127
Teratailの質問で、「HTTPSは不完全なので独自の暗号化を組み込みたい、方式の候補はBASE64やシーザー暗号」というのがありました。ネタと言われそうですが、本当にあるんです。テレグラムみたいな実装を目指しているだそうです。LINEのドキュメント読めば? と回答しようかな
128
“「トレパク」を指摘するツイートに対し発信者情報開示が認められる|窪田法律事務所|note” htn.to/33Bh2k1yQo
129
“AvastとAVGのアンチウイルスソフトに重大な脆弱性、OS破壊の恐れも” htn.to/3FqeD7W6fG
130
以下のように思います
・そもそもSQLインジェクション対策の余計なコストはあまりない
・SQLインジェクション対策しなくて大丈夫という判断が間違っている可能性がある
・メンテナンスのたびに「本当に対策しなくて良いのか」という判断を毎回することになり、長期的に見るとかえってコスト高になる twitter.com/hyakuson/statu…
131
『実際の更新率は2016年前半時点でわずか7.5%にとどまった。マカフィーに支払うライセンス料を自己負担していたサードウェーブはパソコンを販売するほどセキュリティーソフトに関する赤字が膨らむ構図に陥った』 / “マカフィーに賠償命令、契約のために「盛った」営業トー…” htn.to/2rh7mZCT3h
132
7:30の時点でこれですか。200人キャパで「予約不要」だと当然こうなりますよね。予約不要を素晴らしいことのように説明したのは欺瞞だと思っていました。 twitter.com/tocho_vaccine/…
133
ティム・オライリー(Tim O'Reilly、1954年6月6日 - )なら66歳なので完璧ですね。日本にいたらですがw twitter.com/kaz1815/status…
134
…一方、かつて上野宣(@sen_u)から、「なぜ徳丸は徳丸本が書けたのか」と質問されたことがあったのだけど、その時は答えられなかったけど、たぶん「徳丸が効率の悪い勉強法をし続けたので、自力で体系化する力が備わったから」ではないかと思う。当時ウェブセキュリティは体系化されていなかった…
135
PoC出ました。結局、XSSの脅威に対しては、HttpOnlyなCookie、localStorage、Auth0流のin-memory方式のいずれも大差ないという結論でよいと思います。 / “【PoC編】XSSへの耐性においてブラウザのメモリ空間方式はLocal Storage方式より安全か? - Flatt Security Blog” htn.to/4n6tSP6x23
136
キャッシュ避けにURL(典型的にはクエリ文字列)に乱数文字列を足すことを俗にキャッシュバスターと呼ぶ…ことは徳丸本第2版に書いてあります。サイト側でキャッシュバスターを積極的に使うことはお勧めしませんが、その理由も徳丸本2版に書いてあります twitter.com/takelogtake/st…
137
…なぜなら、徳丸自身は「効率の悪い勉強法をし続けてきた」から。基本的に独学で、メンターや相談相手がいなかった。なので、手あたり次第に本を読んで自分で考えるしかなかった。なので、「効率」という点で考えるとむやみに不効率だし、時間がかかった…
138
teratailで『youtubeのようなサイトを作りたいのですが、サーバーはAWSを利用すればいいですか?』という質問が投稿され、まぁ志は高い方が良いよねと思ったものの、本文に『Dropboxとamazon ec2の違いを教えてほしいです』とあったので、志が高い分道のりも長いなぁという感想をもった。
139
これ、検索して読みましたが、任意個数の引数を合計するメソッドと思いきや、単にa+bを返すメソッドだったので、「恥を知れ」と思いました twitter.com/mecab/status/1…
140
JWT大好きな皆さん、ここはウォッチしないとだめですよ。これがそのまま通ったら、ログアウト機能でJWTの即時無効化をしていないサイトは脆弱性診断で「OWASP Top 10 2021違反」と報告されてしまいますyo ! twitter.com/ockeghem/statu…
141
伊万里市のGoogle検索から消失の件まとめ
11:10頃 伊万里市にrobots.txtの件を連絡
13:45頃 伊万里市から「保守ベンダーに連絡してみる」と回答
17:23頃 robots.txtのエラー解消(空ファイルを設置)
19:45頃 Google検索結果に伊万里市サイトが戻る
142
これではSQLインジェクション感がまったくないw twitter.com/spp_cyber/stat…
143
…なので、「効率の良い学習法」を聞かれたら、「それは大学のしかるべき学科に行って勉強してください。それ以上の方法はない」と答えます。いろいろな事情でそれができない場合は、たぶんの一つの答えはなくて、目標やら使える資源ならで変わりますね。漠然と質問されても答えられない。
144
手元の集計では、2022年にはクレジットカード情報漏洩のリリースが52件あり、いずれもセキュリティコードが漏れています。名義が漏れない事件はありましたが、セキュリティコードはどの事件でも漏れています
145
半田病院のケースがこれだね>『SIerはシステム導入のみを担当しており…運用保守ベンダがいても主にハードウェアトラブル等の対応が主たる契約内容であり、脆弱性の修正対応は明示的に契約内容に入っていない』 / “なぜ、SSL-VPN製品の脆弱性は放置されるのか ~“サプライ…” htn.to/36FtzX2mk9
146
あれ、ラッキービジターと言うのですね。マルウェア感染の経路はCMSプラグインの脆弱性等なので、脆弱性の解消が重要で、できれば改ざん検知を入れるとよいです / “ラッキービジター詐欺で使用されるPHPマルウェア - JPCERT/CC Eyes | JPCERTコーディネーションセンター公…” htn.to/xd85XkjNb8
147
名前がついていたか>『XY問題とは…「質問者が、本当に解決したい課題Xについて直接聞くのではなく、Yという二次的な課題を解決する方法を聞く」ことによって発生するコミュケーション上の問題』 / “XY問題 - Wikipedia” htn.to/Ab7fpjkcoG
148
過去利用していた機械翻訳サービスのJavaScriptをサービス利用終了後残していたところ、当該ドメイン名が第三者に渡り意図しないリダイレクトが発生した。詳細の開示はありがたい / htn.to/ngpeDqKu7P
149
pinningに関して詳しめの解説記事出ていた。内容は妥当だと思います。 / “接種証明アプリの通信内容が見えてしまう? デジ庁「他人からは見えず問題ない」” htn.to/3Da3rzVYRc
150
Qiitaに答え合わせを書きましたので、よろしければご覧ください。
qiita.com/ockeghem/items…
徳丸本の中の人 OWASP Japanアドバイザリーボード EGセキュアソリューションズ取締役CTO IPA非常勤職員
YouTubeチャンネル: 徳丸浩のウェブセキュリティ講座 youtube.com/@websecstudy