Yosuke HASEGAWA@hasegawayosuke
posted at 07:10:25
| Stats | Twitter歴 5,898日(2007/04/13より) |
ツイート数 32,188(5.4件/日) |
表示するツイート :
2023年04月05日(水)1 tweetsource
2023年04月03日(月)5 tweetssource
Yosuke HASEGAWA@hasegawayosuke
http://2130706433 とか http://0x7f000001 とか http://127.1 とか。(最後のはドットある) https://twitter.com/Hamachiya2/status/1642773286714241024…
posted at 16:08:44
Yosuke HASEGAWA@hasegawayosuke
samesite もそうだけど、そもそもhttponlyとかも。
posted at 14:56:31
Yosuke HASEGAWA@hasegawayosuke
localStorageを使うという選択をした時点でCookieに対する保護機構の恩恵をあきらめるに等しいので、何にしろ自分で頑張る以外にないと思う。 https://twitter.com/teppeis/status/1642753574093623301…
posted at 14:54:40
Yosuke HASEGAWA@hasegawayosuke
フロントエンド周りのセキュリティで比較的広く影響がありそうだけどまだ言語化が足りてない、次のステップは
- クライアントサイドのproto汚染
- ServiceWorkerでのXSS
他なにがあるだろ。
posted at 11:49:31
Yosuke HASEGAWA@hasegawayosuke
三菱UFJ銀行、クレジットカード専用ネットワークサービスである「SP-NET」を開始。決済端末等と直接接続し一括支払いのみに限定することで処理が簡素化され、加盟店のシステムも経由しないためPCIDSS対応が不要
https://www.bk.mufg.jp/info/pdf/sp_net_start.pdf…
posted at 08:11:22
2023年04月02日(日)4 tweetssource
Yosuke HASEGAWA@hasegawayosuke
見てる / わかりやすい説明のための 10 の鉄則 - Speaker Deck https://speakerdeck.com/e869120/wakariyasuisetsumei-10-tessoku…
posted at 22:34:37
Yosuke HASEGAWA@hasegawayosuke
@tyage 「不審な通信がないか、*人間*が24時間監視してます」って言わないと利用してもらえないSOCとかね
posted at 21:44:01
Yosuke HASEGAWA@hasegawayosuke
次回の情報セキュリティ10大脅威、「信頼されるべき情報を発信している組織のWebサイトがリニューアルされ、各所から参照されていたコンテンツが軒並み404になる」ってのを入れておいて欲しい
posted at 11:15:05
Yosuke HASEGAWA@hasegawayosuke
すごいひさびさに自転車乗ったけど着替えるのめんどくてジーンズだったので太ももパンパンになりすぎてきつい。そしてビンディングじゃないのに立ちごけしかけた。
posted at 11:08:38
2023年04月01日(土)3 tweetssource
Yosuke HASEGAWA@hasegawayosuke
@58_158_177_102 https://warp.ndl.go.jp/info:ndljp/pid/12446699/www.ipa.go.jp/about/kobo/tender-20220210-2.html…
落札情報見つからなかった
posted at 18:07:40
Yosuke HASEGAWA@hasegawayosuke
エイプリルフールなので出先で白いシャツに麻婆豆腐の汁が飛んだのも嘘であってほしい
posted at 12:41:34
Yosuke HASEGAWA@hasegawayosuke
エイプリルフールについて許される程度の嘘ならエイプリルフールでなくても許されるやろ。
posted at 09:34:02
2023年03月31日(金)9 tweetssource
Yosuke HASEGAWA@hasegawayosuke
@ockeghem ここは「現状でも大文字と小文字は区別してると思います」とかがいいですね!
