@kozawa 想定正解はOSのようですね
posted at 00:04:29
Stats | Twitter歴 6,171日(2007/04/28より) |
ツイート数 56,464(9.1件/日) |
表示するツイート :
@kozawa 想定正解はOSのようですね
posted at 00:04:29
昔の新幹線は動き出しに気がつかないほどスムーズに発進したが今ではそうではない、が事実だとして、私の仮説は、今の車両の方が性能が高いのでスムーズな発進は今でも可能なのだが、過密ダイヤなので、運用上やっていないというもの。どうですかね。 https://twitter.com/ockeghem/status/1769543800056332413…
posted at 00:03:55
ブートローダーで思い出すのは、社会人になって最初に配属された職場には、制御用のミニコンがあってトグルスイッチがついていた。トグルスイッチをペチペチやって起動するのかなーとワクワクしたが、ちゃんとブートローダーがあって電源投入するだけで起動したw
posted at 00:01:35
これ、ブートローダーだろうと思ったけど、当然既出だった。 https://twitter.com/tyamamotocat/status/1184413453991071744…
posted at 23:55:49
明日は久しぶりに在宅勤務の予定なのだが、春分の日に引っ張られたか、明日も休みのような気がしてならない
posted at 22:06:11
久しぶりに、QiitaでガバガバのCORS設定を見かけたのでコメントした。
posted at 21:52:33
マシュマロは嫌いではないですが、そこまで好きではないですね。
#マシュマロを投げ合おう
https://marshmallow-qa.com/messages/bac8944b-c91c-4fba-80a7-8100a2329482?utm_medium=twitter&utm_source=answer…
posted at 21:48:29
@a_saitoh 新幹線に初めて乗ったとき(数十年前)は動き出しに気がつかなった記憶があるのですが、今は全然そんなことはないですね。
posted at 10:58:13
私はルールの詳細がわからないので社内で解決いただくしかないと思います。社外の私に相談する理由が分かりません。 https://mond.how/ja/topics/or7vbybm4jdi50q/2oylbap9y1n7998… #mond_ockeghem
posted at 19:02:27
そもそも「セキュアなプロトコルがたくさん溢れている」とは思わないのですが、例えばVPN(で使われるプロトコル)とHTTPSは目的が違うのでまとめることはできません。 https://twitter.com/ockeghem/status/1769238346201776618…
posted at 15:31:06
目的が違うからですね。具体例を挙げてくれるともう少し詳しく説明できると思います。
#マシュマロを投げ合おう
https://marshmallow-qa.com/messages/a1670dbf-8a3a-4565-8024-8fa164356166?utm_medium=twitter&utm_source=answer…
posted at 14:44:27
状況によっては防げる場合もあります。
#マシュマロを投げ合おう
https://marshmallow-qa.com/messages/1c846149-f936-4847-9a8d-f3c926e6ba13?utm_medium=twitter&utm_source=answer…
posted at 13:50:52
mondで匿名メッセージ・質問を募集しています。何でも送ってね! #mondで問答
こんな質問に回答しています
・バニラJavaScriptを使うローコードサ…
・原宿で見かけたIPAの注意喚起の看板がとても…
・SIerのCSIRTに異動した20代後半です…
https://mond.how/ja/ockeghem
posted at 19:00:21
これはレギュレーション次第ではありますが、通常DDoSはペネトレーションテストではやらないと思います。似て非なる性能要件のテストとしては負荷試験があります。
#マシュマロを投げ合おう
https://marshmallow-qa.com/messages/4b9021b5-8431-4b07-b1e2-3a6fa9f747c3?utm_medium=twitter&utm_source=answer…
posted at 23:49:58
経緯を知っているわけではないですが、よくある認証と認可の誤用で、それが歴史的に仕様として定着したものではないかと想像しています。
#マシュマロを投げ合おう
https://marshmallow-qa.com/messages/5980d62c-cebd-4476-972e-8f3df73f8764?utm_medium=twitter&utm_source=answer…
posted at 23:47:46
@osajii56 和俊先生は竜王戦は1組決勝まで行った人ですしねぇ。あとはNHK杯準優勝とか…
posted at 20:53:53
パスザハッシュ攻撃ほど有名ではないと思いますが、HTTPのダイジェスト認証も漏洩したハッシュ値で認証ができます。説明動画はこちら
https://www.youtube.com/watch?v=fpdQAEjgxOc… https://twitter.com/ockeghem/status/1768593785142100183…
posted at 20:27:59
