mala
@bulkneets
Followers
13,124
Following
2,210
Media
1,601
Statuses
79,543
都内を中心に活動するバンドThe Bulkneetsの公式アカウント、IT活動も行っている
東京
Joined April 2007
Don't wanna be here?
Send us removal request.
Explore trending content on Musk Viewer
Eurovision
• 258302 Tweets
Stormy
• 209706 Tweets
Caramelo
• 178976 Tweets
Lover
• 136351 Tweets
wonwoo
• 111473 Tweets
#ParisTSTheErasTour
• 107429 Tweets
mingyu
• 106587 Tweets
WHAT IS HAPPENING
• 81085 Tweets
The Bear
• 75129 Tweets
Nego
• 54177 Tweets
Long Live
• 50738 Tweets
vernon
• 47732 Tweets
Mother's Day
• 45402 Tweets
Janja
• 38857 Tweets
#النصر_الاخدود
• 35492 Tweets
The Archer
• 31221 Tweets
Fearless
• 31094 Tweets
Rick Scott
• 30994 Tweets
twenty one pilots
• 27589 Tweets
メイドの日
• 20170 Tweets
Gollum
• 20045 Tweets
Paramore
• 18610 Tweets
Sheldon
• 15652 Tweets
NEW BODYSUIT
• 11516 Tweets
#ÖğretmenTekYürek
• 10403 Tweets
Pinned Tweet
権力というものは必ず腐敗し、企業も国家権力も不祥事を隠蔽しますので、ホワイトハットなどといって金で雇われ企業や国家の犬に成り下がるのは正しい行いではない。ゼロデーをすべきときにゼロデーをやる、真実を暴き出してやることはハッカーにできる最大の社会貢献だ。若者はどうか正しい倫理観を。
1
88
381
【日本メンヘラ昔ばなし】合コンに人数合わせのため呼ばれたA子は日頃のOD癖による薬物耐性から男たちが酒に混入した睡眠薬にただひとり失神しなかった。結果として参加女性全員を救うこととなり、以後「守護神オーディーン」と呼ばれ親しまれたという。
15
21K
42K
「オフパコしてくれる人はDMして」とツイートし、その後DMしてきた人間を全員ブロックすることでキモい人間を一掃するという、メンヘラ女性アカウントに、私はブロックされその日泣いたが、後に毛主席が「共産党への批判を歓迎する」と述べた時に、もはや再び騙されることはなかったのです
7
7K
10K
あと5年すると日本特有の昭和問題というものがあって、どういう話かというと暦に年号、つまり和暦を使用しているシステムで「延長昭和」とかいう狂った暦を採用しているシステムが年号3ケタに到達してしまうのでシステムが火を吹くというやつがある
8
3K
4K
少し前に同僚エンジニアとzoom飲み会で「セキュリティとかプライバシーって霊なんで。普段ボンヤリとしか見えないんだけど、そこにいるよって言われたらハッキリ分かるようになるじゃん。でも見えない人には全然見えなくて、そこにいるって指摘してもインチキ霊能者と思われて辛い、わかる?」わかる?
