情報更新

last update 05/25 11:06

ツイート検索

 

@ikepyon
サイトメニュー
Twilogユーザー検索

Twilog

 

@ikepyon

Ikeda Masakazu@ikepyon

  • 878フォロー
  • 1,374フォロワー
  • 96リスト
Stats Twitter歴
3,644日(2007/06/04より)
ツイート数
17,837(4.8件/日)

ツイートの並び順 :

表示するツイート :

2017年05月25日(木)1 tweetsource

2017年05月24日(水)5 tweetssource

5月24日

@ikepyon

Ikeda Masakazu@ikepyon

データには三種類しかないというのは全くわからない。仕様を基準とするなら、仕様上問題あるか、ないかだし、攻撃検知という意味で判断するなら、攻撃として有効か無効かだろう。なんかさあ、集合やらの中学レベルの数学をもう一度確認したほうがいいんじゃないかと忠告したくなる

posted at 18:54:49

5月24日

@ikepyon

Ikeda Masakazu@ikepyon

確かに攻撃検知は広義の意味でバリデーションとも言えなくはないが、一般的にはバリデーションという意味で使われてないだろう。まさに「おまえがおもうんならそうなんだろう、お前の中ではな」案件

posted at 12:23:16

5月24日

@ikepyon

Ikeda Masakazu@ikepyon

話題だったのでowasp top10の該当項目ざっと読んだけど、あれバリデーションが重要と言ってるんじゃなく、攻撃を検知し早急に対策されてないと言ってるんじゃね?

posted at 12:15:36

2017年05月23日(火)22 tweetssource

5月23日

@ikepyon

Ikeda Masakazu@ikepyon

「暗号化してパスワードを保持してます」といわれても復号できる状態で保存できるわけで、当然復号キーも保存されてるわけですよ。ということは侵入されたら銀行のID、パスワード(場合によっては乱数表)も漏れるわけだし、システム管理者はそれらを把握できるわけですよ

posted at 15:24:03

5月23日

@ikepyon

Ikeda Masakazu@ikepyon

@pochi_p まあ、それもこれも銀行側がAPIを提供していなかったのが原因なので…この仕様に問題があると認識できるユーザーがどれほどいるのかという

posted at 15:22:01

5月23日

@ikepyon

Ikeda Masakazu@ikepyon

パスワードを他人に教えるなと教育している所にこういうのはねぇ…まあ、銀行側の問題というのはあるとは思うけど

posted at 15:13:03

5月23日

@ikepyon

Ikeda Masakazu@ikepyon

@nntsugu あまりに初歩的な問題だったから濁してるだけとか?人力であってもテストやレビューが正しくできていれば問題ないと思います。今回のケースは単なるツールでは検出できないものだと思いますし

posted at 14:59:44

5月23日

@ikepyon

Ikeda Masakazu@ikepyon

@fkoryu あのころは工作機械がネットにつながってるというのはまだ少なかったんじゃないか?というのと、問題があっても機械が使えなくなることはなくて、放置されてたんじゃないかと思うのです。でもランサムウェアが出てきて感染すると使えなくなる機械が増えるんじゃないか?と思うのです

posted at 12:35:34

5月23日

@ikepyon

Ikeda Masakazu@ikepyon

カード会社との接続用スタブ作るの面倒で、同じ応答を返すようにして、送信するリクエストを全部ファイルに出すとか実装してたらありえそう

posted at 12:27:44

5月23日

@ikepyon

Ikeda Masakazu@ikepyon

@fkoryu そういうことができる会社はいいですが、中小企業ならそういう余計(と思われる)な機器を入れるというのは無理そうで・・・

posted at 11:46:53

5月23日

@ikepyon

Ikeda Masakazu@ikepyon

未だにPC98とかが現役で動いている工作機械とかありそう。で、今現在はネットにつながってないからWannaCryのような被害は受けなかったけど、これから古いOSが制御に使われててネットにつながっててアップデートできないから工作機械がマルウェアで使えなくなったとかも出てきそう

posted at 09:44:55

2017年05月22日(月)6 tweetssource

5月22日

@ikepyon

Ikeda Masakazu@ikepyon

このアプリなんかヤバそうとかこの仕様なんかヤバそうと判断するノウハウを言語化できればヤバいことになりそうな仕様とかアプリを減らせるんじゃないかな?

posted at 18:23:43

5月22日

@ikepyon

Ikeda Masakazu@ikepyon

まあ、最初から結論ありきの記事を書いてる記者が居たりするようだしなぁ。そういうのがマスコミ不信につながってるような気がする

posted at 18:00:56

5月22日

@ikepyon

Ikeda Masakazu@ikepyon

そういう変な決めつけが最近多いと思うのだけど、昔から多かったのにネット社会になって表に出るようになったか、記者のレベルが下がったのかようわからんな

posted at 17:58:51

5月22日

@ikepyon

Ikeda Masakazu@ikepyon

nVIDIAが謎の半導体メーカーであったり、パイソンが独自のプログラム言語であったりするのは記者の専門知識への無理解であって、もう少し調べて記事書けよとは思う

posted at 17:57:38

2017年05月19日(金)5 tweetssource

5月19日

@ikepyon

Ikeda Masakazu@ikepyon

@tomoki0sanaki そこまでけちけちにならんといけないんですかねぇ?クラウドだとほぼ使われなければそんなにコストかからない気もしますし、クラウドでしかできないわけじゃなければ、ローカルのVMで検証環境作ってもいいんじゃね?とも思いますし

posted at 09:57:02

5月19日

@ikepyon

Ikeda Masakazu@ikepyon

VMが一般的に使用されている現在においてもたまに「アプリの動作環境は本番環境しかないんです」といわれることがある。まあ昔は物理マシン用意しないと行けなかったからしょうがないだろうけど今ならVMですぐ用意できるやろと、運用どうしとるねんと問い詰めたい

posted at 09:48:39

2017年05月18日(木)5 tweetssource

5月18日

@ikepyon

Ikeda Masakazu@ikepyon

こういうのってセキュリティベンダーにとっては金のなる木を減らすことだからそういうとこには向かないよなぁと思ったりw

posted at 17:40:20

5月18日

@ikepyon

Ikeda Masakazu@ikepyon

及第点ギリギリだけど、誰でもできる安全なアプリの作り方を考えていきたい。及第点ギリギリじゃ足りない一部アプリについては専門家が必要みたいに場合わけが必要なんじゃないかと思った

posted at 17:39:32

2017年05月17日(水)2 tweetssource

2017年05月16日(火)6 tweetssource

5月16日

@ikepyon

Ikeda Masakazu@ikepyon

コードでいえばどういうコードが問題を起こすかを正しく知らないから脆弱性のあるコードを書いちゃうみたいな

posted at 17:05:26

5月16日

@ikepyon

Ikeda Masakazu@ikepyon

現状その辺があやふやなのでレビュー=工数増加ということになって誰もやらないのではなかろうか。レビューポイントを知っていれば作るときもそこを気を付けるだろうからレビューを実施しなくても知らない時より安全になるという感じ

posted at 17:03:46

5月16日

@ikepyon

Ikeda Masakazu@ikepyon

セキュリティレビューにおいて何をポイントとしてみるのかを明確にすることで、各工程でのセキュリティ上気を付けなければならないポイントが明確になって結果として安全なアプリが作れるようになるのではないか

posted at 17:02:17

このページの先頭へ