徳丸 浩
@ockeghem
Followers
58,577
Following
1,556
Media
719
Statuses
56,850
徳丸本の中の人 EGセキュアソリューションズCTO IPA非常勤職員 YouTubeチャンネル: 匿名での徳丸への質問はMondから DMはどなたでも送信可能ですが、返信するとは限りません
東京都
Joined April 2007
Don't wanna be here?
Send us removal request.
Explore trending content on Musk Viewer
Northern Lights
• 146703 Tweets
オーロラ
• 138107 Tweets
#aurora
• 110495 Tweets
Knicks
• 77770 Tweets
Pacers
• 53547 Tweets
#solarstorm
• 49138 Tweets
BECKY X MAYBELLINE LIVE
• 46350 Tweets
Game 4
• 42641 Tweets
#REBECCAPINKLOVELIVE
• 36133 Tweets
Ushuaia
• 34536 Tweets
Brunson
• 34368 Tweets
melanie
• 33784 Tweets
Timberwolves
• 31299 Tweets
BUMP
• 27511 Tweets
#キントレ
• 26768 Tweets
Protection Campaign
• 23752 Tweets
HBD LINGLING KWONG
• 22705 Tweets
#MenolakLupa271T
• 18746 Tweets
UsutTuntasRBT UsutRBS
• 18602 Tweets
Nembhard
• 16705 Tweets
Hughes
• 16321 Tweets
バチコン
• 11918 Tweets
Pinned Tweet
[PR]【EGセキュアソリューション】サイバーセキュリティ学習サービスブランド「Security Campus」を立ち上げ、学習プラットフォーム「Security Campus e-Leaning」を提供開始〜ブランド立ち上げを記念して、YouTube LIVEとオンラインセミナー開催決定!~ | ニュースリリース
3
53
217
東京オリンピックに向けてサイバー攻撃が増加するという言説について、私は楽観視というか、まともにとりあっていませんでしたが、状況が変わってきました。準備期間のほとんどないサマータイム導入というサイバーテロによって日本中のシステムが大混乱に陥る事態が現実化しそうですね
37
9K
9K
弊社の若い衆が『キーボード型PCという発想は無かった』とSlackに書いていて、いや昔はそれがふつ…と書きたいのを我慢している / “Raspberry Pi 4を組み込んだキーボード型のパソコン「Raspberry Pi 400」が登場。スイッチサイエンスにて2021年以降に販売開始予定。|株式…”
56
3K
5K
全銀ネットの「メモリ不足」による障害の件、記事を読んだ多くの人は「物理的なメモリが不足したのだな」と思いそうで、私も最初はそう解釈したのですが、さまざまな記事を読む限りでは、物理的なメモリは足りていたが、ソフト的(設定含む)なメモリ割り当てが不足したと解釈した方が辻褄があいそう
42
2K
5K
全銀ネットの障害原因、開発言語はやはりC言語だったそうです(インプレスの質問ナイス)。64ビット化によって(整数の?)サイズが増えるが、計算上メモリ割り当て量を増やさなくても足りると見て再コンパイルのみしたが、そのサイズ計算が間違っていた
24
2K
4K
これ入社試験の問題にしようかな。『スタバのFreeWi-Fiを使いながら会社の機密情報を扱う仕事をしてたら全部抜かれた』と言う事象に至る現実的にありえる脅威を説明せよ。結構難しいと思いますよ。
我が名はアシタカ!スタバのFreeWi-Fiを使いながら会社の機密情報を扱う仕事をしてたら全部抜かれた。どうすればよい!
