| Stats | Twitter歴 5,994日(2007/04/28より) |
ツイート数 55,050(9.1件/日) |
表示するツイート :
諸外国の状況を知っているわけではないので公的な指標を参照しますが、ITUが公表しているGCIでは日本は12位なので、そこまでひどいわけではないように思います。ただし指標によりかなり差があります。
https://www.itu.int/en/ITU-D/Cybersecurity/Pages/global-cybersecurity-index.aspx…
https://marshmallow-qa.com/messages/9cc4926a-b2b8-41a7-8a13-8e039355d614?utm_medium=twitter&utm_source=answer…
#マシュマロを投げ合おう
posted at 22:49:03
@qharpconsulting 非技術者向けには、中身ではなく、できることを説明すればよいと思います。そういう意味ではRSAの話題はいらないと思います。
posted at 21:48:03
@asadamyouji 当たり前のことを当たり前にやるのが最強です。短すぎてMondで回答するのをためらいました。
posted at 21:45:06
自分の人生なので自分で決められたらよいとは思いますが、例えば、サイエンス分野のノーベル賞を受賞した人は高度な学校教育を受けた方ばかりだということに思いを馳せてもよいかと思います。
#マシュマロを投げ合おう
https://marshmallow-qa.com/messages/6ce10ed8-f499-4151-9148-3e14249aa765?utm_medium=twitter&utm_source=answer…
posted at 20:20:02
その質問はよくいただくのですが、簡単にチェックする方法はないと思います。
#マシュマロを投げ合おう
https://marshmallow-qa.com/messages/6035847c-f182-4e66-b5aa-46d3a596c5e7?utm_medium=twitter&utm_source=answer…
posted at 20:18:05
その解説がよくある間違いです。『秘密鍵で暗号化 誤り』で検索すると解説記事が多くヒットします。
#マシュマロを投げ合おう
https://marshmallow-qa.com/messages/ba927d6d-e3e6-4e77-af73-3504c0bfbc2d?utm_medium=twitter&utm_source=answer…
posted at 20:16:55
Ockeghemとは15世紀の偉大な音楽家の名前です。私の大好きな作曲家です。
https://ja.wikipedia.org/wiki/%E3%83%A8%E3%83%8F%E3%8…...
続き→https://marshmallow-qa.com/messages/5077c243-e844-4aca-add0-06879c81410e?utm_medium=twitter&utm_source=answer…
#マシュマロを投げ合おう
posted at 20:13:18
Mondで匿名メッセージ・質問を募集しています。何でも送ってね! #Mondで問答
こんな質問に回答しています
・今のwebブラウザでsslstripを行うこ…
・あなたなら次のうちどのセキュリティを選びます…
・Windowsを使っているときは、WSLとバ…
https://mond.how/ja/ockeghem
posted at 19:00:13
これはやばい https://twitter.com/tsujimotter/status/1705086782566760527…
posted at 18:03:01
『営業DXサービス「Sansan」をご利用中のお客様のログイン情報を第三者が不正に入手しログインする事象が報告されております。なお、当社および当社サービスよりログイン情報は流出しておりません。』 / “ログイン情報の管理に関する注意喚起 | Sansan株式会社” https://htn.to/3o2EHjXBt2
posted at 16:56:12
一方で、高機能で有名なWebShellもありますが、こちらだとウイルス対策ソフトで検知は可能かと思います。
posted at 16:45:01
ちょっと補足します。WebShellはPHPやJSP、ASPなどで作ったスクリプトで、入力文字列をコマンドとして実行することが基本機能です。単純なものであれば1行で書けます。なので自作は容易で、ウイルス対策ソフトをごまかすことも簡単でしょう。 https://twitter.com/ockeghem/status/1705036190603481582…
posted at 16:45:01
Qiitaのユーザーランキング(週間)で2位になっていました。1位になるように頑張る…ことはしませんw
posted at 16:38:33
「2015年当時もウイルス対策ソフトを導入しており稼働していた。なぜWeb Shellを発見できなかったか、原因は不明だ」<WebShellなんて簡単に作れるのでウイルス対策ソフトでは検知できない場合が多いですよ / “バックドアの存在に7年間気づかず、政策研究大学院大学…” https://htn.to/3hdZK9rkqH
posted at 10:48:00
9月27日(水)16時~ 自社セミナーにて登壇します。セッション管理や、認可制御不備、SQLインジェクションなど、ウェブセキュリティの基礎について説明します。
詳細:
https://www.eg-secure.co.jp/seminar/20230927/…
お申し込み:
https://us06web.zoom.us/webinar/register/1716950930923/WN_0eqHeH2WTUKF5S9NTmTYjQ…
posted at 09:27:42
面白いと思ったがブコメの評価が辛(から)い / “平将門と東京の霊的結界史|パブロフのベル” https://htn.to/sFMAwq6y2K
posted at 23:40:15
