1
弊社の若い衆が『キーボード型PCという発想は無かった』とSlackに書いていて、いや昔はそれがふつ…と書きたいのを我慢している / “Raspberry Pi 4を組み込んだキーボード型のパソコン「Raspberry Pi 400」が登場。スイッチサイエンスにて2021年以降に販売開始予定。|株式…” htn.to/21ozBK4FUt
2
『男性が連絡先を紙に書いてほしいと伝えると、「刑事課」の「刑」の漢字を「形」と間違え、「詐欺」の「詐」の字はごんべんしか書けず、男性が不審に思い通報した』 / “警察官のはずが「刑事」漢字で書けず通報、特殊詐欺グループの男逮捕|TBS NEWS” htn.to/uVsbjL7cNV
3
惜しいな、そこの置き換えは難しいんだよ
abema.tv/video/episode/…
4
電話番号の例示として、03-1234-5678や03-1111-2222を使うことが多いのですが、これってどうなんだろうと調べたところ、市内局番が 1で始まることはない(特番で予約されているため)ので、上記はありえない電話番号であり、既存の電話番号と重ならないという意味で例示用には適しているらしい
5
サンデーモーニングを見ていたら、ドコモ口座がリバースブルートフォースアタックでやられた可能性に触れて、「テクノロジーの進歩でそういうことが可能になった」と言っていたけど、別に(攻撃側の)テクノロジーの進歩は関係ないぞ。(防御側の)認証の退化で可能になったというべきでしょう。
6
ITMediaの取材を受けた記事が公開されました。『ドコモは「他人になりすましてドコモ口座を開設することが可能な状況だった」として、ドコモ口座にも不備があったことを認めた』 / “「ドコモ口座」で相次ぐ不正出金、なぜ地銀だけが狙われた? 専門家の見解は - ITmedia N…” htn.to/hqcPLJiaEJ
7
答え合わせ: フリーWi-Fiを使ったら秘密情報を抜かれる経路にはどのようなものがあるか qiita.com/ockeghem/items… #Qiita @ockeghemより twitter.com/ockeghem/statu…
8
無茶言うなよ。できるわけないだろ>『新たな対策として、(家庭用ルーターの)見覚えのない設定変更がなされていないか定期的に確認する。をお願いします』 / “家庭用ルーターの不正利用に関する注意喚起について 警視庁” htn.to/2PzvrpLJ8S
10
これ入社試験の問題にしようかな。『スタバのFreeWi-Fiを使いながら会社の機密情報を扱う仕事をしてたら全部抜かれた』と言う事象に至る現実的にありえる脅威を説明せよ。結構難しいと思いますよ。 twitter.com/MacopeninSUTAB…
11
職業エンジニアの大半はコンピューターサイエンス(CS)が必要ないとの主張だが、話が逆で、CSを理解していないエンジニアにはCSを必要とする仕事はこないのだ / “コンピューターサイエンスの学習は、職業エンジニアになることを阻害する | Zenn” htn.to/44oGipYLbK
12
あ〜書かれちゃった
『本市は「富士通Japan」のシステムは利用しておりませんので、問題なくご利用いただけます』
証明書のコンビニ交付システムの不具合に係る報道について | 福井市ホームページ city.fukui.lg.jp/kurasi/todoke/…
13
『本事象の原因は、2か所のコンビニで、2名の住民の方が同一タイミング(時間間隔1秒以内)で証明書の交付申請を行った際に、後続の処理が先行する処理を上書きしてしまうことによるものです』 川崎市様における証明書誤交付ついて(富士通ジャパン) htn.to/3dDcGHqpQ5
14
ちょっと理解しがたい事態なのでメディアの方はHerokuかセールスフォース・ジャパンに取材して欲しい / “【復旧】12月23日、24日に発生しました障害に関するご報告” htn.to/3VGQwKrJMd
15
付け加えると、更新系処理のSQLインジェクションを「安全に」確認することも難しいです。試している人は「正義のため」という意識でやっているかもしれませんが、本番データ壊したら「正義」どころではないですからね twitter.com/ockeghem/statu…
16
『預金口座の番号や暗証番号などが何らかの理由で外部に漏れてしまうという最悪のケースに備えておく』が利用者の責務というのはナンセンスだし、仮に利用者側で対策するなら、暗証番号の定期的変更くらいしかないわけですが、それが必要な銀行は解約しますね twitter.com/ockeghem/statu…
17
『Web3でGAFAを倒すぞと言いながら下で動いてるのはAWSという悲しさ』という秀逸なブックマークコメントを読んで、せめてAzure上にしておけばと思いました(そうじゃない)
18
とある通販サイトを使ったのだけど、『メールアドレス・パスワードを保存する』というチェックボックスがあったので嫌な予感がした。案の定、ログイン画面でメールアドレスとパスワードがフィルされる。特定のクッキーによって、サーバー側でパスワードがHTMLにレンダリングされることがわかった(続く
19
迅速な対応でいいですね。一般論として「ソースコードが漏れたらセキュリティが心配」とは言えないですよね。バックドアとかあれば別ですが、それはバックドアをつける方が問題 / “GitHub上に三井住友銀の一部コードが流出、「事実だがセキュリティーに影響せず」 | 日経ク…” htn.to/25uAaD61Jx
20
高木浩光氏の逆鱗に触れた記事(その後修正)を書いたのは、かつて、ゆうちょ銀行の記者会見で「セキュリティのひんじゃくせい」を連呼して、視聴しているこちらがいたたまれなくなった方じゃないか。
21
SQLインジェクションできるとか本当ですかね。外部者が合法的に確かめるのは難しいと思いますが…
22
@stachyon お気持ちはわかりますが、クレジットカードを使うのであれば、むしろカード情報は保存した方が漏洩しにくいですよ。今どき、カード情報が盗まれるのは保存データではなく、入力画面からなので、入力頻度が低い方が盗まれにくいです
23
某Payでも4桁暗証番号で口座と紐付けできるのでCSIRTにメールしたら「貴重なご意見ありがとうございます」と返ってきただけだった / “銀行口座から「ドコモコウザ」名義で身に覚えのない引き落としが何度も行われる事案が複数発生…いったい何が起こっているの? - Togetter” htn.to/4hohyCwQzm
24
『厚労省によると富士通が約一億円で受注しシステム設計の統括を担っていた。再委託先と受注額はそれぞれ、富士通マーケティングが八百五十四万円、インフォテックが四百四十万円、ペガジャパンが千五万円』 / “オンライン申請また停止 雇用助成金、再開3時間後:中日新…” htn.to/3AsmhGgxhG
25
「サーバーレスとは、一切のサーバーを持たず全ての処理がブラウザのJavaScriptで完結する方式である」という嘘説明を思いついたけど、だまされる人が続出しそうなので公開を見送ることにした(見送ってない)
徳丸本の中の人 OWASP Japanアドバイザリーボード EGセキュアソリューションズ取締役CTO IPA非常勤職員
YouTubeチャンネル: 徳丸浩のウェブセキュリティ講座 youtube.com/@websecstudy