情報更新

last update 12/15 14:22

ツイート検索

 

@ikepyon
サイトメニュー
Twilogユーザー検索

Twilog

 

@ikepyon

Ikeda Masakazu@ikepyon

  • 874フォロー
  • 1,448フォロワー
  • 95リスト
Stats Twitter歴
3,848日(2007/06/04より)
ツイート数
18,227(4.7件/日)

ツイートの並び順 :

表示するツイート :

2017年12月13日(水)5 tweetssource

2017年12月11日(月)1 tweetsource

2017年12月08日(金)1 tweetsource

2017年12月06日(水)4 tweetssource

12月6日

@ikepyon

Ikeda Masakazu@ikepyon

@number3to4 あれに関して言えば、クロスサイトスクリプティングで内部のサイトに対して攻撃されるからその防御のためと忖度しましたwまあ、あれがよくわかんないのは同意です

posted at 12:31:47

2017年12月05日(火)3 tweetssource

12月5日

@ikepyon

Ikeda Masakazu@ikepyon

某氏がよく例えに出すビルの入館管理も関係者かどうかを確認するだけで、関係者で且つ悪意あるものを締め出すもんじゃないし。その辺も考えずにバリデーションを連呼するのはなんだかなぁと思う

posted at 15:01:40

12月5日

@ikepyon

Ikeda Masakazu@ikepyon

ISOのバリデーションって処理に値しないものを処理しないように検証して、除外しようということであって、処理に値するけど悪影響を及ぼすものを除外するということじゃないと思うんだけど、その辺読めてないんだろうなぁ

posted at 14:14:48

2017年12月04日(月)3 tweetssource

12月4日

@ikepyon

Ikeda Masakazu@ikepyon

酷いのは「まるで脆弱性の宝石箱やぁ!?」みたいな感じであちこちに問題のあるコードはあるけど、そうでないのは結構きっちりコードが書かれてる。まあ、脆弱性の宝石箱みたいなコードは品質もアレ

posted at 15:00:28

12月4日

@ikepyon

Ikeda Masakazu@ikepyon

「簡単に対策できるのに危険な問題がソースコード検査で100%見つかります。」という人が居るけど、ソースコード検査してても問題ないコードも結構あるよ!たまにそういうコードでもケアレスミスっぽいのもあるし。

posted at 14:48:25

2017年12月01日(金)8 tweetssource

12月1日

@ikepyon

Ikeda Masakazu@ikepyon

ソースコード検査ツールが大量に脆弱性を検出して、それが実際にあるのなら、そんなもの導入するより開発者の技術レベルの底上げが急務だと思う

posted at 13:08:47

12月1日

@ikepyon

Ikeda Masakazu@ikepyon

ソースコード検査ツールのデモとか見ると適当に脆弱性を検出してくれて、おーとか思うけど、実際は脆弱性が検出しやすいようなコードで、今時そんな書き方しねーよというのだったりする。実際のコードをかけてみると脆弱性があるのに脆弱性を検出しないなんてこともあるorz

posted at 13:07:27

12月1日

@ikepyon

Ikeda Masakazu@ikepyon

ソースコード診断はある程度有用だけどツールはなぁ・・・
まあ、Strutsとか診断ツールにかけたけど、ろくな結果がでなかったしw

posted at 12:21:42

12月1日

@ikepyon

Ikeda Masakazu@ikepyon

まじで、ソースコード診断ツールはかけて脆弱性が検出されなくて安心するためだけのツールだなw (誰も、脆弱性がないとは言っていないw)

posted at 12:15:02

12月1日

@ikepyon

Ikeda Masakazu@ikepyon

ソースコード診断ツールの結果精査辛いorz 問題ないものしか報告してこないorz たまーに問題があることもあるから無駄に見ないといけないorz

posted at 12:14:06

2017年11月30日(木)10 tweetssource

11月30日

@ikepyon

Ikeda Masakazu@ikepyon

@nagise 最近のPHPもJavaもヘッダ関連の関数・メソッドで改行コードはヘッダに出力しないようにしていると記憶してたんですが、ちがうんでしょうか?

posted at 12:54:12

11月30日

@ikepyon

Ikeda Masakazu@ikepyon

HTTPヘッダインジェクションって今もあるんだっけ?PHPもJavaも対応して問題なくなってたと思うんだけど、違う?他の処理系はあるんだっけ?

posted at 12:46:04

11月30日

@ikepyon

Ikeda Masakazu@ikepyon

コード読んでるとサーバーが別のサーバーにXML形式でデータをリクエスト送る際、エスケープせずに送ってるケースを見かけるんだが、これは指摘するんだけど、これをブラックボックスで見つけるの無理ゲだよなぁといつも思う

posted at 11:14:07

11月30日

@ikepyon

Ikeda Masakazu@ikepyon

ガッキーは検証した記事ならまともっぽいので、それだけに特化すりゃいいのにw 変な自説を展開したり、そのためのサンプルコードはひどいので辞めてもらいたい

posted at 10:22:12

2017年11月29日(水)4 tweetssource

2017年11月28日(火)3 tweetssource

2017年11月25日(土)2 tweetssource

2017年11月24日(金)1 tweetsource

2017年11月22日(水)5 tweetssource

11月22日

@ikepyon

Ikeda Masakazu@ikepyon

PHPのコードをソースコード検査ツールでまともに検査してくれた感があるのはRIPSぐらいだなぁ、今のところ

posted at 15:52:54

11月22日

@ikepyon

Ikeda Masakazu@ikepyon

世紀末バリxxxxを見て、誰もがどうやるのか疑問であり、自分で実装できないものをさもやって当然というように言うのはやめた方がいいと思ったw

posted at 14:25:37

このページの先頭へ