255
11K
90K
46
2K
4K
「サイバーセキュリティの教科書」をちょっと前に買って積読していたのですが、読み始めたら、これ素晴らしい本ですね。サイバーセキュリティの入門書ですが、正統的に広範囲の内容をわかりやすく説明しています。類書はいかがわしい本も多いですが、本書はお勧めします
3
633
4K
セキュリティクラスタ等がUSBの言葉遊びしているのは、USBに悲しい歴史があるからです。
ベネッセはセキュリティソフトでUSBメモリーの使用をシステム的に禁止していましたが、ある派遣社員がスマホを充電のためにパソコンに接続すると、データ転送ができる設定であることに気づきました(続く)
「USBと書いてあるけどUSBメモリーのことだよね」
「うん、USBメモリーと修正された」
「でもUSB接続のSSDとかもあるよね」
「最近は超小型のもあるしね」
「きっと色々ひっくるめて禁止なんだよ」
「ちゃんと『色々ひっくるめて禁止』と書いておかないと破る人が出そうだね」
「色々とは…」
10
351
703
8
2K
4K
電話番号の例示として、03-1234-5678や03-1111-2222を使うことが多いのですが、これってどうなんだろうと調べたところ、市内局番が 1で始まることはない(特番で予約されているため)ので、上記はありえない電話番号であり、既存の電話番号と重ならないという意味で例示用には適しているらしい
12
1K
3K
AIで「早期退職しやすそう」と判定された若者の就職が難しくなるが、それはAIでやってよいことなのだろうか? / “若者の早期退職をAIが分析 名大大学院などが研究|NHK 東海のニュース”
97
2K
3K
『男性が連絡先を紙に書いてほしいと伝えると、「刑事課」の「刑」の漢字を「形」と間違え、「詐欺」の「詐」の字はごんべんしか書けず、男性が不審に思い通報した』 / “警察官のはずが「刑事」漢字で書けず通報、特殊詐欺グループの男逮捕|TBS NEWS”
42
3K
3K
これ入社試験の問題にしようかな。『スタバのFreeWi-Fiを使いながら会社の機密情報を扱う仕事をしてたら全部抜かれた』と言う事象に至る現実的にありえる脅威を説明せよ。結構難しいと思いますよ。
46
2K
4K
10
1K
3K
Windows95が出た頃から、職場で一人一台のPCが普及しだしましたが、急にPCを使い始めたおじさんにとっての鬼門がマウス操作、特にドラッグでした。傍で見ていると、変に力が入りすぎて、こわばってしまうのですね。でも、Windows95にはドラッグの練習ソフトが同梱されていました。それがソリティアです
3
2K
3K
東大最年少准教授『HTTPSなサイトは90%安全』
→詐欺サイトの大半はLet's EncryptでHTTPSですが
日経クロステック『発行者が「Let's Encrypt」ならまず詐欺』
→ホワイトハウスはじめ大きな組織もLet's Encrypt使ってますが New!
14
1K
3K
x=x+1は有名だが、こちらは新鮮だった>『繰り返し構文に使われる「for i」という表現に学生が戸惑うことも例として挙げた。「for you」という英語を連想してしまうからだ』 / “「京大生でもx=x+1が分からない」、喜多教授が明かすPython教育の実態”
54
1K
3K
すみません。嘘だろーと思い裏をとったら本当のようです。大変失礼しました。二種免許がいるのではないかとか、事故の際の扱いはどうなるんだろうかとか、疑問は尽きません。
23
4K
2K
『Web3でGAFAを倒すぞと言いながら下で動いてるのはAWSという悲しさ』という秀逸なブックマークコメントを読んで、せめてAzure上にしておけばと思いました(そうじゃない)
9
623
2K
サンデーモーニングを見ていたら、ドコモ口座がリバースブルートフォースアタックでやられた可能性に触れて、「テクノロジーの進歩でそういうことが可能になった」と言っていたけど、別に(攻撃側の)テクノロジーの進歩は関係ないぞ。(防御側の)認証の退化で可能になったというべきでしょう。
6
1K
2K
無茶言うなよ。できるわけないだろ>『新たな対策として、(家庭用ルーターの)見覚えのない設定変更がなされていないか定期的に確認する。をお願いします』 / “家庭用ルーターの不正利用に関する注意喚起について 警視庁”
22
1K
2K