1
1K
4K
ホームとかで突然怒鳴ってくるおっさんに咄嗟に言い返せなくていつも悔しい思いをしていましたが、何を言われても「だからお前はダメなんだ!」と怒鳴り返すと決めてから100%言い返せるようになりました。文脈は無視してください。言い返せたという事実が自分の中にわだかまりを残さない秘訣です
2
3K
3K
ポジションや勤続歴によって受ける印象が違うのが面白い
一般人「社長駄目だな」
歴の浅いエンジニア「開発者だらしね〜」
そこそこエンジニア「これはPMが悪い」
管理経験者「ベンダーが多いと責任の所在とかこうなるよね」
経営者「よく7payだけのせいにして他グループを守った」
10
2K
3K
北朝鮮の投票率100%や、ブータンの国民幸福度97%のヤバさはわかるのに、日本の起訴後有罪率99.9%は「日本の警察・検察が優秀だから」という結論になってしまうみなさん・・正常バイアスの一種です。命を守る最善の行動をとってください
5
1K
2K
Meetyというサービス、見てすぐに分かるレベルの脆弱性があるので利用をおすすめしません。
CEOにDMと問い合わせフォームに送っていますが、まだ返事がないので、近しい人がいたら知らせてあげてください。
5
678
2K
久しぶりにツイートしたついでに書きますが、この件は社会的に大変な問題でありスラドにタレこんだけど掲載されずに無駄骨だったので、ねとらぼとかGIGAZINEとか取り上げると良いと思います
3
3K
2K
セキュリティ業界は、黙ってるのが職業倫理だと勘違いしてるバカと炎上させるのが仕事みたいに思ってるバカばっかりなので、みんな仲が悪いです。わたくしはもうほとほと呆れてうんざりしています。極端なんだよバカどもが。
1
386
902
"twitterでは各人が自由に独り言を発し、たまに、それが繋がり会話が成立します。現実社会では、類似しているものとして、精神病棟ぐらいしか思いつきません。" - eigokun
0
359
876
7pay 昨日の時点でもいろいろ調べてたけど、7payに限った問題ではないので、オムニ7をとにかく早く止めるべき。この状況でサービス中断、メンテを入れるのは普通、常識、真理です、早く正気に戻ってください。とにかく止めて、一刻も早く止めたほうがいい。
5
627
860
出社しました。現場で必死になって対応している人たちがいるんですよ、稼働中のサービスの脆弱性を公表するなんて、、、信じられないです、、、。。。良識を疑いますね。
6
362
801
あの人は言ってることは正論だけど(言い方が|性格が|人格が)悪いみたいな補正を掛けるのいい加減にやめろ、言っていることも度々おかしい
0
221
803
7payアプリでは「東京都」など都道府県しか表示されないが、内部的なAPIレスポンスではオムニ7に登録しているフルの住所、画面上には無い電話番号も返している。またオムニ7のサイトではログイン履歴を確認できる機能があるが7payアプリのログイン履歴は記録されない(住所電話抜かれても気付けない)
3
958
739
世界の諜報機関がメンヘラ自己承認不思議ちゃんガールを便利な鉄砲玉に仕立て上げることの利点に気づいたのだとしたらどうだろう。虐殺のメロディが聞こえてこないかい?
0
679
663
Smoozサービス終了に寄せて
1
451
706
7payで登録、セブンイレブンアプリで表示可能な住所は都道府県のみですけど、オムニ7の利用者だったらフルの住所が登録されているし、アカチャンホンポがグループにある関係で子供の氏名、生年月日も登録されているし購入履歴も参照できる
5
740
658
江添さんが納得して発言を削除したならそれはそれで構わないが、ドワンゴの栗田は許せない。ドワンゴだけの問題ではない。
所属組織に文句を言えば気に食わない個人を黙らせることができると、そのような風潮を助長することになるから。
1
208
626
サイゼリヤはすでにmicroservicesに舵を切っている
1
298
598
世の中はどんどんおかしくなっていますが皆さん正気を保てていますか。睡眠、運動、瞑想、野菜、こまめな水分補給、冷房ケチらない、インターネット見過ぎないことが大事です
2
234
596
とにかくやばいときは躊躇せずにメンテいれるべきだし「あのときメンテを入れておけば」って後悔している事例もたくさん知っている。やばいときはメンテ入れろ、あと、インフルエンザのときは会社休め。
1
297
570
転職活動は継続しています。大切なお知らせですが1200万〜って書いてるところに本当に1200万でオファーしてくるんじゃない、舐めるなもっと高いわせめてウチは貧乏ですが仕事面白いです安くてスイマセンとか書いてくれ