“シスコシステムズ、ソフトウエアのスプランク買収へ-280億ドル規模” https://htn.to/fmQZM8Y5RT
posted at 23:17:35
@programdoria なんか、ChatGPTが苦手な分野がありますよね。以前、「隠喩の例をあげてください」と質問したら、直喩ばっかりだったことがありました。
posted at 17:03:00
『「重複をお許しください」ができるまで』というスライドがあったw
https://dnsops.jp/bof/20110420/dnsops.jp-yasuhiro-03.pdf… https://twitter.com/ockeghem/status/1704722025414308184…
posted at 16:40:27
bindの脆弱性情報がメーリングリストに流れてきたが、今でも「重複をお許しください」を期待してしまうな(なかった)
posted at 13:59:37
ChatGPT(GPT-4)に東芝(とうしば)は重箱読みですかと質問したら、東芝はどちらも音読みなので重箱読みではないと言われた。指摘したら訂正した。その他に重箱読みとして、問題(もんだい)、交番(こうばん)、大人(おとな)、若者(わかもの)を指摘したがどれも間違っている
posted at 12:05:28
東芝のTOBのニュースを見て、そういえば東芝(とうしば)は重箱読みだなーと思い、さらに、東芝があるなら西芝もあるのかと思ったら東芝の関連会社に西芝があり、こちらは「にししば」なので訓読みだった
posted at 11:00:52
できます。具体的には、以下の記事をお読みください。
https://xtech.nikkei.com/it/atcl/column/17/103100464/103100008/… https://twitter.com/MatankiZ/status/1704345884459446525…
posted at 09:58:51
おもしろかったー
Devise方式にしてるのはそういうこと https://twitter.com/ockeghem/status/1704300753635209579…
Retweeted by 徳丸 浩
retweeted at 08:28:55
登壇します。Day3:2023年10月27日(金)17:40~18:20「スクリプトキディから始めるハッカー実践入門」を担当します / “Qiita Conference 2023 Autumn (2023/10/25 17:00〜)” https://htn.to/fXkqa7Bw55
posted at 12:32:00
なんか最近「ハッカー入門」みたいな記事ばかり書いているなw
posted at 10:14:53
SQLインジェクションによる認証回避練習問題の続編です。今回はペッパーが使われているパターンです / “パスワードがペッパー付きハッシュ値で保存されているサイトのSQLインジェクションによる認証回避の練習問題 - Qiita” https://htn.to/2xG16MsDMh
posted at 10:05:38
解答編を書きました / “パスワードがハッシュ値で保存されているサイトのSQLインジェクションによる認証回避の練習問題解答 - Qiita” https://htn.to/iQDnhvNiQE
posted at 10:05:20
遠い将来にはそのようなことが起こる可能性はありますが、専門的なペンテスターの仕事をAIが駆逐するには、超えなければならない技術的なハードルがかなりあるように思います。
#マシュマロを投げ合おう
https://marshmallow-qa.com/messages/bc186eb1-5882-4313-b3a5-2caf446471d4?utm_medium=twitter&utm_source=answer…
posted at 23:54:13
疑問はごもっともですが、現在においては、htmlspecialcharsを直接使うユースケースはあまりないので、改善される見込みは少ないと思います…が、誰かが提案したら採択される可能性も...
続き→https://marshmallow-qa.com/messages/4363c2c3-7f2e-4781-be89-0792383731c6?utm_medium=twitter&utm_source=answer…
#マシュマロを投げ合おう
posted at 14:50:47
多くの方に読んでいただき、また既に解答を記事にしてくださっている方もおられます。ありがとうございます。これから解く方のために、解答やヒントはXやブコメ等には書かないでくださいね。
先程、「発展問題」を追記しましたので、よろしければ挑戦してください。 https://twitter.com/ockeghem/status/1703220465714794675…
Retweeted by 徳丸 浩
retweeted at 10:38:38
“Wi-Fiからスマホの入力キーを盗む攻撃 他人のパスワード取得に成功 中国チームなどが発表” https://htn.to/28p1jFvXdy
posted at 10:22:42
多くの方に読んでいただき、また既に解答を記事にしてくださっている方もおられます。ありがとうございます。これから解く方のために、解答やヒントはXやブコメ等には書かないでくださいね。
先程、「発展問題」を追記しましたので、よろしければ挑戦してください。 https://twitter.com/ockeghem/status/1703220465714794675…
posted at 09:46:09
色々あってSECCONに取り組めなかったので徳丸CONをやった https://twitter.com/ockeghem/status/1703220465714794675… https://pic.twitter.com/BxOz8c3RmJ
Retweeted by 徳丸 浩
retweeted at 19:25:44
個別具体的な相談はお仕事の範疇になりますので抽象的な範囲にとどめますが、たしかにリフレッシュトークンが不要なセキュリティ要件ないし実装はあり得ると思います。要件次第ということですが、よくある...