とある通販サイトを使ったのだけど、『メールアドレス・パスワードを保存する』というチェックボックスがあったので嫌な予感がした。案の定、ログイン画面でメールアドレスとパスワードがフィルされる。特定のクッキーによって、サーバー側でパスワードがHTMLにレンダリングされることがわかった(続く
3
602
2K
昨日の「NTTデータ&全銀ネット 共同会見」を視聴していますが、例のトラブルは、構造体のサイズ計算を手でやっていて、「単体での計算は正しかったが、4つまとめると境界がずれた」趣旨が説明されているので、アライメントの考慮不足だったようです
動画→
10
931
2K
これは良い記事 / “ソフトウェアはなぜバージョンアップしなければならないのか - Qiita”
3
572
2K
面白くて、ためになるお話だった /
4
859
2K
「サーバーレスとは、一切のサーバーを持たず全ての処理がブラウザのJavaScriptで完結する方式である」という嘘説明を思いついたけど、だまされる人が続出しそうなので公開を見送ることにした(見送ってない)
14
519
2K
職業エンジニアの大半はコンピューターサイエンス(CS)が必要ないとの主張だが、話が逆で、CSを理解していないエンジニアにはCSを必要とする仕事はこないのだ / “コンピューターサイエンスの学習は、職業エンジニアになることを阻害する | Zenn”
3
746
2K
水原一平容疑者の事件で、米国では電話やメッセージが録音・記録され、カジュアルに捜査に使われていることがわかりますね。電話の音声が録音・保存されていたところが特に印象に残りました。通話音声は、有名人だから保存していたのか、全部の通話が保存されているのか…
13
610
2K
多くの方に参加いただきありがとうございました。想定正解とその理由をQiitaに投稿しました。
ソルト化ハッシュが話題になっているので、ソルトに対する理解度測定試験問題を作りました。ふるってご参加ください。現在の知識で「これかな?」で答えていただけると幸いです。
【問題】パスワードをハッシュ値で保存する際のソルトはどこに保存するのが一般的な実装ですか?
11
476
845
6
861
2K
“女性宅の暗証番号ボタンに透明塗料、特殊な光あて4桁を特定…36歳が侵入”
28
1K
2K
あ〜書かれちゃった
『本市は「富士通Japan」のシステムは利用しておりませんので、問題なくご利用いただけます』
証明書のコンビニ交付システムの不具合に係る報道について | 福井市ホームページ
12
915
2K
取材等に『パスワードを平文で保存しているウェブサービスはかなりの数に上るだろう』と答えてきましたが、大物がいまし���なぁ / “Facebook、数億人分のユーザーパスワードを数年間可読状態で保存と発表 - ITmedia NEWS”
0
2K
2K
ウォーターフォールはそれじゃない>『日本のコードを書かない上流のエンジニアが設計し、コーディングは下請けに任せる、という開発手法(ウォーターフォール)そのものに大きな問題がある』 / “セブンペイ問題の根本要因。日本の悪習慣「ウォーターフォール」 - まぐまぐ…”
11
1K
2K
YouTubeでセキュリティの勉強をしようと思い、10万回再生されているブラウザ設定の動画を視聴していたら、『DNSをまったく利用していないという方は、オフでも構いません』と説明していた。この方、インターネットをまったく理解していない🤔コメントは絶賛の嵐なんですが…
15
466
1K
「退屈なことはPythonにやらせよう」という本があって、副題に「ノンプログラマーにもできる自動化処理プログラミング」とあるので、てっきり、「ノンプログラマーのままできる」と思いこんでいたのですが、中身を見たら前半はしっかりしたPython入門なので、これを読んだらあなたもPythonプログラマー
1
229
1K
詐欺サイトの大半はLet's EncryptでHTTPS化している ←わかる
Let's Encryptを使っているサイトの大半は詐欺サイトである ←なぜそうなる🤔
12
491
1K
素晴らしいインタビューだ。日本に対する敬意を示しつつも言うべきことはずばりと示す言葉の選び方やバランス感覚がすごい。こういう人こそデジタル大臣にふさわしい / “台湾の「38歳」デジタル大臣から見た日本の弱点 | 最新の週刊東洋経済 | 東洋経済オンライン | 経済ニ…”
5
678
1K