2
133
566
pictBLandの会社(GMW社)、実際の改ざんや漏えいの経路は情報が無いので把握してないけれど全般的に保守期限がとっくの昔に切れたバージョンのフレームワークで長年の運用や新規サービス公開してるように見えるので大丈夫なんですかという問い合わせ送った。ソルト無しMD5よりも技術選定の方がまず問題
1
491
558
マンガワンのチートの件、書いといたほうが良いと思うので書くけど、違法か適法かと言ったら自分も違法だろうと答えるだろうし、それはわかった上で犯罪(有罪)とされるべきではないという立場で、何がダメって言うと技術で防ぐことと法で防ぐことのバランスが決壊していることを嘆いているわけ。
1
331
544
デンソーウェーブ公式を名乗るQRコードリーダーが、隠し機能を有効にしたQRコードを読み取るとGPS位置情報を送信している。
パーミッション取得時には地図QRコード読取りと作成のためと虚偽説明。アプリ側のプライバシーポリシーには一切の記述なし。(これでプライバシーマーク取得企業)
2
955
525
プログラミング自体は小学生からやってたけどインターネット以後で何より大切だったのは作ったものを自慢したり褒めてくれたりする友達で、それなしでどう学習すればいいのかわからない。あと、とほほのWWW入門って便利なサイトがあって、友達とは疎遠になっても、とほほさんはいつまでもそばにいます
0
102
546
「霊的素養が無い人からすると見えないものは見えないし、ちょっと集中したり訓練すれば見えるってことが理解されてない、人によっちゃ存在自体信じてなかったりする。明らかに霊障なのに勝手に壊れたとか言ってるのよくあるじゃん。彼らにしたらこの話自体、ジョークとか例え話だと思っちゃうんだよ」
1
275
497
少し真面目な話をつらつら書くけど、Google Authenticatorがクラウド同期対応の公式の記事に
"making one time codes more durable by storing them safely in users’ Google Account"
とあるが何ら性質についての説明もなく safely などと言っていてユーザーを舐め腐っている
1
232
474
このTweetのRTがまだ伸びているのですが、デマです。
そうそう、この経緯は忘れられてるけど、LINEを開発したチーム自体は、当時NHN傘下にはあったもののほとんどが旧ライブドア社のエンジニア達。ライブドアが傾いて買収されたので、開発/マーケティングの資金にはハンゲームで儲かった金を充ててたけど、LINEというアプリの開発自体は純国産なんだよね。
4
739
979
1
281
452
CVE-2022-23529は偽脆弱性で売名行為。paloaltoは恥を知るべき。Auth0はCVEをrejectすべき。
verifyに外部から任意のJWTや検証用の公開鍵/秘密鍵が渡ってもtoStringの上書きは通常発生し得ない。深刻度は高いどころか無いしRCEと呼ぶべきものでない
2
191
446
あと勝手に脆弱性調べること自体を問題視するようなセキュリティ関係者がたまにいるんだけどマジで業界腐ってんなって感じ。自分のアカウント間で検証つってんのに、意図しない使い方は全部違法、規約違反、みたいな。バカクライアント企業の言いなりか。あと仕事じゃねえから
2
141
435
デジタル庁にnote使ってるせいで .digital.go.jp にFacebookピクセルのcookieがセットされてサブドメイン全部に送られるという問い合わせした
"Cookie
本ウェブサイトでは2021年4月27日現在、Cookieを使用しておりません。"
1
205
433
説明が最悪でウケてる。
"'so'という文字列は'co'の一文字違いであるという点に着目し、.coドメインのタイプミス(打ち間違い)による集客漏れを防ぐドメインとして、利用が期待されています。"
1
201
430
無料で脆弱性診断などしたくないですが、業界トップクラスのエンジニアやセキュリティに携わる人も使っていて、2年もこの状態なのは、利用している側も含めて恥じるべきことだと思います。
自分が使うだけならまだしも、面談相手、採用候補者の情報を取り扱うサービスだからです。
2
157
409
Uber Eatsのバッグ、作りしっかりしてるし重いもの入れてもそんなに不安は無い。結構丈夫そう。機材をたくさん持ち運ぶ人、妹が鬼になった人におすすめできます
0
147
360
郵便カスタマバーコードは部屋番号まで分かります。インターネットには突然訪問してくる頭のおかしい人がいますから、絶対に隠したほうがいいです!!!