posted at 18:31:24
Yosuke HASEGAWA@hasegawayosuke
総務省|報道資料|「電子政府における調達のために参照すべき暗号のリスト (CRYPTREC 暗号リスト)」の改定版の公表 https://www.soumu.go.jp/menu_news/s-news/01cyber01_02000001_00162.html…
posted at 17:30:01
Yosuke HASEGAWA@hasegawayosuke
「大文字と小文字を区別して認識するタイプの暗号」 https://pic.twitter.com/TNk8tFEnFs
posted at 17:26:37
Yosuke HASEGAWA@hasegawayosuke
ぱっと見た感じ、問い合わせフォーム以外 static なHTML(しかもクエリ文字列ぜんぜん入ってない)ばっかりなのでつまらないな…
posted at 14:18:23
Yosuke HASEGAWA@hasegawayosuke
リニューアルされたIPAのサイト、トップの未踏→DX白書→ITパスポート試験とくるくる画像切り替わるやつ、DX白書以外はリンクとして機能してないな
posted at 14:13:37
Yosuke HASEGAWA@hasegawayosuke
個人向けのAPI制限を強めたらみんなスクレイピングに向かっててちょっと笑ってしまう
posted at 12:56:15
Yosuke HASEGAWA@hasegawayosuke
「おなかすいた」と「食べ過ぎて気持ち悪い」の中間がなくて困る
posted at 12:46:38
個人的には、インシデントの数は4にしたい派です。
Retweeted by Yosuke HASEGAWA
retweeted at 09:11:43
Yosuke HASEGAWA@hasegawayosuke
25万件の不正ログインが発生したとはちょっと考えにくく、アクティブな全ユーザー数を侵害の可能性ありと計上してそうな気がする。/ エン転職からのお知らせ|【エンジャパン】のエン転職 https://employment.en-japan.com/info/20230330/
posted at 07:55:31
2023年03月30日(木)10 tweetssource
Yosuke HASEGAWA@hasegawayosuke
「不審なサイトかURLをよく見る」が駄目なやつだ。 https://twitter.com/x64koichi/status/1641344740766658560…
posted at 18:52:05
Yosuke HASEGAWA@hasegawayosuke
「外部で取得したID・パスワードを悪用して総当たりで不正ログインする『リスト型攻撃』」←「総当たり」はいらないのでは!? / 「エン転職」に不正アクセス、履歴書25万人分が漏えいした可能性 リスト型攻撃で - ITmedia NEWS https://www.itmedia.co.jp/news/articles/2303/30/news202.html…
posted at 18:41:48
Yosuke HASEGAWA@hasegawayosuke
@ockeghem @TakashiSasaki 全利用者のパスワードをリセットし、他サイトと使いまわしているパスワードは変更するよう呼び掛けている書きぶりを見る感じでは利用者のアカウントのように思えますね。
https://employment.en-japan.com/info/20230330/
posted at 18:32:25
Yosuke HASEGAWA@hasegawayosuke
@ockeghem レースコンディションといっていいのかな。ちょっと想像してたのとは違う気もします
https://www.fujitsu.com/jp/group/fjj/about/resources/news/topics/2023/0330.html…
posted at 16:57:06
Yosuke HASEGAWA@hasegawayosuke
見聞きしたありがちレースコンディションの原因: ユニークIDのつもりが時分秒/一時ファイル名が一時ファイル名が時分秒/一時ファイル作成時のTOCTOU/ユーザー固有の情報をグローバル変数やservletのクラス変数に保存/DBのケツのデータを使う
(要出典)
posted at 16:32:20
Yosuke HASEGAWA@hasegawayosuke
【ハンズオン】オワスプカンサイ ~RE:BORN~ 2023.04 ファームウェア解析に触れてみよう! - OWASP Kansai | Doorkeeper https://owasp-kansai.doorkeeper.jp/events/153928
posted at 14:43:26
Yosuke HASEGAWA@hasegawayosuke
レースコンディション、どの言語やフレームワークでよく発生するとかの傾向あるのかなと以前社内の診断データで軽く調べたことがあるけど、特に何かしら傾向があるわけではなかった。
