情報更新
ツイートの記録を停止しています

 

ツイート検索

 

@ikepyon
サイトメニュー
Twilogユーザー検索
新規ツイートの取得を再開しました!取得再開にはログインが必要です。

Twilog

ツイートの記録を停止しています

このアカウントはTwitter APIの仕様変更の影響でツイートの記録を停止しています。
記録を再開するには、Twilogにログインしてください。

 

@ikepyon

Ikeda Masakazu@ikepyon

  • 839フォロー
  • 1,702フォロワー
  • 86リスト
Stats Twitter歴
6,143日(2007/06/04より)
ツイート数
19,610(3.1件/日)

ツイートの並び順 :

表示するツイート :

2017年07月31日(月)3 tweetssource

2017年07月28日(金)4 tweetssource

7月28日

@ikepyon

Ikeda Masakazu@ikepyon

データが外由来だからとか内側だからとかこのデータは安全だからエスケープやバリデーションやらないというのはなんだかなぁとは思う。そんなん考えるの面倒だから一律やっちゃえよと思うんだけど

posted at 15:47:12

7月28日

@ikepyon

Ikeda Masakazu@ikepyon

マスターテーブルのデータしか使ってないからエスケープしないとかいうのってマスターテーブルの中身が問題ないこと前提だからよくないのだけど、いろいろあってもにょるw

posted at 15:45:07

7月28日

@ikepyon

Ikeda Masakazu@ikepyon

Powerpoint用のクリップアートがあったサイトが軒並みつぶれててほしい画像が見つからないorz パワポマンのグラサンかけたやつ欲しいのにorz

posted at 13:27:31

2017年07月27日(木)5 tweetssource

7月27日

@ikepyon

Ikeda Masakazu@ikepyon

「A(人)は評価する」と書かれていて、何を評価するのかわからんとかざらなんだけど、これ書いた人なんも考えてないだろうorz

posted at 13:55:54

2017年07月26日(水)2 tweetssource

2017年07月25日(火)1 tweetsource

2017年07月22日(土)2 tweetssource

2017年07月21日(金)4 tweetssource

2017年07月18日(火)5 tweetssource

2017年07月14日(金)6 tweetssource

7月14日

@ikepyon

Ikeda Masakazu@ikepyon

@mincemaker 私はもっぱらgerpとエディタ駆使です。結構これが大変で何かツールがないかと探し中です。それとは別に診断のやり方を聞きたいですね

posted at 17:36:03

7月14日

@ikepyon

Ikeda Masakazu@ikepyon

ソースコードよんで脆弱性見つけるとき、まずはgrepで脆弱性が発生しそうなメソッド・関数を探し出して、そこから前へ前へと読んでってるんだけど、やってる人ってどうやってるんだろう?

posted at 17:20:44

7月14日

@ikepyon

Ikeda Masakazu@ikepyon

Webアプリと違ってスマートフォンアプリとかPCアプリはコードを配布するからパスワードやら暗号鍵が時間さえかければ丸わかりなんだよなぁ。その辺考えずにコード書くとなんちゃって対策になるから怖いw

posted at 15:25:18

2017年07月13日(木)7 tweetssource

7月13日

@ikepyon

Ikeda Masakazu@ikepyon

ソースコード診断は脆弱性が多いと確認するのに確認箇所が多くて、むちゃくちゃ時間かかるんだ。これはツール使っても一緒。なので、出来ればある程度脆弱性がないような作りになっているコードで実施したいw

posted at 15:36:04

7月13日

@ikepyon

Ikeda Masakazu@ikepyon

ぶっちゃけ開始5分で見つかるような脆弱性ぐらいは開発者側のテストで見つけて修正しておいて、セキュリティの専門家にはもっと複雑な脆弱性を見つけることに専念したほうがいいんじゃね?とは思うので、もっとツールを開発者には活用してほしいw

posted at 15:29:12

7月13日

@ikepyon

Ikeda Masakazu@ikepyon

そういったことを考えずにいきなり「セキュリティ対策のためにコードレビュー」とか言ってたら現場が疲弊しそう

posted at 15:24:49

7月13日

@ikepyon

Ikeda Masakazu@ikepyon

その次の段階として脆弱性を見つけた時の手戻りを如何に少なくするかを考えるとコードレビューとかセキュリティレビューの実施ということになるんではないか?

