76
JWT大好きな皆さん、ここはウォッチしないとだめですよ。これがそのまま通ったら、ログアウト機能でJWTの即時無効化をしていないサイトは脆弱性診断で「OWASP Top 10 2021違反」と報告されてしまいますyo ! twitter.com/ockeghem/statu…
77
「マクロかよ」と揶揄する声もあるようですが、世界中で感染を広げたEmotetも感染のとっかかりはWordマクロですから、マクロを甘く見てはいけないと思います twitter.com/ockeghem/statu…
78
こういうの、紛らわしいし、何の申込みか不明なので本当にやめてほしい。私には、「次へ」ボタンをタップする勇気はないし、相談されたら「絶対に押すな」と回答するだろう
79
電話番号の例示として、03-1234-5678や03-1111-2222を使うことが多いのですが、これってどうなんだろうと調べたところ、市内局番が 1で始まることはない(特番で予約されているため)ので、上記はありえない電話番号であり、既存の電話番号と重ならないという意味で例示用には適しているらしい
80
特番として予約されている…というのは、たとえば、仮に 03-1100-2222 という電話番号があったら、市外局番省略した場合 110 まで押した瞬間に110番通報になりますからね。なので、1から始まる番号全体を予約している
81
『検証委員会に対しても「セキュリティー専門家が含まれておらず、まともな調査結果は期待できそうにない」(被害を受けた顧客)との批判が渦巻く』 / “富士通「ProjectWEB」情報流出問題の真相、ずさんな対応に不満や批判が噴出 | 日経クロステック(xTECH)” htn.to/4i5fUJuor8
82
ヤフー知恵袋で時々目にする質問のパターン
「セキュリティに詳しい方(専門家)に聞いたところ、○○の危険性があるそうです。どうしたら防げますか?」
感想「詳しい人に聞いたのなら、なぜ防ぎ方まで教えてもらわなかったの?」
83
SQLインジェクション警察です。セミコロンの後は、DROP TABLE employee"' となるのでSQL文はシンタックスエラーになり実行されません twitter.com/kaityo256/stat…
84
VirtualBox 6.1.28(最新)にするとHyper-Vと共存できなくなるようです。自宅の環境でも再現しました。6.1.26なら共存できます。
forums.virtualbox.org/viewtopic.php?…
85
Windows Defenderがまた自作のプログラムを誤検知したっぽいので、ソースコードを確認したらほとんど空なので「どうして?」と思ったのでVisual Studio立ち上げたらこれですよ。デモ用に「ウイルスに感染した模様」を説明するための空のアプリを誤判定。何を見てウイルスと判定した?
86
@stachyon お気持ちはわかりますが、クレジットカードを使うのであれば、むしろカード情報は保存した方が漏洩しにくいですよ。今どき、カード情報が盗まれるのは保存データではなく、入力画面からなので、入力頻度が低い方が盗まれにくいです
87
なぜカード情報をサイトに保存したほうが漏洩しにくいかは以下の動画で説明しています。
youtube.com/watch?v=fXVasf… twitter.com/ockeghem/statu…
88
@stachyon いえ、正規サイトの入力画面が改竄されてJavaScriptを仕込まれるので、フィッシングとは違いますし、利用者が気づくことはほぼ不可能です。
89
カード情報漏えいの過去のリリースを読もうとしたら、WordPressセットアップ画面が表示された時の顔をしている
90
異論があります。「おみ」は漢字で御御(御御足:おみあし、のように)なので、御御クロン、すなわちクロンの丁寧語です twitter.com/mattn_jp/statu…
91
初歩的なゲームチートやboTの入門として好適な事例だ / “セキュリティを一切考慮しないMMORPGを開発するとどうなるか” htn.to/3L4qhWBWij
92
iモード公式サイトの終了を記念して「iモードがいかにセキュリティ的にやばかったか」という動画を作ろうと着想したけど、若い人はそもそもiモードを知らないだろうし、あまり需要はないですかね。なお、現実にiモードのセキュリティ事件はほとんどないと思いますが、その理由も説明しないとね
93
「iモードはセキュリティ事件・事故がなかったのなら、それは安全ということでは?」という疑問が生まれますね。言い方を変えましょう。
iモードはセキュリティが足かせとなって技術的な発展ができなかった
ならいいですね。興味がある人が少なくても、歴史的には伝えていくべき内容だとは思います twitter.com/ockeghem/statu…
94
iモードでセキュリティ事故がほとんどなかった理由
・実質的に閉域網でiモード端末実機でないと接続できなかった
・端末認証なのでパスワードを使わなかった
と書くとすごく良さそうだけど、これが足枷になったわけです(予告編)
95
Log4jの脆弱性がShellShockやHeartBleedに匹敵する危険性という記事を読んだけど、Log4jの方が、より危険な気がする。ShellShockは攻撃経路が限られた、HeartBleedは単体ではRCEまでいかない…というのが理由だけど、まぁ基準をまず決めないと比較は難しいですね、という結論
96
Log4jになぜあんな機能あるのかと思っていたけど、「世界的サーバー管理ソフト」なら仕方ない(違 twitter.com/marimo_orz/sta…
97
しょせん架空の話だと思う人は以下の記事をどうぞ。シオノギアメリカのコーニッシュとその友人はネットワークパスワードを上司に渡すことを拒否、解雇された後マクドナルドのWi-Fiからリモートログインして、退職前に勝手に用意したコンソールから88の業務システムVMを削除
computerworld.com/article/251039… twitter.com/MacopeninSUTAB…
98
期待しないで読み始めたけど、モテ男の回答は核心に触れている気がする / “モテ男から教えてもらった秘訣が意味不明だった” htn.to/oeWKkPdqkQ
99
pinningに関して詳しめの解説記事出ていた。内容は妥当だと思います。 / “接種証明アプリの通信内容が見えてしまう? デジ庁「他人からは見えず問題ない」” htn.to/3Da3rzVYRc
100
これか、某弁護士先生が言われていた「言い値で賠償する」は>『この度のファイル消失は 100% 弊社の責であると考えており、補償につきましては、ユーザ様、並びに、貴学のご意向に沿うようにいたします』 / “Lustre ファイルシステムのファイル消失について | 日本ヒューレ…” htn.to/6cRfXUAZVQ
徳丸本の中の人 OWASP Japanアドバイザリーボード EGセキュアソリューションズ取締役CTO IPA非常勤職員
YouTubeチャンネル: 徳丸浩のウェブセキュリティ講座 youtube.com/@websecstudy