posted at 13:25:05
Yosuke HASEGAWA@hasegawayosuke
JS import map、`external import maps are not yet supported` か。CSPあるときは nonce-source か hash-source なのでまだめんどそう。
https://web.dev/import-maps-in-all-modern-browsers/…
posted at 12:45:39
Yosuke HASEGAWA@hasegawayosuke
これはまじでそう。ただ、うっかり他のWindowsアプリみたいにアプリ内の適当なところをクリックすると、当然ながらタップしたことになってしまいちょっと困惑することはあるけど。 https://twitter.com/uzulla/status/1641259257256632320…
posted at 11:53:58
Yosuke HASEGAWA@hasegawayosuke
MyJVN記載のソフトウェアの脆弱性対策情報を整理して表示するツールがAdobe Air製から.NETに。SBOMファイルのインポート/エクスポートも対応 / MyJVN - MyJVN 脆弱性対策情報フィルタリング収集ツール https://jvndb.jvn.jp/apis/myjvn/mjcheck4.html…
posted at 10:42:01
2023年03月29日(水)8 tweetssource
Yosuke HASEGAWA@hasegawayosuke
@yoshiori @nishio たこ焼き屋のインスタがなんかすごかったw https://pic.twitter.com/VM4cJoIde0
posted at 20:39:26
Yosuke HASEGAWA@hasegawayosuke
@taku888infinity はっ?そう?
posted at 11:11:58
Yosuke HASEGAWA@hasegawayosuke
脆弱性探しに対して「そんな変なこと誰もしませんよ」「よくそういう発想に至りますね」みたいなのよく言われてきたけど、ChatGPTのプロンプトでみんな制約回避して想像を上回る出力を得てるのを見ると「そういうのやぞ、やればできるやん」って謎の上から目線なお気持ちが高ぶる
posted at 11:06:16
S (ツイートはスレッド全体をご確認ください)@esumii
お電話して確認したところ,ゼロデイやアップデート漏れで不正な設定をされてしまったケースが念頭にあるようでした.一般利用者が「定期的に確認」は非現実的なので,自分で買った場合はユーザ登録してメーカー(レンタルならプロバイダ)から周知すべきとお伝えしました.https://twitter.com/ockeghem/status/1640559890635841538…
Retweeted by Yosuke HASEGAWA
retweeted at 09:11:39
Yosuke HASEGAWA@hasegawayosuke
@okdt マジレスすると、SPDXなので!
posted at 08:49:57
Yosuke HASEGAWA@hasegawayosuke
GitHubにSPDX形式のSBOMエクスポート機能が。 / Introducing self-service SBOMs | The GitHub Blog https://github.blog/2023-03-28-introducing-self-service-sboms/…
posted at 08:39:10
Yosuke HASEGAWA@hasegawayosuke
家庭用Wi-Fiルーター、自分の使っている機種がサポート期限が切れてるかどうか(そもそも自分が使っている機種の型番の把握も含めて)把握しにくいよなっていう。
posted at 08:16:01
Yosuke HASEGAWA@hasegawayosuke
GPT-4によるセキュリティ支援のためのCopilotをMSが提供。自分のデータが他の利用者のトレーニングに利用されることもない、と。 / Introducing Microsoft Security Copilot: Empowering defenders at the speed of AI - The Official Microsoft Blog https://blogs.microsoft.com/blog/2023/03/28/introducing-microsoft-security-copilot-empowering-defenders-at-the-speed-of-ai/…
posted at 06:40:07
2023年03月28日(火)7 tweetssource
Yosuke HASEGAWA@hasegawayosuke
@kazuho 少し冗長くらいでイラつくの、ジョウチョ不安定なのでは!
