26
ティム・オライリー(Tim O'Reilly、1954年6月6日 - )なら66歳なので完璧ですね。日本にいたらですがw twitter.com/kaz1815/status…
27
会社名にアポストロフィ入れられるのか…合法的に…ゴクリ / “商号の登記にローマ字等を用いるための商業登記規則等の一部改正について〔法務省〕” htn.to/2fvangLykr
28
「ハッカーになりたい高校生へ」みたいなYouTube動画をチラ見していたら、僕のYouTubeチャンネルが紹介されて、「セキュリティの仕事をするというのはだいたいこういうことをするんです。徳丸さんの動画を見て興味が持てなければあきらめた方がよい」みたいな話で、試金石かよと思いましたw
29
高木浩光氏の逆鱗に触れた記事(その後修正)を書いたのは、かつて、ゆうちょ銀行の記者会見で「セキュリティのひんじゃくせい」を連呼して、視聴しているこちらがいたたまれなくなった方じゃないか。
30
そんなことは言っていません>『徳丸浩さんが…ということを言及していました』 / “「ローカルストレージ」「Cookie」「インメモリ」どれもダメ 認証用トークン保存先の第4選択肢「Auth0」 - ログミーTech” htn.to/2RW57we4wn
31
最近プログラミング初心者がMacBook Pro使っているのは珍しくない(いいものをお持ちですねとは思う)けど、Teratailで「macOSのバージョンが古いと言われたのでMacBook Proを書い直した」という人物が現れてぶったまげた
32
あれ、ラッキービジターと言うのですね。マルウェア感染の経路はCMSプラグインの脆弱性等なので、脆弱性の解消が重要で、できれば改ざん検知を入れるとよいです / “ラッキービジター詐欺で使用されるPHPマルウェア - JPCERT/CC Eyes | JPCERTコーディネーションセンター公…” htn.to/xd85XkjNb8
33
そんなことは通常ない。いい加減なことを書かないでほしい>『CookieにはIDやパスワードなど重要な情報が含まれ、多くの個人情報を保存しています』 / “クロスサイトスクリプティングとは?具体的な事例とテストのやり方、対策法を解説 | Qbook” htn.to/344aEVHZhA
34
過去利用していた機械翻訳サービスのJavaScriptをサービス利用終了後残していたところ、当該ドメイン名が第三者に渡り意図しないリダイレクトが発生した。詳細の開示はありがたい / htn.to/ngpeDqKu7P
35
なんということでしょう。「クリックジャッキング」でGoogle検索した上位の記事の大半が間違っているではありませんか! これは、間違った記事を参考にして書かれた新たな記事に間違った内容が伝搬しているようだな
36
クリックジャッキングに関する記事を依頼されたライターの皆さん、このような信頼性の高い文献を参考にしましょう。そんなに難解な内容ではないはずです。 / “安全なウェブサイトの作り方 - 1.9 クリックジャッキング:IPA 独立行政法人 情報処理推進機構” htn.to/2GLTDqhnjX
37
これは正しい / “Webエンジニアだったら当然知っておきたい「 クリックジャッキング対策 」とは? | 株式会社ヌーラボ(Nulab inc.)” htn.to/3Wm8ouMM2S
38
ここ好き>『1つ目は問題解決能力です。論理的に、数学的に問題を解くような力が非常に重要です。具体的には、より多くのプログラミングの問題や数学の問題を解いていくといいと思います』 / “イスラエル8200部隊出身のガチプロハッカーに、一流のハッカーになる方法につい…” htn.to/45RDWctgNE
39
日本人有名ハッカー(バグハンター等)には大学出ていない人が多いので勘違いする人が多そうだけど、あぁいう人たちは人間を超えたような存在なので、自分もああなれると思ってはいけません。そういう人は極めてマレです。
40
以下のように思います
・そもそもSQLインジェクション対策の余計なコストはあまりない
・SQLインジェクション対策しなくて大丈夫という判断が間違っている可能性がある
・メンテナンスのたびに「本当に対策しなくて良いのか」という判断を毎回することになり、長期的に見るとかえってコスト高になる twitter.com/hyakuson/statu…
41
某銀行の事故を頭取は報道で知ったとのことですが、私はその事故を報道より先にTwitterで知っていたので、Twitter監視は重要だなと思いました
42
HTML5が廃止されたので今後はHTML6を学びましょう…なんて言ったら信じる人がでてくるだろうか (←違いますからね!) HTML6はイマイチだな。もっとカッコいい名前が欲しい
43
そうじゃないかと思っていたよ>私は初心者に対してもわかりやすい内容を心掛けていました。しかし、簡単に書けば書くほど、誰でも実験・実行できます。警察はこのことを問題視していました。未成年も含めた一般人がアクセスできるインターネットに公開していたことが、警察の判断に影響を与えました。 twitter.com/ockeghem/statu…
44
陛下の「Vim が使いたい」は、「本当はVisual Studio Codeが使いたいのだが、そう言うと侍従がインストールしなければならない。なので主要ディストロに含まれるVimを使いたいと述べられたのだ」ではないかと
45
yuguiさんのこの回答は本当に素晴らしいが、この手の文章を読んでいつも思うのは、出来る人だからといってショートカット可能というわけではなく、ちゃんと労力をかけているということ / htn.to/mmG5P5xwV4
46
JPCERT/CCからECサイトに対するXSS攻撃に関する注意喚起と詳しい手口の公表がありましたが、攻撃の原理についてはこちらの動画をどうぞ(デモあり)
『管理画面に対するXSS攻撃でクレジットカード情報を盗む手口』
完全版: youtube.com/watch?v=FpCabi…
短縮版: youtube.com/watch?v=oh1gyu…
47
この動画の注目ポイント:
・脆弱性はXSSだけでクレジットカード情報漏えいに至る
・サイト側でカード情報は保持していない
・非保持タイプのJavaScript型決済(最近の主流)でも防げない
・管理画面にIPアドレス制限していても防げない
・クッキーにHttpOnly属性をつけていても防げない twitter.com/ockeghem/statu…
48
発売から3年半の製品も含まれるということは、購入後間もないユーザーもいるわけで、脆弱性に対応しないのは酷い / “無線LANルーターなどネットワーク製品の一部における脆弱性に関して - 最新情報 - セキュリティ情報|ELECOM” htn.to/2qVpMLuS9c
49
“押収されたゲーム機は3800台!ズラリとPS4並ぶウクライナの仮想通貨マイニング工場が電気窃盗で摘発 | Game*Spark - 国内・海外ゲーム情報サイト” htn.to/2sh4baj9PP
50
『初心者なので分かりやすく説明してください』も微妙にイラッとするし、そのイラッとする自分の気持といつも戦っているw / “なぜかエンジニアをイラっとさせてしまう人の質問 - Qiita” htn.to/2pcFALGp9u
徳丸本の中の人 OWASP Japanアドバイザリーボード EGセキュアソリューションズ取締役CTO IPA非常勤職員
YouTubeチャンネル: 徳丸浩のウェブセキュリティ講座 youtube.com/@websecstudy