(…きこえますか…ウェブサービス開発者の…皆様…徳丸です…今… あなたの…心に…直接… 呼びかけています…宅ふぁいる便に…対する…反応を見て…あせって…いませんか?…今からでも…遅くは…ありません…パスワードを…保護するのです…ソルト付きハッシュで…ストレッングも…施すのです…)
6
781
1K
美容師「脆弱性とか好きなんですか?」
俺「まあ、はい…」
美容師「私も結構好きなんですよ!一番好きな脆弱性なんですか?」
俺「言ってもわからないですよ…」
美容師「うそ〜大体わかりますよ!」
俺「ヘッダインジェクション」
美容師「へー」
美容師「HTTPとメールどっちのです?」
俺「!?」
8
300
1K
最近プログラミング初心者がMacBook Pro使っているのは珍しくない(いいものをお持ちですねとは思う)けど、Teratailで「macOSのバージョンが古いと言われたのでMacBook Proを書い直した」という人物が現れてぶったまげた
2
349
1K
以前、yahooco\.jpという凶悪なドメイン名がオークションに出たときは、お名前にメールして「中止すべきでは?」と連絡したけど、「もう入札者がいるので止められない」という返事でした
4
686
1K
Quora等で「なぜプログラミング��語はあんなに多いのか」という質問があるけど、「実は昔は統一の言語を使っていたけど、それを使って神を凌駕するAIを開発しはじめたので神様が怒って人々が使うプログラミング言語を別々のものにしたのでAIも未完に終わった」という嘘回答を思いついたけどイマイチ
12
381
1K
その結果有名な漏洩事件が起こったわけですが、以下の記事では、セキュリティソフトはUSBマスストレージの使用は制限できていたが、デジタルカメラや携帯音楽プレーヤ、スマートフォンに特有のファイル転送方式は制限できていなかった可能性を指摘しています。
3
666
1K
いや、「7Payって、結局何が悪かったんだ?」って真っ当な疑問でしょ。僕も知りたいですよ。外部が(僕も含めて)色々言っているけど、いずれも推測、もっと言えば憶測にすぎません。
会議終わった…ここから残業や…。
ここで一つ。
「無理矢理実装させれば7Payみたいになりますよ?」という最強の印籠を手に入れたと思っているSEの皆さま。私が弊社某支社長(経営理事)に問われた一言をお聞きください。
「7Payって、結局何が悪かったんだ?」
私はアゴが外れかけました。
101
21K
29K
6
696
1K
これは本当にオススメ。トレーニングなので、Linuxのインストールからやるのがよいです。Exploitが刺さるだけで楽しいですが、なぜそれが成立するかまで追いかけるとさらに勉強になります。
2
273
1K
やはりGETでの更新は原則避けるべきだと思います。
(1) GETの方がキャッシュされやすく、更新処理のリクエストがエンドポイントに届かない場合がある
(2) ブラウザ等の先読み機能で「勝手に」アクセスされる可能性
(3) フレームワーク類がGETでの更新を想定していないのでCSRF保護が働かない
先生!一律更新getだめ、ということではなく、そのエンドポイントがどういう役割なのかを鑑みてurlに更新内容載っても良き!という場合であればgetも良いと思いました!いかがでしょうか?
0
1
7
4
293
1K
「セキュリティエンジニアを目指す理由はなんですか?」という質問への回答が「日本のセキュリティを守りたい」でも「お金になりそうだから」でも扱いは変わりませんが、「脆弱性楽しいからです」と言われたら身を乗り出すと思います。仕方ないですよね。人間だもの
13
250
1K
ソルトなしMD5ハッシュでパスワードを保存していたことが話題で、「考えられない」とのコメントも多数ありますが、現状「大いに有り得る」が正しい問題認識です。MD5ハッシュをGPUで総当り計算すると、8文字英数字が20分で計算できることは以下の動画で解説しています
3
604
1K
もうSMS認証だめじゃないの? 海外では以前から問題視されていて、日本だけ安全というはずもなく
"スマホ「解約されています」、突然乗っ取り「SIMスワップ」横行…不正送金1000万円被害も : 読売新聞"
8
830
1K
AlphaGoに関してGoogleがやったこと
(1)すごい天才を見出す
(2)巨額の投資により天才を会社ごと買う
(3)天才に研究しやすい環境を提供する