@shun1s そこは確かにおかしいですよね。APOPみたいな状況を想定しているのかと。
posted at 20:20:54
今日社員に聞いたら、「徳丸さんに教えてもらった方法でChatGPTに指示したら、脆弱性を保ったまま他言語に移植できました」とのことでしたw https://twitter.com/ockeghem/status/1768286392654934419…
posted at 20:12:31
私も主にChromeを使っていますが、そんな記事を読む度にブラウザを変える必要はないと思います。
#マシュマロを投げ合おう
https://marshmallow-qa.com/messages/8e3ad74a-4eb7-45ed-9bb5-9859bb4eff39?utm_medium=twitter&utm_source=answer…
posted at 20:04:18
いささか単純化すぎるモデル化のように思います。パスザハッシュ攻撃はサーバーからハッシュ値を奪ってから攻撃するので平文で保存されているわけではありません。サバー側で強固なハッシュを用いる場合でも暗号化したパスワードを送信すること…
https://marshmallow-qa.com/messages/cc78fd87-cc39-400d-a1b6-f8e4aeac0597?utm_medium=twitter&utm_source=answer…
#マシュマロを投げ合おう
posted at 20:03:11
IPアドレス169.254.169.254をドットのない10進数表記に変換してとChatGPTに指示したら、計算の考え方は正しく表示したが、計算結果は間違っていた(よくある)
posted at 15:35:18
今日知ったんですが、産総研の修士採用っていうのが始まってたらしいです。なんと産総研に修士卒で入社して研究して、お金もらいながら博士号取得もサポートしてくれるというすごい制度。M1の方是非!!僕も去年知りたかった!!
http://aist.go.jp/aist_j/humanre… https://pic.twitter.com/4qKD6WWJ9G
Retweeted by 徳丸 浩
retweeted at 10:13:23
>DevOpsという手法を使うと、日本の大手SIerでリリースまで8.5ヵ月かかるような開発がわずか1週間~1ヶ月で出来てしまったという事例も
流石に盛りすぎかエッジケースでしょ…
「バグが出てこないのは品質が悪い!」と叱られ……日本の生産性が上がらない“本当の要因”とは? https://bunshun.jp/articles/-/69523
Retweeted by 徳丸 浩
retweeted at 07:51:30
たとえば、VScodeはオープンソースですが、VScodeを使う人の大半はVScodeがオープンソースか否かは関係なく、出来がよいと思うから使うでしょう。私もその一人です。 https://twitter.com/ockeghem/status/1768290167448859039…
posted at 00:10:43
@mattn_jp @syuu1228 高そうですね(高い)
posted at 00:06:19
脆弱性を残すようにプロンプトに追加したらどうかという意見もありましたが、ChatGPTは脆弱性や攻撃手法には極めて保守的なので、プロンプトを工夫するより手で入れた方が早い…が、研究対象としては面白いかもね https://twitter.com/ockeghem/status/1768286392654934419…
posted at 00:01:49
私が担当できる内容であれば、ご依頼は基本的に受けるようにしています。
#マシュマロを投げ合おう
https://marshmallow-qa.com/messages/cd5dc711-2386-4d6e-a924-101eb9785791?utm_medium=twitter&utm_source=answer…
posted at 23:57:58
どちらでもありません。出来上がりの品質が高いものを使うべきであり、オープンソースかどうかはあまり関係ないと思っています。
#マシュマロを投げ合おう
https://marshmallow-qa.com/messages/feb5128a-0292-4e64-a6c3-4ceb636002b9?utm_medium=twitter&utm_source=answer…
posted at 23:56:43
PHP記述の脆弱性サンプルをChatGPTに他言語に移植してもらったら、勝手に脆弱性が解消されていたw なので手作業で脆弱性を入れた
posted at 23:41:43
これは本当に大切だけどあまり意識されていないと思う>『公衆ネットワークを使うのは安全ではないので、ファイアウォールをオンにして使うようにしてほしい』 / “どんなバケーションも向上させる賢いホテルハック” https://htn.to/3wAqTuCYEN
posted at 20:25:23
特定の質問ではありませんが、私はツールにはあまり興味がないのに、ツールに関する質問が多数来ていて、なかなか難しいものだなと思います。
#マシュマロを投げ合おう
https://marshmallow-qa.com/messages/61d45e77-518b-4a53-ae4e-c6b762019e93?utm_medium=twitter&utm_source=answer…
posted at 19:48:25
@ogochan 私もちょっと前からそう思っていて、ネタには括弧内にネタであることを明記するようにしました。本当は無粋でいやではあるのですが。
posted at 19:26:45
特に意見はありません。辞める理由は「儲からないから」ではないでしょうか?