posted at 22:21:46
Yosuke HASEGAWA@hasegawayosuke
「こんにちは!マンションの管理組合のほうから来ました。警視庁でもルーターの設定を定期的に確認するよう言ってまして、操作が難しいので代わりに確認作業を無償で行っております」みたいな怪しいやつが… https://twitter.com/yasuyukima/status/1640563508336279557…
posted at 13:26:35
Yosuke HASEGAWA@hasegawayosuke
「ベンダーは、市場での地位や契約内容のもと、セキュリティの責任を完全に放棄できる … 被害の責任は、エンドユーザーや、商用製品に統合されるオープンソースの開発者ではなく、悪い結果を防ぐために行動を起こすことが最も可能な利害関係者に負わせる必要がある。」/ https://atmarkit.itmedia.co.jp/ait/articles/2303/27/news042.html…
posted at 12:55:14
Yosuke HASEGAWA@hasegawayosuke
「サイバー攻撃事案の捜査の過程で、家庭用ルーター(以下「ルーター」といいます。)が、サイバー攻撃に悪用され、従来の対策のみでは対応できないことが判明」 / 家庭用ルーターの不正利用に関する注意喚起について 警視庁 https://www.keishicho.metro.tokyo.lg.jp/kurashi/cyber/notes/router.html…
posted at 11:57:01
Yosuke HASEGAWA@hasegawayosuke
<title>が空だ / JNSAサイバーセキュリティ職業紹介インタビュー動画 https://www.jnsa.org/jobintroduction/index.html…
posted at 11:50:51
【職員2千人のPW使い回し】
もう少し詳しく
職員アカウントはActive Directoryの登録ユーザー
加えて、Domain Adminsグループに所属していた
つまり、ドメイン内でのフルコントロール権限が与えられていた
記事では一連の経緯と、設定したNEC側に取材しています
https://www.asahi.com/articles/ASR3W75PFR3VULZU004.html…
Retweeted by Yosuke HASEGAWA
retweeted at 10:15:46
Yosuke HASEGAWA@hasegawayosuke
「ハッキングAPI」ご恵贈頂きました!ありがとうございます!まだざっとしか読めていないですけどめちゃくちゃ良い!時間とってハンズオンも試さないと…。 https://pic.twitter.com/EhnQEfnDvw
posted at 09:48:29
2023年03月27日(月)2 tweetssource
Yosuke HASEGAWA@hasegawayosuke
わいもおいしい焼き肉食べたい
posted at 21:45:33
Yosuke HASEGAWA@hasegawayosuke
書いた。勉強会でデモとかやることが多い人なら便利さわかってくれるはず! / オンサイトでの登壇で返しのモニターがなくてもデモをやりやすくするツールを作った - SSTエンジニアブログ https://techblog.securesky-tech.com/entry/2023/03/27/…
posted at 13:02:14
2023年03月24日(金)4 tweetssource
【開催事前告知】
■セキュリティ・キャンプ全国大会2023
■セキュリティ・ネクストキャンプ2023
■セキュリティ・ジュニアキャンプ2023
今年は 対面合宿方式 で開催!(参加費用:無料)
講義情報と参加者の募集を2023年4月10日(月)に
公開予定! https://www.ipa.go.jp/jinzai/camp/2023/information_camp2023.html…… https://twitter.com/i/web/status/1639189900582080512… https://pic.twitter.com/XjHw2rAmmP
Retweeted by Yosuke HASEGAWA
retweeted at 18:13:05
Yosuke HASEGAWA@hasegawayosuke
「あらゆる手段でシステムへの侵入可能性を確かめる。ほんとうにあらゆる手段で。」← 偉い人への色仕掛けとかもあるのかな。
posted at 13:25:41
Yosuke HASEGAWA@hasegawayosuke
@ohesotori 屋外スピーカーが許されるの、かつての天王寺の路上くらい!
posted at 12:00:18
Yosuke HASEGAWA@hasegawayosuke
これまで試したあらゆるイヤホン、イヤーピースぜんぶ、しばらく装着してると耳が痛くなってしんどい。世の中の人たちみんなどうしてるん…
posted at 08:07:38