126
昔、高木浩光氏がWAS Forumの講演で持ち時間を大幅に超過して、しかも「大切なお話なので上野さんの時間をお借りして…」とか言いながら上野宣さんのセッションの時間を奪ったことがあり、誰ともなく「セッションハイジャックだ」といわれたことを思い出しました
wasforum.jp/about-wasforum…
127
ちょうど今日ウェブセキュリティの講習やっていて、「ウェブサイトでパスワードのハッシュ保存が常識になったのはここ10年ほどのことだし、今もパスワードを平文保存しているサイトは多いと思う」と説明したばかりなので、僕が嘘を言っていない証拠になると思いました twitter.com/ockeghem/statu…
128
日記書いた / “メタップスペイメント不正アクセス事件の第三者報告書から攻撃の模様を読み解く” htn.to/3yDynXBgAY
129
僕はSQLインジェクション攻撃のデモをやるときは郵便番号検索の画面でやるのですが、その理由は、「セキュリティが手薄になっていると郵便番号検索でもやばい」ということを理解してもらうためですね twitter.com/ockeghem/statu…
130
半田病院のケースがこれだね>『SIerはシステム導入のみを担当しており…運用保守ベンダがいても主にハードウェアトラブル等の対応が主たる契約内容であり、脆弱性の修正対応は明示的に契約内容に入っていない』 / “なぜ、SSL-VPN製品の脆弱性は放置されるのか ~“サプライ…” htn.to/36FtzX2mk9
131
『Web3でGAFAを倒すぞと言いながら下で動いてるのはAWSという悲しさ』という秀逸なブックマークコメントを読んで、せめてAzure上にしておけばと思いました(そうじゃない)
132
Quoraって、「Ruby、jQueryなどの廃れていくOSSを開発している人達はどういう気持ちで日々それらを開発しているんですか?」という質問に、まつもとゆきひろさんが真面目に(ちょっとは感情的になって)回答して、それを他の読者がハラハラしながら読むサイトなんです
jp.quora.com/Ruby-jQuery%E3… twitter.com/ockeghem/statu…
133
Web3教本が届いたのでパラパラ見てますが、P27の記載によると、Web2のブラウザはChromeやSafari、Web3のブラウザはBraveだそうです。BraveはChromiumベースなので、GAFAを倒したいならFirefox一択ではないか…と思いました twitter.com/ockeghem/statu…
134
Web3によってGAFAなど既存の権威を打破しようという書籍が既存の権威につぶされた構図なので、田上氏はWeb3によって思いのままに書籍を発行すればよいのではと思いました(提案) / “書籍「いちばんやさしいWeb3の教本 人気講師が教えるNFT、DAO、DeFiが織りなす新世界」の…” htn.to/3hHKTkGPhG
135
僕の場合だと、/path/to が最初分からなかった。あと、唐突に「アリスは…」と出てくるやつ。 / “本でプログラミングを学習中にどうしても理解できない単語が出てきて困ってます。『hoge』これはどんな意味を持つのでしょうか?→「割とマジで独学はこういうので詰む」” htn.to/2dtWPiCy7M
136
Twitterのリリースを見ると、Twitterから電話番号などが漏れたのではなく、Twitterに電話番号やメールアドレスを入力すると、該当のTwitterアカウントが分かる脆弱性だったようです。二段階認証は認証アプリなどを推奨 / “Twitter、ゼロデイ脆弱性悪用の約540万アカウント…” htn.to/2eVZrCfsZ7
137
ITmediaの速報は肝心なところを書いてないですね。匿名アカウントの場合は電話番号やメールアドレスを紐付けないことを推奨、2段階認証には(SMSではなく)認証アプリを使うことを推奨、ということですね。いっときにTwitterは認証アプリの設定が不安定だったので、SMS使っている人は多いのでは? twitter.com/ockeghem/statu…
138
もう少し噛み砕いて書くと、例えば徳丸のケータイの電話番号を知っている人がこの脆弱性を悪用すると、徳丸の裏垢がわかったりする、ということですね。 twitter.com/ockeghem/statu…
139
PoC出ました。結局、XSSの脅威に対しては、HttpOnlyなCookie、localStorage、Auth0流のin-memory方式のいずれも大差ないという結論でよいと思います。 / “【PoC編】XSSへの耐性においてブラウザのメモリ空間方式はLocal Storage方式より安全か? - Flatt Security Blog” htn.to/4n6tSP6x23
140
解雇されたエンジニアがマクドナルドのWi-Fiから企業ネットワークに接続して企業システムのVM 88サーバーを削除した例ならあります
geekpage.jp/blog/?id=2011/… twitter.com/MacopeninSUTAB…
142
ちょうど動画作っていた
『TCP/IPを理解している人ほど間違いやすい 常時SSLでもCookieのSecure属性が必要な理由』
youtube.com/watch?v=yXNOJE… twitter.com/ockeghem/statu…
143
クレジットカード情報の盗用による被害は年間400億円に到達する勢いであり、日本のセキュリティの最大の課題の一つといってもよいものだと思いますが、セキュリティカード業界のこのような秘密主義はまったく賛同できません
144
今月から新規にECサイト等でクレジットカード取引を開始する場合はクレジット取引セキュリティ対策協議会が定めた「セキュリティ・チェックリスト」によるセキュリティ対策の実施状況の申告が求められるようになりました(続く)
145
いい加減、偽サイトについて「見分けがつかない!」と驚くふりをするのはやめたらどうですかね。本物をコピーしているわけだから外見で見分けられるわけがない。
146
Quoraに『なぜwebアプリケーションではphpやrubyなど動的で型付けのない言語が使われることが多いのですか?』という質問があった。うーむ、というところだけど、有識者からの回答を期待
147
「セキュリティエンジニアを目指す理由はなんですか?」という質問への回答が「日本のセキュリティを守りたい」でも「お金になりそうだから」でも扱いは変わりませんが、「脆弱性楽しいからです」と言われたら身を乗り出すと思います。仕方ないですよね。人間だもの
148
MySQL使っている最中にカップラーメン作ろうとおもったら、以下で3分間待つことができます。
SELECT sleep(180);
その間mysqlコマンドが使えなくなるので、別ターミナルで実行するとよいでしょう。 twitter.com/mshb5656/statu…
149
Teratailの質問で、「HTTPSは不完全なので独自の暗号化を組み込みたい、方式の候補はBASE64やシーザー暗号」というのがありました。ネタと言われそうですが、本当にあるんです。テレグラムみたいな実装を目指しているだそうです。LINEのドキュメント読めば? と回答しようかな
150
汎用機というのはIBMのSystem/360に由来する言葉で、当時の計算機の主な応用は事務計算と科学技術計算であり、かつそれぞれ「専用機」だったものが、System/360はどちらもできるいう意味での「汎用機」ですね。360度すなわち全方位をカバーするというIBMらしい大げさなネーミングですな twitter.com/ebiebi_pg/stat…
徳丸本の中の人 OWASP Japanアドバイザリーボード EGセキュアソリューションズ取締役CTO IPA非常勤職員
YouTubeチャンネル: 徳丸浩のウェブセキュリティ講座 youtube.com/@websecstudy