情報更新

last update 07/18 20:08

ツイート検索

 

@hasegawayosuke
サイトメニュー
Twilogユーザー検索

Twilog

 

@hasegawayosuke

Yosuke HASEGAWA@hasegawayosuke

Stats Twitter歴
4,115日(2007/04/13より)
ツイート数
26,098(6.3件/日)

ツイートの並び順 :

表示するツイート :

2018年07月18日(水)3 tweetssource

6時間前

@hasegawayosuke

Yosuke HASEGAWA@hasegawayosuke

前者は、不特定多数に対して利用者を特定するのは現実的には無理な場合が多いから。後者は「SNS上の誰なのか」を具体的に特定するというよりはトラッキングのために利用価値がありそう

posted at 17:13:30

6時間前

@hasegawayosuke

Yosuke HASEGAWA@hasegawayosuke

ログインユーザーの推測、わなサイト上で候補一覧をあらかじめ用意しておいてどれかに合致するか調べるっていう手法と、ノーヒントな状態でクロスドメインで利用可能なリソースから推測できる場合とがある。両者それぞれ報告した経験からいうと、前者だとあまり脆弱性として認めてくれない印象がある。

posted at 17:10:54

2018年07月17日(火)5 tweetssource

7月17日

@hasegawayosuke

Yosuke HASEGAWA@hasegawayosuke

同僚がChromiumのソースコード読んで見つけてた。知らなかった。
<svg onload=\u{000000000000061}\u{000000006c}\u0065\u{72}\u{00000000000000000000000000074}(1)>

posted at 12:13:03

2018年07月13日(金)1 tweetsource

2018年07月12日(木)3 tweetssource

7月12日

@hasegawayosuke

Yosuke HASEGAWA@hasegawayosuke

「ハッカーぽい感じで攻撃してるところの画面が欲しい」というリクエストに応えるため、黒背景のコマンドプロンプトからPowerShellでSQLインジェクションしてる

posted at 14:01:25

2018年07月08日(日)1 tweetsource

2018年07月07日(土)2 tweetssource

2018年07月06日(金)5 tweetssource

7月6日

@hasegawayosuke

Yosuke HASEGAWA@hasegawayosuke

IPAが2014年に公表した報告によると複数サイトでパスワードを使いまわしているユーザーは25.4%、2018年のセシールへの既存ユーザーにスクリーニングされたパスワードリスト攻撃では攻撃成功率は25.3%。4年経ってもパスワード再利用率はこんなものなのか。

posted at 15:21:33

2018年07月05日(木)5 tweetssource

2018年07月04日(水)1 tweetsource

2018年07月03日(火)6 tweetssource

7月3日

@hasegawayosuke

Yosuke HASEGAWA@hasegawayosuke

@bakera 言語は適当ですけどイメージ的には
const dtd = `<!DOCTYPE ....>`;
let xmlText = `<root>` + request.body.xml + `</root>`;
let xml = parseXml( dtd + xmlText );
みたいな。削除とか考えず、DTDつけられた時はパースがこけるのに期待っていう感じです

posted at 17:19:04

7月3日

@hasegawayosuke

Yosuke HASEGAWA@hasegawayosuke

Chromeのコマンドラインオプションは色々隠れた便利機能があって楽しいんだけど、Firefoxはドキュメント化されてるものくらいしかなくてあんまり楽しめない。んだけど、まあpref.jsを切り替えて起動すれば実質なんでもありっていう。

posted at 10:14:30

7月3日

@hasegawayosuke

Yosuke HASEGAWA@hasegawayosuke

XXEの対策、「DTDを無効にする」てのが定説だけど、アプリケーション依存のDTDをどうしても使いたいって場合は内部でDTDを固定文字列として持っておいて、リモートからきたDTDなしXMLとそれを連結する、とかでいいのかな?

posted at 09:44:21

2018年07月01日(日)1 tweetsource

2018年06月29日(金)3 tweetssource

2018年06月27日(水)3 tweetssource

6月27日

@hasegawayosuke

Yosuke HASEGAWA@hasegawayosuke

「保存せずに終了しますか?」「終了前に保存しますか?」 はいいいえの意味が反転するのでうっかりするとうっかりしてしまう。

posted at 14:13:45

6月27日

@tokuhirom

tokuhirom@tokuhirom

miyagawa さんが YAPC の前々日ぐらいに Perl で WSGI みたいなのやりたいっていうから、「miyagawaさんがフライトの間に作ろうぜ」って言って、yappo と俺でめっちゃコード書いたんだよな〜 そんで、YAPC の俺のトークを急遽差し替えて miyagawaさんと俺で発表した。カンファレンスとはかくあるべき

Retweeted by Yosuke HASEGAWA

retweeted at 09:31:02

2018年06月26日(火)6 tweetssource

2018年06月25日(月)1 tweetsource

2018年06月24日(日)1 tweetsource

2018年06月23日(土)4 tweetssource

6月23日

@hasegawayosuke

Yosuke HASEGAWA@hasegawayosuke

個人が発表するのに、会社として事前に厳しいプレゼン内容のチェックを必須とかやりたくないな。なぜ炎上したのか、何が駄目なのかの教育とかすればいいのかな。

posted at 01:39:46

このページの先頭へ