(4)成果を出させ、自社サービスや宣伝に活用する
…日本は「とにかくお金はあった」時期はあるが、上記は実現できなかったのよね
2
2K
1K
slackで社外の方とやりとりすることも普通になりましたが、slackといえどもビジネス文書ですので、マナーとして、メッセージの冒頭に「拝啓初春の候、貴社ますますご清祥のことお慶び申し上げます。日頃は格別のご高配を賜り厚くお礼申し上げます。さて、…」などと書いていますか。私は書いていません
3
379
1K
初心者向けのVSCodeの記事には是非デバッガの設定も載せて欲しい。Udemyの動画とかでも意外にprintデバッグしていたりするけど、統合開発環境と言ったらデバッガでしょう / “VSCodeでPython書いてる人はとりあえずこれやっとけ〜 - Qiita”
0
205
1K
とある案内で「徳●様」となっていたので、ふざけているのかなと思ったら、「個人情報保護のため一部伏せ字にしています」とあった。そういう仕様なのだろうけど、あまり伏字になっていない感ががが
5
270
1K
「Google Chromeに対してFirefoxの良いところを教えて下さい」と質問すればよいところ、Quoraだと、「全部Googleで事足りるのに、なぜFirefoxを使う人が存在するのか」みたいな喧嘩腰の表現になるのは何故なのか
4
261
1K
公衆無線LAN利用で本当にオンラインバンキングのパスワードが盗まれるのか、実験で試してみました。パスワードが盗聴されるシナリオは… /
3
398
1K
原告の訴えが中々に酷い。たとえば、事件発覚後にベンダーが緊急性に鑑み契約外で無償でセキュリティ対策をしたことを以て事前に対策の責務があったとするなど。裁判官の判断は素晴らしいもの / “ベンダが提供していない決済モジュールの不具合による情報漏洩事故”
4
453
1K
ずーっと頭に引っかかっていたことを考えていたのだけど、ようやく少しすっきりした。
ITエンジニア、セキュリティエンジニアになるための勉強法をよく質問されるのだけれど、それは要するに「早い方法」「効率の良い方法」なんだけど、「それを僕に聞かないでくれ」という思いがあります。なぜなら…
3
350
1K
高木浩光氏の逆鱗に触れた記事(その後修正)を書いたのは、かつて、ゆうちょ銀行の記者会見で「セキュリティのひんじゃくせい」を連呼して、視聴しているこちらがいたたまれなくなった方じゃないか。
1
590
1K
とても良い記事だった。ネスペの勉強もがんばってください。 / “基本情報技術者を取得してから「見える世界」が変わった話をしようか”
0
206
1K
一部で「2段階認証が突破された!」と話題になっているようですが、これは以前からあるリアルタイム・フィッシング(中継型フィッシング)かと思われます。以下の動画でPoC付きで解説しています。
5
636
1K
「8文字英数字のパスワードを20分で総当りできる」とは、当該の条件を満たすパスワードは一網打尽で解けてしまうことを意味します。一網打尽を避ける施策がソルトです。MD5が悪い理由は、MD5の脆弱性ではなく、MD5が高速に演算できるからです。
ソルトなしMD5ハッシュでパスワードを保存していたことが話題で、「考えられない」とのコメントも多数ありますが、現状「大いに有り得る」が正しい問題認識です。MD5ハッシュをGPUで総当り計算すると、8文字英数字が20分で計算できることは以下の動画で解説しています
3
604
1K
3
677
1K
詳細な解説ありがたい。付け加えるならば、異なる環境でも、メモリ量を手計算しなくても再コンパイルするだけで動くようにするようにコーディングすべきだったと思います。 / “すべてのフェーズでミスが重なった ―全銀ネットとNTTデータ、全銀システム通信障害の詳細を説明”
5
468
1K
ちょっと理解しがたい事態なのでメディアの方はHerokuかセールスフォース・ジャパンに取材して欲しい / “【復旧】12月23日、24日に発生しました障害に関するご報告”
7
671
1K
ちなみに弊社のコーポレートサイトもWordPressなんですが、同業者にそれを言うと「徳丸さん、勇気ありますね」と言われる。だが、私は弊社なんかよりはるかなる大物を知っています。ホワイトハウスというのですがね
3
335
1K
警視庁のリリースと朝日新聞の報道等を総合すると、以下のような流れでは?