1
271
360
リバースエンジニアリング禁止条項を入れるんじゃない(堂々と破ることを宣言します)
3
185
353
一部のギークハウスで脱法ドラッグが蔓延していたときに marco11 は本物の覚醒剤をやっていて、「最近はやってない、最近はやってないよ」と言いつつ、その「最近」がここ3ヶ月とかで全然時効じゃなくて、marco11曰く「プログラマと覚醒剤は相性がいい」「マラは絶対覚醒剤やったほうがいいよ」などと
2
122
345
会社がevilなことをやっているときに、黙っていることが正しい振る舞いだとは思わない。守秘義務だの組織の統制だの何だの持ち出して、楽な方に逃げたいだけ。責任転嫁したいだけ。目を背けたいだけ。
1
95
346
セキュリティの会社いくら給料高くても絶対転職したくない、インシデント対応とか手伝っても最終的にはクライアントの意向が最優先で黙ってんのが仕事になりそう。炎上対策コンサルとかも信用してなくて案件にもよるけど「皆が忘れるまで黙っとくのが正解」とかいいそう。otuneは自身の炎上でそうした
3
87
340
先日「接触確認アプリがもたらすプライバシーリスク」という文章を脳のリハビリがてらに書いて、ニュートラルな反応見たくて人生で初めて匿名ダイアリーに載せたのですが、ブクマやTwitterでは誰にも拾われなくて「神経質なアスペっぽい」というレスしか付きませんでした
11
124
335
変に拡散されて意図が伝わらなくても困るので解説わざわざ書くけど、これは「脆弱性が残ってるぞー」みたいな指摘ではなく「止血が出来ていない」ことに対する指摘。7payばかり注目されて、その結果、対応の優先度も間違える(あなたたちがAPIレスポンスを読まないせいです)
7payアプリでは「東京都」など都道府県しか表示されないが、内部的なAPIレスポンスではオムニ7に登録しているフルの住所、画面上には無い電話番号も返している。またオムニ7のサイトではログイン履歴を確認できる機能があるが7payアプリのログイン履歴は記録されない(住所電話抜かれても気付けない)
3
958
739
1
301
333
例えば、住所を知りたい相手に対して、GPS送信機能を有効にしたQRコードを送りつけると、一定の確率で(相手が公式QRコードリーダーを使っていれば) GPSベースの高精度位置情報が取得できることになります。
(匿名配送なのに住所がバレたり、ネットストーキングからリアルストーキングに展開したり)
1
552
321
2020年に報告していたnoteの独自ドメインセッションに関する脆弱性の開示
2
105
306
master/slaveで良くないですか。master/slaveが良くないですか。slaveがmasterに昇格することがあるところなんて最高なのに。
0
93
297
Mediumの独自ドメインプランを使って訪問者のメールアドレスが窃取できる脆弱性の開示
1
114
305
Hagexが死んでしまった。「こいつ、Hagex」といって紹介された直後に本業の名刺を貰って、そのギャップに驚いたものだった。品性劣悪なネットウォッチャーと思いきや、時折、誰もが憚るような記事を書く。その危うさに彼なりの正義感を感じていた。願わくばもっと巨悪に巻き込まれて死んでほしかった。
1
115
288
私は脆弱性が修正されるまで、脆弱性に関する情報は発見者と開発元の間で、常に、完全に、秘密に保たれなければならないなどとは思っていません。利用者には信用できないソフトウェアやサービスを利用しない選択肢があるからです。必要な人には伝わるべきだと思っています。
