門として好適な事例だ / “セキュリティを一切考慮しないMMORPGを開発するとどうなるか” htn.to/3L4qhWBWij
108
異論があります。「おみ」は漢字で御御(御御足:おみあし、のように)なので、御御クロン、すなわちクロンの丁寧語です twitter.com/mattn_jp/statu…
109
カード情報漏えいの過去のリリースを読もうとしたら、WordPressセットアップ画面が表示された時の顔をしている
110
@stachyon いえ、正規サイトの入力画面が改竄されてJavaScriptを仕込まれるので、フィッシングとは違いますし、利用者が気づくことはほぼ不可能です。
111
なぜカード情報をサイトに保存したほうが漏洩しにくいかは以下の動画で説明しています。
youtube.com/watch?v=fXVasf… twitter.com/ockeghem/statu…
112
@stachyon お気持ちはわかりますが、クレジットカードを使うのであれば、むしろカード情報は保存した方が漏洩しにくいですよ。今どき、カード情報が盗まれるのは保存データではなく、入力画面からなので、入力頻度が低い方が盗まれにくいです
113
Windows Defenderがまた自作のプログラムを誤検知したっぽいので、ソースコードを確認したらほとんど空なので「どうして?」と思ったのでVisual Studio立ち上げたらこれですよ。デモ用に「ウイルスに感染した模様」を説明するための空のアプリを誤判定。何を見てウイルスと判定した?
114
VirtualBox 6.1.28(最新)にするとHyper-Vと共存できなくなるようです。自宅の環境でも再現しました。6.1.26なら共存できます。
forums.virtualbox.org/viewtopic.php?…
115
SQLインジェクション警察です。セミコロンの後は、DROP TABLE employee"' となるのでSQL文はシンタックスエラーになり実行されません twitter.com/kaityo256/stat…
116
ヤフー知恵袋で時々目にする質問のパターン
「セキュリティに詳しい方(専門家)に聞いたところ、○○の危険性があるそうです。どうしたら防げますか?」
感想「詳しい人に聞いたのなら、なぜ防ぎ方まで教えてもらわなかったの?」
117
『検証委員会に対しても「セキュリティー専門家が含まれておらず、まともな調査結果は期待できそうにない」(被害を受けた顧客)との批判が渦巻く』 / “富士通「ProjectWEB」情報流出問題の真相、ずさんな対応に不満や批判が噴出 | 日経クロステック(xTECH)” htn.to/4i5fUJuor8
118
特番として予約されている…というのは、たとえば、仮に 03-1100-2222 という電話番号があったら、市外局番省略した場合 110 まで押した瞬間に110番通報になりますからね。なので、1から始まる番号全体を予約している
119
電話番号の例示として、03-1234-5678や03-1111-2222を使うことが多いのですが、これってどうなんだろうと調べたところ、市内局番が 1で始まることはない(特番で予約されているため)ので、上記はありえない電話番号であり、既存の電話番号と重ならないという意味で例示用には適しているらしい
120
こういうの、紛らわしいし、何の申込みか不明なので本当にやめてほしい。私には、「次へ」ボタンをタップする勇気はないし、相談されたら「絶対に押すな」と回答するだろう
121
「マクロかよ」と揶揄する声もあるようですが、世界中で感染を広げたEmotetも感染のとっかかりはWordマクロですから、マクロを甘く見てはいけないと思います twitter.com/ockeghem/statu…
122
JWT大好きな皆さん、ここはウォッチしないとだめですよ。これがそのまま通ったら、ログアウト機能でJWTの即時無効化をしていないサイトは脆弱性診断で「OWASP Top 10 2021違反」と報告されてしまいますyo ! twitter.com/ockeghem/statu…
124
どの銀行のシステムも同じSIerが作っているのに結果が大きく異なるのは発注者の問題だから。セキュリティに関してもそうなんです、というのは皆さん気づき始めていますよね / “みずほのシステムについて質問です。 | Peing -質問箱-” htn.to/6x4yEfyF3m
125
これは本当にオススメ。トレーニングなので、Linuxのインストールからやるのがよいです。Exploitが刺さるだけで楽しいですが、なぜそれが成立するかまで追いかけるとさらに勉強になります。 twitter.com/daem0nc0re/sta…
徳丸本の中の人 OWASP Japanアドバイザリーボード EGセキュアソリューションズ取締役CTO IPA非常勤職員
YouTubeチャンネル: 徳丸浩のウェブセキュリティ講座 youtube.com/@websecstudy