26
もうSMS認証だめじゃないの? 海外では以前から問題視されていて、日本だけ安全というはずもなく
"スマホ「解約されています」、突然乗っ取り「SIMスワップ」横行…不正送金1000万円被害も : 読売新聞"
yomiuri.co.jp/national/20230…
27
Twitterのリリースを見ると、Twitterから電話番号などが漏れたのではなく、Twitterに電話番号やメールアドレスを入力すると、該当のTwitterアカウントが分かる脆弱性だったようです。二段階認証は認証アプリなどを推奨 / “Twitter、ゼロデイ脆弱性悪用の約540万アカウント…” htn.to/2eVZrCfsZ7
28
しょせん架空の話だと思う人は以下の記事をどうぞ。シオノギアメリカのコーニッシュとその友人はネットワークパスワードを上司に渡すことを拒否、解雇された後マクドナルドのWi-Fiからリモートログインして、退職前に勝手に用意したコンソールから88の業務システムVMを削除
computerworld.com/article/251039… twitter.com/MacopeninSUTAB…
29
どの銀行のシステムも同じSIerが作っているのに結果が大きく異なるのは発注者の問題だから。セキュリティに関してもそうなんです、というのは皆さん気づき始めていますよね / “みずほのシステムについて質問です。 | Peing -質問箱-” htn.to/6x4yEfyF3m
30
初歩的なゲームチートやboTの入門として好適な事例だ / “セキュリティを一切考慮しないMMORPGを開発するとどうなるか” htn.to/3L4qhWBWij
31
上野宣さんが示したパスワード総当りの表はMD5を前提とするものであることがわかりました / “総当たり攻撃時のパスワード最大解読時間の表(by 上野宣)について分析した - Qiita” htn.to/22cmdxRzan
32
知恵袋で「みずほ銀行以外でシステム障害がめったに起こらない理由は?」という質問があるが、回答が難しい
33
公衆無線LAN利用で本当にオンラインバンキングのパスワードが盗まれるのか、実験で試してみました。パスワードが盗聴されるシナリオは… / htn.to/48gYNYwLz8
34
Quora等で「なぜプログラミング言語はあんなに多いのか」という質問があるけど、「実は昔は統一の言語を使っていたけど、それを使って神を凌駕するAIを開発しはじめたので神様が怒って人々が使うプログラミング言語を別々のものにしたのでAIも未完に終わった」という嘘回答を思いついたけどイマイチ
35
確かに無礼なメールだが、その返答は洒落ている。こういう人物でありたいと思った / “オープンソースcURLの作者、某大企業から「24時間以内にこの質問に答えるように」との無礼なメールを受け取る” htn.to/4xgyCj3KFV
36
解雇されたエンジニアがマクドナルドのWi-Fiから企業ネットワークに接続して企業システムのVM 88サーバーを削除した例ならあります
geekpage.jp/blog/?id=2011/… twitter.com/MacopeninSUTAB…
37
最近プログラミング初心者がMacBook Pro使っているのは珍しくない(いいものをお持ちですねとは思う)けど、Teratailで「macOSのバージョンが古いと言われたのでMacBook Proを書い直した」という人物が現れてぶったまげた
38
なぜカード情報をサイトに保存したほうが漏洩しにくいかは以下の動画で説明しています。
youtube.com/watch?v=fXVasf… twitter.com/ockeghem/statu…
39
ずーっと頭に引っかかっていたことを考えていたのだけど、ようやく少しすっきりした。
ITエンジニア、セキュリティエンジニアになるための勉強法をよく質問されるのだけれど、それは要するに「早い方法」「効率の良い方法」なんだけど、「それを僕に聞かないでくれ」という思いがあります。なぜなら…
40
Quoraって、「Ruby、jQueryなどの廃れていくOSSを開発している人達はどういう気持ちで日々それらを開発しているんですか?」という質問に、まつもとゆきひろさんが真面目に(ちょっとは感情的になって)回答して、それを他の読者がハラハラしながら読むサイトなんです
jp.quora.com/Ruby-jQuery%E3… twitter.com/ockeghem/statu…
41
そんなことは通常ない。いい加減なことを書かないでほしい>『CookieにはIDやパスワードなど重要な情報が含まれ、多くの個人情報を保存しています』 / “クロスサイトスクリプティングとは?具体的な事例とテストのやり方、対策法を解説 | Qbook” htn.to/344aEVHZhA
42
ECサイトからのクレジットカード情報漏洩でセキュリティコード含めて漏れるのは、セキュリティコードを保存していたからではないケースが大半と10年間言い続けているが、いっこうに浸透しない…が言い続けるしかない
43
異論があります。「おみ」は漢字で御御(御御足:おみあし、のように)なので、御御クロン、すなわちクロンの丁寧語です twitter.com/mattn_jp/statu…
44
いままで多くの質問を見てきた私ですが、「SELECT * FROM ...」の * は掛け算ですか? という質問にはちょっと驚いた
45
こちら、Shift_JISの0x5c問題ではないかという推測をしている方がおられますね。そうかもしれません。0x5c問題については、徳丸本初版・2版とも第6章で説明しています。実は6章は2版の削除候補だったのですが、残しておいて良かったということかな? twitter.com/CompileHeartWe…
46
某銀行の事故を頭取は報道で知ったとのことですが、私はその事故を報道より先にTwitterで知っていたので、Twitter監視は重要だなと思いました
47
YouTubeでセキュリティの勉強をしようと思い、10万回再生されているブラウザ設定の動画を視聴していたら、『DNSをまったく利用していないという方は、オフでも構いません』と説明していた。この方、インターネットをまったく理解していない🤔コメントは絶賛の嵐なんですが…
48
やはりGETでの更新は原則避けるべきだと思います。
(1) GETの方がキャッシュされやすく、更新処理のリクエストがエンドポイントに届かない場合がある
(2) ブラウザ等の先読み機能で「勝手に」アクセスされる可能性
(3) フレームワーク類がGETでの更新を想定していないのでCSRF保護が働かない twitter.com/phono2xx/statu…
49
『システムへのアクセス集中により印刷処理の待ちが生じた結果、印刷イメージファイルのロックが解除され、同時期に交付を申請した別の利用者が当該ファイルを印刷できてしまったという』 / “コンビニ交付で別人の住民票が発行されるバグ、富士通Japanが原因を説明” htn.to/6QKXKSiYT5
50
なぜVPN業者の信頼性が大切かと言うと、VPN業者は、やろうと思えば簡単に中間者攻撃できるし、アプリをインストールするタイプであれば、それはマルウェアかもしれないわけで、「VPN 無料」とかで検索して安易に使ったら絶対だめ twitter.com/ockeghem/statu…
徳丸本の中の人 OWASP Japanアドバイザリーボード EGセキュアソリューションズ取締役CTO IPA非常勤職員
YouTubeチャンネル: 徳丸浩のウェブセキュリティ講座 youtube.com/@websecstudy