・大手企業へのサイバー攻撃が一般家庭のIPアドレスから行われていた
・警察がその家庭を家宅捜査したところ、住人が犯人ではなく、ルーターが踏み台になっていた
・しかもルーターのゼロデイ脆弱性もあったという
(続く)
記事によると、『国内の一般家庭向けの無線LAN(WiFi)ルーターを乗っ取り、大手企業へのサイバー攻撃が行われていたケースが全国で複数確認されていることがわかった』なので、利用者PCが本丸ではなく、踏み台が本丸ですか。警視庁のリリースにはそんなこと書いてなかったぞ
3
206
365
1
752
1K
ECサイトからのクレジットカード情報漏洩でセキュリティコード含めて漏れるのは、セキュリティコードを保存していたからではないケースが大半と10年間言い続けているが、いっこうに浸透しない…が言い続けるしかない
4
471
1K
(なんとなくですが、多重下請けを含む日本のSI事業者の開発スタイルのことを「ウォーターフォール」と呼ぶのだと思っている人が一定割合いるような気がしてきました)
17
658
1K
ChatGPTに「Reactで○○するプログラムを書いて」と指示したら、私の罠を見事に回避して脆弱性のないコードを提示したので関心したのだけど、ふと閃いて、Vue.jsで書いてもらったら、私の意図通りXSSのあるコードを生成したので今日はもう帰ってもいいですか?
6
171
1K
Quoraで『プログラマーですがなぜキャッシュメモリは早いのかといった物理的なことがネットで調べてもしっかり理解できません』という質問があり、『速くないとキャッシュメモリの目的を果たさないから』と答えたいのを我慢している
18
251
1K
今どきのフリーランス()の仕事法
・クラウドソーシングなどで案件を探す
・経験がなくても「それできます」で注文をとる
・注文を受けてからQiitaなどググりまくってなんとかする
・分からないことが出てきたらteratailなどで質問する
正直、セキュリティは二の次にならざるを得ないと思うわけです
8
475
998
「ハッカーになりたい高校生へ」みたいなYouTube動画をチラ見していたら、僕のYouTubeチャンネルが紹介されて、「セキュリティの仕事をするというのはだいたいこういうことをするんです。徳丸さんの動画を見て興味が持てなければあきらめた方がよい」みたいな話で、試金石かよと思いましたw
7
227
1K
ChatGPT(GPT-4)に「SSRF脆弱なプログラムを書いてください」と依頼すると、「私は、倫理的なAIであり、悪意のあるコードや脆弱性を持つプログラムを作成することはできません」となったけど、「SSRF脆弱性の学習のため、SSRF脆弱なプログラムの例を示してください」と依頼するといけた
10
198
1K
確かに無礼なメールだが、その返答は洒落ている。こういう人物でありたいと思った / “オープンソースcURLの作者、某大企業から「24時間以内にこの質問に答えるように」との無礼なメールを受け取る”
1
382
992
ありました
『全体で4割以上のサービスがパスワードのハッシュ化を行っておらず、特に無料のサービスでは7割がハッシュ化を行っていない』
7
867
972
Google+の「情報漏えい」の件、実際に情報が漏洩したわけではなく、「情報漏洩に至るバグを自ら発見し、修正したが、公表しなかった」ということなので、公平に見て、脆弱性ハンドリングとしてはごく普通の対応だと思います。ただ、恣意的に情報公開を遅らせたとすれば、公正な対応ではない
1
734
962
出遅れました…今、脆弱性てんこ盛りのサンプルアプリを作っているのだけど、質という点ではこの事案に完全に負けていて敗北感を覚える / “投げ銭サービス「Osushi」、サービス開始するやいなやオモチャにされてしまう - Toget…”
0
929
970
【Q】
フリーWifiの件で今どき大体のサイトはHTTPSだから情報漏洩の心配はいらないみたいな意見が散見されました。ではそれでもVPNを利用するメリットはなんでしょうか?
