情報更新

last update 02/18 19:54

ツイート検索

 

@ikepyon
サイトメニュー
Twilogユーザー検索

Twilog

 

@ikepyon

Ikeda Masakazu@ikepyon

  • 870フォロー
  • 1,566フォロワー
  • 98リスト
Stats Twitter歴
4,278日(2007/06/04より)
ツイート数
18,653(4.3件/日)

ツイートの並び順 :

表示するツイート :

2019年02月18日(月)2 tweetssource

2019年02月16日(土)3 tweetssource

2019年02月15日(金)6 tweetssource

2月15日

@ikepyon

Ikeda Masakazu@ikepyon

某氏の文章を読むと恣意的解釈しているのどっちだYo!とツッコみたくなるな、本人にツッコんでも馬の耳に念仏だからしないけどw

posted at 18:21:27

2月15日

@ikepyon

Ikeda Masakazu@ikepyon

まあ、厚労省の統計データ不正みたいなことすんなと当たり前のことを言ってるんであろう。当たり前すぎてこんなん消えるはなw

posted at 17:51:26

2月15日

@ikepyon

Ikeda Masakazu@ikepyon

データの質の問題はアプリではどうやっても判断できないし、ISO270000シリーズはマネジメントの話だからデータの質を問題にしていてアプリにおいて許容できるデータのチェックしろじゃない気がする

posted at 17:36:40

2月15日

@ikepyon

Ikeda Masakazu@ikepyon

よくよく考えるとISO27000シリーズでかつてあった入力バリデーションの項目って、データの質の話をしてるんじゃないか?例えば、統計処理を行う際、統計的に正しくない数値(要するに実データから得られた数値でなく適当な数値)を入れて、処理をするなと言ってるだけのような気がしないでもない

posted at 17:34:06

2月15日

@ikepyon

Ikeda Masakazu@ikepyon

おかしな解説をしている人に正しい解説を「おかしな解説してる」と言われるほど笑えるものはないw
「それ、アンタの理解がおかしいんや!」とツッコみたいw

posted at 17:30:35

2019年02月06日(水)7 tweetssource

2月6日

@ikepyon

Ikeda Masakazu@ikepyon

@s_hskz そうなんですよねぇ。チェリーピッキングしかしないので、正しく理解できてないのに、他人に教育しなきゃと思ってそうなのが困りものですorz

posted at 14:48:58

2月6日

@ikepyon

Ikeda Masakazu@ikepyon

「処理すべきでない情報を処理しないようにバリデーションしましょう」という至極まっとうな理由なんだよね。決して「脆弱性を防ぐこと」を目的として入ってるわけではないんだな、これが

posted at 14:40:54

2月6日

@ikepyon

Ikeda Masakazu@ikepyon

まあ、OさんがISO27000読めというのは自身の主張である「バリデーションはセキュリティ対策に有効」という説を補強するために使っているだけなんだよな。かつて「バリデーション」の項目は確かにあった。でも「セキュリティ対策」ではないんだよね、入った趣旨は

posted at 14:38:20

2月6日

@ikepyon

Ikeda Masakazu@ikepyon

O氏が安全なアプリ開発でISO27000読めというのはおかしいと思う。ISO15408だったらまだわかる。ISO27000系はマネジメントの話であって、開発に関する話じゃないしな

posted at 14:23:39

2月6日

@ikepyon

Ikeda Masakazu@ikepyon

COBOLは宣言部分が長すぎて読む気が失せるのよね。言語自体それほど難しいものではないし、非常に大きな数値を取り扱うには便利だけどなぁ。YPSなどという使いづらいツールで書かされたことあるけど、普通にキーボードでコード書く方が分かりやすいんじゃ、ボケと何度思ったことかw

posted at 10:20:19

2019年01月25日(金)1 tweetsource

1月25日

@ikepyon

Ikeda Masakazu@ikepyon

脆弱性管理において、ある脆弱性がどこから攻撃できるか?というのは対象となるものが重要なものかということと合わせて必要だと思うんだけど、どこから攻撃できるか?には無関心なケースもあるんだなぁ

posted at 17:16:23

2019年01月23日(水)4 tweetssource

1月23日

@ikepyon

Ikeda Masakazu@ikepyon

では、処理すべきデータで有害なものはどうするかというと、エスケープ等で問題ない形にするんだよ。それはセキュリティとは関係なく必要なことであるんだよ。ただ、全てにおいて必要なエスケープなどの処理は大変だし、ミスで忘れることもあるから、エスケープしなくても済む方法を提示しているだけ