posted at 15:23:50

7月13日

@ikepyon

Ikeda Masakazu@ikepyon

でも、教育は効果が出るには時間がかかる。今そこにある問題には対応できないので、即効性のある脆弱性検査は非常に有効と思う

posted at 15:20:40

7月13日

@ikepyon

Ikeda Masakazu@ikepyon

でも、開発者は後で脆弱性検査で分かるからいいやと考え、毎回手戻りが発生し、工数が増加する可能性もある。まああと場当たり対応となりがちなので、何度も同じ間違いを起こすことも考えられる。なので、作るときに脆弱性を仕込みにくくするような教育が合わせて必要と思う。

posted at 15:19:25

7月13日

@ikepyon

Ikeda Masakazu@ikepyon

何もやってないところにまずは脆弱性検査からというのは今あるアプリの脆弱性を見つけ、それに対処することで、攻撃を受けやすい状態から受けにくい状態でアプリを運用できるという点で開発したアプリ単体で見れば改善が見えやすい

posted at 15:16:29

2017年07月12日(水)10 tweetssource

7月12日

@ikepyon

Ikeda Masakazu@ikepyon

実際問題、人がやるにせよツールでやるにせよ静的検査やセキュリティレビューでやるとなると問題が多いとみる点が多くなって大変。その点、開発者に対する教育が済んでて、動的検査でもあまり脆弱性が検出できないような現場が書くコードは見る点が少ない印象がある

posted at 17:34:55

7月12日

@ikepyon

Ikeda Masakazu@ikepyon

そのうえでセキュリティレビュー・静的検査を導入しないと、それらを行うために馬鹿みたいに工数がかかりそう。

posted at 15:32:42

7月12日

@ikepyon

Ikeda Masakazu@ikepyon

ここで教育するのはバリデーションはアプリケーションが正しく動くために必要で仕様に則っているものであることとエスケープは別のアプリケーション・ライブラリが意図通りに処理するために必要なものであることだと思う

posted at 15:30:11

7月12日

@ikepyon

Ikeda Masakazu@ikepyon

次にすることは、バグの少ないコードの書き方とかよくあるバグのできそうなところをテストで確認する方法とかの教育がいいかもしんない。多くの脆弱性はコード由来が多いしね。バグが少ないアプリは脆弱性が少ないケース多いし。バグが多くて脆弱性が少ないケースはまずない

posted at 15:28:23

7月12日

@ikepyon

Ikeda Masakazu@ikepyon

他に頼むとお金の問題が出てくるから検査ツールを導入して、ツールで見つかるものだけでもなんとかするというのが効果的なような気がする。

posted at 15:24:14

7月12日

@ikepyon

Ikeda Masakazu@ikepyon

何もやってない開発組織でセキュリティ対策やろうという場合、最初に導入するのは本来なら教育が最もいいんだけど、効果が出にくいから、効果のわかりやすい動的セキュリティ診断じゃなかろうか?

posted at 15:23:09

7月12日

@ikepyon

Ikeda Masakazu@ikepyon

マニュアル読まずにてきとーに操作してなんか動いてるけど、よくわからなくなって効いてくる人なんなの?わかんなければ、まずマニュアル読めよ!

posted at 09:18:17

2017年07月11日(火)7 tweetssource

7月11日

@ikepyon

Ikeda Masakazu@ikepyon

@ockeghem データの内容によるんじゃないですかね?大文字ばかりのデータが多いものを処理するんなら影響ありそうです。まあ、あまり考えてない方が可能性が高いような気がしますがw

posted at 10:48:18

7月11日

@ikepyon

Ikeda Masakazu@ikepyon

自分でフレームワークについての知識やらコーディングの基礎を勉強すれば話は別なんだろうけど、残念なことにそういう人はそれが必要であることを理解できていないのではないか?

posted at 09:28:06

7月11日

@ikepyon

Ikeda Masakazu@ikepyon

で、そういう人は得てしてプログラムをよく知らないため、教科書的な書き方をして(教科書にはエスケープとか書いてないしorz)脆弱性を埋め込むものと思われるorz

posted at 09:27:10

7月11日

@ikepyon

Ikeda Masakazu@ikepyon

これは最初に実装した人はフレームワークの知識があって使いこなしていたのだろう。でも、その後の修正ではフレームワークの知識がない人がコードを書いたため、ベタな書き方をしたものと推測できる

posted at 09:26:02

7月11日

@ikepyon

Ikeda Masakazu@ikepyon

コード読んでいるとフレームワークのお作法に則ってコードを書くと脆弱性を作りこまないのに、わざわざフレームワークのお作法ではなく、言語の機能を使って脆弱性を作りこんでいるコードを見かける。同じファイルの別のところではお作法に則っているのにだ

posted at 09:24:48

このページの先頭へ

×