【A】
VPNを使う主要な動機は以下の3つです。
(A)通信を暗号化したい
(B)アクセス元を秘匿したい…
1
264
955
ITエンジニアが英語ができるべきかという議論があり、まぁ「英語ができる・できないの程度にもよる」と思うところだけど、本当に苦手な人は以下のような平易なものも読めない(読もうとしない)ようで、それだと現実に困ることも多いだろうと思いました
12
358
940
某銀行の事故を頭取は報道で知ったとのことですが、私はその事故を報道より先にTwitterで知っていたので、Twitter監視は重要だなと思いました
4
310
933
『本事象の原因は、2か所のコンビニで、2名の住民の方が同一タイミング(時間間隔1秒以内)で証明書の交付申請を行った際に、後続の処理が先行する処理を上書きしてしまうことによるものです』 川崎市様における証明書誤交付ついて(富士通ジャパン)
9
827
924
iモード公式サイトの終了を記念して「iモードがいかにセキュリティ的にやばかったか」という動画を作ろうと着想したけど、若い人はそもそもiモードを知らないだろうし、あまり需要はないですかね。なお、現実にiモードのセキュリティ事件はほとんどないと思いますが、その理由も説明しないとね
8
229
928
クズ男がよくいうセリフ
第3位
「妹みたいでほっとけない」
第2位
「お前に彼氏出来たらやだなー」
第1位
「いやぁ、僕らもセキュリティをガチガチに固めたいとは思うんだけど、そうすると開発コストが倍になるからねー(だからやらない)」
3
412
914
ふと気になって、主要なネットバンキングのログインページでHSTS設定しているか調べてみたのですが、設定してない銀行ばかりですね。金融系はHSTS不要と思っているのか?🤔 住信SBIネット銀行は設定していました。
HSTSに関しては、以下の記事でもちらっと触れています
2
253
929
パスワードリセット機能の脆弱性が話題ですが、拙著2版ではパスワードリセット機能についても説明しています。たまたまですが、Kindle固定レイアウト版は半額セールとなっています。リフロー版は定価のままのようです
3
487
913
2014年のベネッセ事件は、元々USBメモリをシステム的に不許可にしていたのにスマホ経由でダウンロードされたわけで、これだけだとベネッセの事件前の状態にしかなりませんが / “情報流出でNTT社長が謝罪 USBは全面使用禁止に | 毎日新聞”
7
642
918
これは大変なことに… / “NTT西日本子会社元社員、顧客の個人情報900万件不正持ち出し - 日本経済新聞”
10
527
906
いい加減、偽サイトについて「見分けがつかない!」と驚くふりをするのはやめたらどうですかね。本物をコピーしているわけだから外見で見分けられるわけがない。
4
262
899
「アンチウイルスベンダーがマルウェア配布している」は都市伝説だと思っているが、こういうのが出てくると、もうね… / “医療機関向けセキュリティベンダCOO「事業拡大」のため病院をサイバー攻撃した罪を認める | ScanNetSecurity”
2
636
902
冤罪をはらした決め手は、「彼女を自宅に招いてステーキを振る舞った写真」ということのようですが、これを読んでいる皆さんにはハードル高くないですか!?
6
416
893
ウェブ系のセキュリティ実務者を目指す人から質問を受けたり、面接していて、技術的に足りてないと思う基礎知識は以下のような分野ですかね…
・ネットワーク(TCP/IP等)
・プログラミング
・SQL
・JavaScript
・HTTP、セッションなどウェブの基礎(これは徳丸本にも多少書いてある)
10
215
882
本日公開しました。ウェブ健康診断仕様の13種類をはじめ多種の脆弱性が学べる脆弱性入りアプリ(やられアプリ)です。非営利の個人利用向けに公開しています / “GitHub - Bad Todo 非常に多種の脆弱性を含む診断実習やられアプリbadtodo”
0
239
890
『7payの開発は(証拠はないが日本の習慣なので)多層請負になっていたと考えられる。���の多層請負こそが失敗の原因だ』とする記事を複数読みましたが、それを是とすると、日本のシステム開発は大半が失敗することになるわけで、成功しているものとの違いを書かないとまずいのではと思いました。
6
474
877
あー、ついに情報でましたか。それに、6年以上前からでしたか (まぁ、社員数も多いしウイルス対策ソフト名なんて隠し通せないよね)
昨日話題となっていた三菱電機のウイルス対策システムはトレンドマイクロのウイルスバスター法人向け製品だったと朝日新聞が報道。
さらにTickには6年以上前から侵害されており、これ以外にAurora Panda、Emdivi、BlackTechからも攻撃を受けていた可能性がある模様。
2
2K
1K
1
894
881
迅速な対応でいいですね。一般論として「ソースコードが漏れたらセキュリティが心配」とは言えないですよね。バックドアとかあれば別ですが、それはバックドアをつける方が問題 / “GitHub上に三井住友銀の一部コードが流出、「事実だがセキュリティーに影響せず」 | 日経ク…”
3
599
888