2
46
291
夏野剛がまともなことを言っている。。。。
なお田端さんについてはコメントしません。
0
124
283
個人の活動だって書いてんのが読めねえのかどアホがよおおおおおおおおおおおだから所属入れるかどうか悩んでやっぱり所属入れるのやめとくかと思ってたところでIPA JPCERTはいきなり公開しやがってよおおおおお
LINEのエンジニア凄いと思うけど、プラスメッセージが「連絡先をサーバーにアップロードしない」という元で成り立っている故に調査し始めたとかワロタw自前のサービスは安心であることが証明したかっただけでしょ
0
2
12
0
120
270
看過できないのは(今これを書いてる理由は) 犯罪に使われる懸念があるからです。読み取り時の時刻と位置情報が、アクセス解析情報としてそのままQRコード作成者に伝わり、統計ではなく生データのダウンロードができます。
1
508
256
未だにIPAに報告、IPAIPAうっさいやつが大量にいるんだけど、マジでIPAの報告制度をなんだと思ってるのかな。IPAビールでも飲んでろ。休日数十分とか数時間で対応できるだけの体制やらサービス愛やらあってもIPAに報告したら連絡来るまで数週間数ヶ月だからね
1
78
264
唐突に真面目な話するけど、SODの障害「個人情報をキャッシュしない」対策をした後にも再発したという内容になっていて、これはrequest collapsing(メルカリでもあった0秒キャッシュの罠)か、あるいは元から潜在的にsession fixationがあったのが原因ではないかと思われる
1
92
260
アカチャンホンポだとAPIパスがrefer"Ah"AppMemberInfoで、子供の名前と誕生日が含まれている(アカチャンホンポアプリはネイティブで会員情報表示があったので、このJSONは実際に使われてる)
ヨーカドーやセブンアプリに発行されたtokenでもreferAhAppMemberInfoAPIにURLを変えれば子供の情報が取れる
1
323
254
虚構新聞の記事タイトルと新聞社の記事のタイトル社名を伏せて並べて、虚構新聞の記事だと思うものにチェックつけていくっていうブラインドテストやってみてほしい
3
460
243
入力ミスもドタキャンも予約無しで来ちゃう人もどうせ一定数いるんだからワクチンの確保数と会場のキャパシティが予想範囲内に収まるようにするのが最重要タスクで、厳格な認証なんかそもそもいらんやろ。
1
103
244
お名前.comドメイン登録規���、2023.06.28 改訂のままなのに内容が更新されていて登録規約の「本サービスは,以下のサービスにより構成」にネットde診断が追加されたのが直近の12月2日から12月9日の間。
1
118
240
楽天ウェブ検索という拡張機能は、開いているタブのタイトルとURLをまとめて というドメインに送信する。HTTPSの場合でも対象でクエリも込み。
送信はデフォルト有効で拡張機能内で個別の説明は無い。
1
313
234
Smoozについて追加で情報が公表された
有耶無耶になるかもしれないと思っていたので、第三者提供の部分も含めて書かれたのは称賛されるべきことだと思います。公表が遅いという批判もあるようですが、個人情報保護委員会への報告とか、返金システム開発の準備のためでしょう
1
109
232
接触確認アプリ "in .appcenter .ms" に起動時にログ(端末モデル名、アプリバージョン、キャリア名、画面解像度等) 送っているけど利用規約やプラポリに記載が無くないですか?