posted at 16:33:26

1月23日

@ikepyon

Ikeda Masakazu@ikepyon

処理すべきデータであっても有害なものはあるし、処理すべきでないデータであっても無害なものもある。この辺が分かってないっポイ

posted at 16:28:41

1月23日

@ikepyon

Ikeda Masakazu@ikepyon

某氏が「入力データの妥当性保証( ≒ データがアプリにとって無害であることの保証)」と言ってるけど違うから「入力データの妥当性保証」は「データがアプリにとって処理するものであることの保証」であって、無害か有害かは関係ないから。

posted at 16:20:35

2019年01月17日(木)1 tweetsource

2019年01月15日(火)2 tweetssource

2019年01月11日(金)3 tweetssource

1月11日

@ikepyon

Ikeda Masakazu@ikepyon

信頼境界の話って設計とか要求仕様においては考える必要あると思うけど、コードに落とし込む段階でこれは信頼できるから安全とかやれるかって思うし、そうじゃないだろと思う。

posted at 12:30:29

1月11日

@ikepyon

Ikeda Masakazu@ikepyon

アプリケーションセキュリティの実装において渡されたデータが信頼できるかどうかは関係なくて、そのデータが処理すべきものかどうかのみが重要だと思う。処理すべきデータでないにもかかわらず信頼できるから処理するとかありえないし。なので、信頼境界が重要とか言ってる人はおかしいと思う

posted at 12:24:03

2019年01月10日(木)5 tweetssource

1月10日

@ikepyon

Ikeda Masakazu@ikepyon

バリデーションもエスケープも「ケアレスミス」で忘れることもあるからそのリスクを低減するためにIPAの文章があるのだと思う。その辺分かってないだろうなぁ、あの人

posted at 13:53:50

1月10日

@ikepyon

Ikeda Masakazu@ikepyon

バリデーションも、エスケープもセキュリティというものとは関係なく正しく動くアプリケーションでは必要。ということが分かってなさげなのが自称セキュリティ専門家(笑)じゃないかと

posted at 13:52:04

1月10日

@ikepyon

Ikeda Masakazu@ikepyon

両方とも結果としてリスクが低減されるだけであって、リスクを低減することを目的にするわけではない。なので、リスク低減だけを目的にバリデーションをしろ、エスケープしろは間違いと思う。そんなこと言うとリスクなんて受容していいからバリデーションもエスケープもいらないという主張が正しくなる

posted at 13:46:36

1月10日

@ikepyon

Ikeda Masakazu@ikepyon

バリデーションの目的は処理してはいけないデータを処理しないようにすることであって、脆弱性を無くすためではない。エスケープの目的は処理すべきデータを正しく処理するために行うことであって、脆弱性を無くすためではない。

posted at 13:43:02

1月10日

@ikepyon

Ikeda Masakazu@ikepyon

バリデーションおじさんのここのところの新作がIPAにケンカ売ってるし、論点がおかしいしなんだかなぁという感じ。あれを参考にしちゃダメなんだけどなぁ

posted at 13:21:11

2019年01月09日(水)1 tweetsource

2019年01月08日(火)1 tweetsource

2018年12月27日(木)2 tweetssource

2018年12月26日(水)1 tweetsource

12月26日

@ikepyon

Ikeda Masakazu@ikepyon

『『IPAの「安全なWebサイトの作り方」は安全な作り方のガイドではない』は読んではいけない』を書かないといけないのか?w

posted at 17:11:38

2018年12月21日(金)1 tweetsource

12月21日

@ikepyon

Ikeda Masakazu@ikepyon

paypayってなんか犯罪の温床になりそうだなぁと、paypayハッシュタグ見て思った。で、即効サービス終了しそう

posted at 16:05:05

2018年12月20日(木)6 tweetssource

2018年12月14日(金)4 tweetssource

12月14日

@ikepyon

Ikeda Masakazu@ikepyon

バリデーションおじさんの昨日の新作見て最初っから脱力したorz
A10はログを取って、監視し無いといけないよだと思うんだけど、どう読み解いたらああいう主張になるんだ?w

posted at 14:51:07

このページの先頭へ