#マシュマロを投げ合おう
https://marshmallow-qa.com/messages/dbd9bf1a-f59a-4869-9625-52f002770784?utm_medium=twitter&utm_source=answer…
posted at 19:25:39
別の考えられる仮説としては、
・平文で保存していた
・復号可能な暗号化だった
・文字種や文字数の属性を別途保存していた
などですが、パスワードポリシーの変遷を調べることができたので、最終パスワード変更日時を元にしているという仮説が一番確からしいかなと思いました。
posted at 17:58:52
フォロワーさんから教えていただきましたが、だいたい当たりだったようです。
https://twitter.com/hajipy/status/1767981257282171051… https://twitter.com/ockeghem/status/1768133009985966500…
posted at 17:52:40
@ma_naka ありがとうございます。だいたいビンゴだったようですね。
posted at 17:51:19
@integra これ、新旧で互換性がまったくないので、思い切った変更だなと思いました。
posted at 16:58:53
厳密にはその記事は間違いです。SameSite=Strictであっても、いくつかCSRFの経路は残っています。例えば中間者攻撃でHTTP側で改ざんして罠ページを作るとか、別のサブドメインにXSS脆弱性があれば、SameSite属性による保護は回避されます。
https://marshmallow-qa.com/messages/1f905b63-7ab4-47ef-93f9-7165b36548fe?utm_medium=twitter&utm_source=answer…
#マシュマロを投げ合おう
posted at 16:51:22
ウェブサイトのアーカイブを調べるとパスワードポリシーは以下のようになっていたので、最終パスワード変更日時から判断しているのかもしれませんね。
2020年11月07日 半角英数6~10文字
2021年07月31日 半角英字・数字・記号のすべてを一字以上利用して、10~20文字の範囲で設定してください https://twitter.com/smbd/status/1767772508181471420…
posted at 13:32:14
@yukatan 独身時代、夕食をお好み焼き屋で食べることが多く当時(京都在住)の私の体の何パーセントかはネギ焼きでできていたと思います。ちなみに、私中学2年までは甲子園に住んでいました。
posted at 13:27:31
@h_okumura 円周率の日だそうですね
posted at 12:47:07
ネイティブアプリとウェブアプリでは脅威が異なり、ネイティブアプリの方が安全側なので、ウェブアプリと比べて認証の永続化をするものが多いこと自体は合理的だと思います。個別に判断すべきだと思います。
#マシュマロを投げ合おう
https://marshmallow-qa.com/messages/235c1984-d984-462f-b4ad-df4110a50565?utm_medium=twitter&utm_source=answer…
posted at 12:45:10
@ymrl PCI DSSはパスワードの暗号化を要求していましたね
posted at 08:31:22
@n12i ありがとうございます。ひょっとすると、手計算の方が「手が覚えている」なんてこともあり得るのかなと思いました。
posted at 22:22:02
@n12i それはとても興味深いですね。その理由に対する仮説のようなものがあれば伺いたいです!
posted at 14:34:10
徳丸浩と学ぶ、セキュリティバイデザイン実装講座
https://event.shoeisha.jp/eza/securitybydesign…
“本講座は、EGセキュアソリューションズにて取締役CTOを務め、徳丸本で有名な徳丸浩氏による、セキュリティバイデザイン実装のコツについて解説するリアル講座となっています。”
配信は無いらしい。
Retweeted by 徳丸 浩
retweeted at 13:04:05
@kozawa ありがとうございます。やはり「流行」しているのですか…
posted at 11:19:23
(マンガあまり読まないのでよくわからないのですが、Xのマンガの広告にはよく「婚約破棄」が出てくるのですが、そういうものなのですか?)
posted at 11:12:09
基本的には、要件定義フェーズでセキュリティ要件を確認することになりますね。受託者がこういう質問をしてくれると発注側としてはむしろ安心できるので、遠慮せずに発注者と相談すると良いと思います。 https://twitter.com/ockeghem/status/1767719286964150534…
Retweeted by 徳丸 浩
retweeted at 10:41:24
これ、実は結構簡単です。受託開発で「どこまで安全にするか」に責任を持つのは発注側です。開発側(受注側)は「顧客に言われなくても最低どこまでは対策するか」は考えておく必要があり、私の本などが参考になると思います。
https://marshmallow-qa.com/messages/fd68cbb0-6141-4a63-9621-d6460127d4e6?utm_medium=twitter&utm_source=answer…
#マシュマロを投げ合おう
posted at 10:08:15