続き→https://marshmallow-qa.com/messages/dc4d7b2a-7a9e-48ac-870e-24c2a75f88b0?utm_medium=twitter&utm_source=answer…
#マシュマロを投げ合おう
posted at 15:48:19
Xで流れてきたCSRFの長い記事(Zenn)を読んでみて、詳しいけどちょっと微妙だなーと思って最後まで読んだら僕自身がコメントをつけていたw
posted at 12:17:12
@breezy_yukkin おっ、早いですね
posted at 11:21:58
難易度を書いていませんが、初級~中級の間くらい(やや難しめの初級、易しめの中級)くらいです。
posted at 10:40:14
SQLインジェクションによる認証回避は今更という感じですが、パスワードをハッシュ値で保存している場合の練習問題を作りました。Docker環境で試すことができます。 / “パスワードがハッシュ値で保存されているサイトのSQLインジェクションによる認証回避の練習問題” https://htn.to/3xZ64VGE7P
posted at 10:32:57
記事を投稿しました! パスワードがハッシュ値で保存されているサイトのSQLインジェクションによる認証回避の練習問題 on #Qiita https://qiita.com/ockeghem/items/787f74801a24e1fc6960?utm_campaign=post_article&utm_medium=twitter&utm_source=twitter_share…
posted at 10:30:25
SQLiteのSQLインジェクションについて検索したら、2008年の自分のブログ記事がヒットしたw
posted at 23:52:12
Mondで匿名メッセージ・質問を募集しています。何でも送ってね! #Mondで問答
こんな質問に回答しています
・バッチに特権では何けどそこそこ強めのIDとパ…
・いまだにJIS配列のキーボードに「ひらがな」…
・こんにちは。HTTPSにて接続可能なサービス…
https://mond.how/ja/ockeghem
posted at 19:00:23
十分な強度のパスワードを使いまわしせずに記憶できるのかという現実的な問題があります。登録しているサイトは数十に及ぶ場合も珍しくなく、私は現実的ではないと思います。とはいえ、「記憶すべきで...
続き→https://marshmallow-qa.com/messages/89855ce6-e7a9-484b-a095-032f2ed49f43?utm_medium=twitter&utm_source=answer…
#マシュマロを投げ合おう
posted at 15:16:41
お気遣いありがとうございます。投げ銭機能としては、YouTubeのスーパーサンクスが使えます。動画下部のThnaksボタン(ハート型のマーク)からご利用ください。 https://www.youtube.com/watch?v=Xa0K9eooaCw…
https://marshmallow-qa.com/messages/6c39ffb0-5a5c-4b60-a248-c42f641fdba0?utm_medium=twitter&utm_source=answer…
#マシュマロを投げ合おう
posted at 12:35:09
さすがに排他制御くらいは知っている人が多いでしょうが、デジタル庁が定めた政府情報システムにおける脆弱性診断導入ガイドラインのWebアプリの実装に起因する脆弱の筆頭にレースコンディションが挙がっているくらいだから、それなりにやらかしがあるのでしょうね https://twitter.com/miyahancom/status/1702536397444489374…
posted at 12:22:13
そこまでしっかり調べてないのでお勧めというわけではないのですが、割合評判がよいのは、1Passwordかと思います。この辺の評判は時々変化するので、定期的な見直しが必要です。
#マシュマロを投げ合おう
https://marshmallow-qa.com/messages/47ea9f96-69df-469d-964d-d15056498a01?utm_medium=twitter&utm_source=answer…
posted at 11:58:19
パスワード管理アプリのしっかりしたものを使えば、強固に暗号化された状態でパスワードが保存されるため、Excel等よりも安全であると考えられます。
#マシュマロを投げ合おう
https://marshmallow-qa.com/messages/76369c32-1674-45a4-ad02-bee54cf79889?utm_medium=twitter&utm_source=answer…
posted at 11:37:26
クラウド同期には一長一短があることは確かですが、端末紛失が現実的にある脅威であり、端末紛失が致命的な問題になることを避ける手段としては許容しうるものだと思います。
#マシュマロを投げ合おう
https://marshmallow-qa.com/messages/88a0fa1e-c681-48c8-b57e-c54de64c3105?utm_medium=twitter&utm_source=answer…
posted at 10:56:11
あなたの感覚が正しいです。かなりグダグダな実装ですね。個別の問題については、Teratail等で具体的に質問いただければ、なぜだめなのか回答します。例えば、JSONでPOSTする方法は色々あります。
https://marshmallow-qa.com/messages/268791b3-9b5b-482b-bb4c-a14ee8107438?utm_medium=twitter&utm_source=answer…
#マシュマロを投げ合おう
posted at 10:54:25
「エスボム」はソフトウェア爆弾(Software Bomb)のことです(違います) https://twitter.com/kotakanbe/status/1702644191426482615…
posted at 20:31:40
ウェブアプリの診断では弊社もCVSSによる評価はしていませんが、お客様から依頼されるケースはあり、その場合は算出していますね #vulsjp
posted at 20:15:09
Amazonに関して情報が集まってきていますが、どうも中継型フィッシングではなさそうです。 https://twitter.com/ockeghem/status/1701758873978466618…
posted at 14:46:48