0
138
231
社長がスーツで矢面に立ち、現場が分かるエンジニアはオタクでキョドッてドモって人前には出せないのでvtuberとして記者会見に臨むスタイルが今後来ます
0
81
223
所属組織とは無関係の個人の発言だが迷惑がかかったので消した、とかなんとか、江添さんが自身で削除や弁明するだけであれば、それですぐに飽きて収まって終わりだろうに、わざわざ栗田が謝罪して大事にして会社の広報活動に利用してるんだよ。江添さんを不適切人間としてこき下ろす形で。
1
73
229
パスワード入力フォームにmethod=POSTの指定がなくてJavaScriptエラーでGETメソッドで送ってしまったのではないかと推察。あくまでURLにパスワードが露出するバグとして報道されている(この規模のサービスでパスワードが平文保存なわけがないです)
2
149
222
「facebookに発言した記憶がないものがある」という情報を得て気になって調査したところ、脆弱性やOAuthの悪用などを差し置いて、酒が原因である可能性が高いことがわかった。
4
406
214
トデスキングのファボを見ていたら摘出された睾丸の画像があって未だにフラッシュバックしてつらくなるのだが、今までただのバカだと思っていた「会田誠の講義をセクハラで訴えた女性」の気持ちが理解できるようになった
1
40
217
Google Readerが廃止とのことです。困っているそこのアナタ。私の作りだした完璧なソフトウェア、Livedoor Readerを使って見てください。きっと満足するでしょう。
http://t.co/g2eiYgKzAT
2
289
216
本の返却が必要な仕組みにしちゃうと返却されなかった時に催促するために個人識別情報の登録が必要になってしまう。本を借りる際にデポジットを支払って、返却時に戻ってくる仕組みにすれば良い。この仕組みはブックオフという名前で実用化されている。
2
256
215
自分でも簡単に検証できる程度のことをしないで、真偽不明情報やあからさまなデマを拡散する低品質セキュリティ専門家を見て見ぬ振りをしてきた結果が今のセキュリティ界隈です。
0
75
210
ワクチン予約の報道、深刻な脆弱性があって個人情報ダダ漏れになる使わないほうが良いとか緊急停止すべきとかなら分かるが、そういう公益性とのせめぎ合いのような事例ですらない。サービス拒否攻撃の類は、どんなシステムに対してでも出来る。極論と思われるかもしれないけど、マジで報道の価値がない
1
150
212
冗談でなくオフラインでも真面目に覚醒剤の素晴らしさを説いてきて、覚醒剤の流通経路や相場など教えてくれた。覚醒剤は恐ろしいなーとブロックしてたのですが、そんなmarco11さんの発言でも好きなのがあって「国に何の権限があって取り締まってんだよ、覚醒剤ぐらい好きにやらせろよ」とかそんなやつ
2
76
205
江添クビにしろとか言ってきてるクソクレーマーに報告ありがとうございます、申し訳ありません、だよ?SNSを通じた公開パワハラじゃんかこんなの。コンプライアンスないんか?
0
54
211
すごく悩んでいるときに「私ナヤンデルタール人なんだけど...」って言って始める相談を誰かにしたいんだけど、そもそも悩むこともそういうことを相談する友達もいない
1
35
211
リダイレクトたくさん設定しようとしたらパフォーマンス劣化するとかいう言い訳にIPAとITmediaがお墨付き与えちゃってるじゃん。
「どういう方法でリダイレクトしようとしてたんですか?」「CloudFrontなんのために挟まってるんですか?」とか聞けよ
1
122
208
技術職の技術的な仕事の部分を理解できないから雑談ルーム見て雑談しかしてないみたいに見えちゃってるんでしょうね。雑談ルーム見えてるならお前も雑談をすべきでありROMってるお前は何をやっているかわからないばかりか雑談能力すらない情弱コミュ障会社のお荷物社会のゴミです。
1
80
207
パスワードが素のMD5だとかいうのは漏洩事故が起きたから事後に分かったことでユーザーからはサービスが安全かどうかの判断材料にならず、結果として運営側からも投資価値が分からないのだという主張しようとしてたのだけどcookieにパスワードのMD5ハッシュが入っていたオチ
GMW社のまだ稼働しているサービスでCodeIgniterの発行するcookieにsecureフラグが付いておらずcookie内にユーザーの名前やEmail、パスワードのmd5ハッシュなどの個人情報が含まれている状態でした。ログイン済みユーザーが悪意のあるWiFiに接続するなどした場合には、これらの情報は盗聴されうる
1
153
143
0
138
207
会社として江添さんの発言を不適切なものとして認定して教育を徹底するとか言い出してるのがふざけすぎ。クリエイターに寄り添うみたいな営利活動の企業PRのために利用してるだけだろ。ドワンゴから江添さんに対して、会社のせいで個人の活動に制約を課すことになってごめんなさいだろう。
0
72
206
これは個人の感想ですが、PHPとかRubyでも割と実装はきちんとできるし変な実装いれてるのは大抵チーム開発が未熟だったりシステム系でないサービスで適当にやってしまう人のせいだし、固い言語でもクソ実装する人はいるし、言語名だけでディスってしまう人は底が知れるよな、と思っています
0
53
207