情報更新

last update 12/09 13:21

ツイート検索

 

@ikepyon
サイトメニュー
Twilogユーザー検索

Twilog

 

@ikepyon

Ikeda Masakazu@ikepyon

  • 865フォロー
  • 1,636フォロワー
  • 96リスト
Stats Twitter歴
4,573日(2007/06/04より)
ツイート数
18,914(4.1件/日)

ツイートの並び順 :

表示するツイート :

2019年12月04日(水)4 tweetssource

12月4日

@ikepyon

Ikeda Masakazu@ikepyon

試せば5分で確認でき、コストは自分の時間以外にかからないるものをマニュアルにないからと言って試さない自称技術者は技術者じゃないと思う。

posted at 14:54:47

2019年12月03日(火)2 tweetssource

2019年12月02日(月)2 tweetssource

12月2日

@ikepyon

Ikeda Masakazu@ikepyon

某脆弱性管理ツールはやはり全くイケてないorz
海原雄山みたいに、「このデザインをしたやつは誰だ?PMを呼べ」と言いたい

posted at 18:31:27

2019年11月29日(金)3 tweetssource

2019年11月26日(火)2 tweetssource

2019年11月25日(月)7 tweetssource

11月25日

@ikepyon

Ikeda Masakazu@ikepyon

もうちょっと作った資料の説明をしてくれないと、何が何だかわからん。いやまあ類推はできっけどって感じだな。自分もこんな資料作ってないか見直そう

posted at 13:57:29

11月25日

@ikepyon

Ikeda Masakazu@ikepyon

しかも、そのプロジェクト誰も脆弱性を見つけようとしてないのに、脆弱性がないから大丈夫と言い切るのもかっけー(棒
今時Struts1の脆弱性は報告されてないって、当たり前やんけw

posted at 13:35:46

11月25日

@ikepyon

Ikeda Masakazu@ikepyon

既にメンテされてないプロジェクトのOSSを枯れた技術でバグがほぼないステータスと言い切るのかっけー(棒

posted at 13:34:18

2019年11月20日(水)1 tweetsource

2019年11月15日(金)15 tweetssource

11月15日

@ikepyon

Ikeda Masakazu@ikepyon

それより
1. 正常系のテストだけでなく、異常系のテストを十分にする。
2.動的診断に力を入れる。
というほうが効果が高いと思う。
見つかる脆弱性は大抵異常系が発端だからね

posted at 18:16:38

11月15日

@ikepyon

Ikeda Masakazu@ikepyon

ソースコード診断をツールで自動化したいという前にまずは自分の開発チームのレベルを知るべき。レベルが低いなら、そんなツール入れる前にレベルアップをまず図ろう

posted at 18:12:11

11月15日

@ikepyon

Ikeda Masakazu@ikepyon

まあ、ソースコードの変更履歴も一緒に食わせばできるだろうけど、まあ市販のツールはそこまでやらないし

posted at 18:09:47

11月15日

@ikepyon

Ikeda Masakazu@ikepyon

あ、後ソースコード検査ツールででた結果を以前検査した結果を比較してこの脆弱性は治ったとかいう機能はまず使えない。基本的にその脆弱性のあるファイルと行と関連のあるファイルと行しか情報がないので、ソースコードファイルを修正して行がずれると同じ脆弱性であっても別物として認識するから

posted at 18:08:56

11月15日

@ikepyon

Ikeda Masakazu@ikepyon

ぶっちゃけセキュリティレベルが高い開発チームでケアレスミス検知ぐらいにしか使えないと思う。セキュリティレベルが低い開発チームだと馬鹿みたいに脆弱性ですぎるから陽性と偽性の判断がつけられないからまあ使えないという評価になりそうだし

posted at 17:47:35

11月15日

@ikepyon

Ikeda Masakazu@ikepyon

ふと思ったけど、ソースコードの脆弱性診断ツールっていらない子じゃね?
技術的には面白いけど、運用にはまあ乗っけられないし、費用対効果が非常に低い気が

posted at 17:04:50

11月15日

@ikepyon

Ikeda Masakazu@ikepyon

@tomoki0sanaki @ymzkei5 一つのメールの添付ファイルサイズ制限はあるでしょうけど、すべてのメールの合計ファイルサイズ制限(たぶん容量)を超えたら受け付けなくなるんじゃないか?もしかしたらチェックせずにスルーするという可能性も

posted at 12:56:40

2019年11月14日(木)5 tweetssource

11月14日

@ikepyon

Ikeda Masakazu@ikepyon

まず添付ファイルが取れてるんだから後からメールでパスワード送る時点で、パスワードが漏れてるし、仮にパスワードがわからなくてもオフラインで簡単にクラックできるし。リスク低減の効果なんてまずない
それをありがたがる人多いんだよねぇorz

posted at 15:01:20

11月14日

@ikepyon

Ikeda Masakazu@ikepyon

ふと思ったんだけど来年のマラソン札幌でやるより白馬とか軽井沢の標高の高いところでやったほうが気温的に楽じゃね?

posted at 14:58:07

11月14日

@ikepyon

Ikeda Masakazu@ikepyon

パスワード付きZIPファイルをメールで送ることをリスクを低減する方法だと考え出したバカは死ねばいいのに!
これってせっかくのゲイトウェイに置くマルウェア対策を無効化してるし、手間だけ増えて効果はほとんどない

posted at 14:53:36

2019年11月13日(水)1 tweetsource

2019年10月30日(水)4 tweetssource

10月30日

@ikepyon

Ikeda Masakazu@ikepyon

その資産の管理者じゃないんだから、何をリスクにするのかわからんがなorz
下手に対策しなくていいといってそこから攻撃受けてしもたら、責任持てません。

posted at 13:57:29

10月30日

@ikepyon

Ikeda Masakazu@ikepyon

リスクとして対策する必要があるかの判断基準がわからんのにこういう脅威があるんですけど対策しなくてもいいですよね?と聞かれても、対策コストがそんなにかからないんなら四の五の言わずに対策しないよりしたほうがいいんじゃないとしか答えられんw

posted at 13:52:59

10月30日

@ikepyon

Ikeda Masakazu@ikepyon

@kuroneko_stacy 冬の間しか工事できないとか言ってるし、ほんとに1年で治せるのか疑問だったり。でも代替交通費機関はあるみたいだけどね。20分ほど余計にかかるみたいね

posted at 11:57:30

2019年10月29日(火)3 tweetssource

10月29日

@ikepyon

Ikeda Masakazu@ikepyon

全部読めないから何とも言えんけど、セッション管理に使うCookieは別なんじゃないかな?書いた人が全然理解してないんだろう

posted at 15:18:53

2019年10月18日(金)7 tweetssource

10月18日

@ikepyon

Ikeda Masakazu@ikepyon

mb_ereg_replaceのeオプションってそもそもいらないんじゃない?perlで/a/b($1)/eというのが必要なのは関数bの戻り値かb($1)という変換なのかがわからないからであって、phpの場合第2引数にb("\1")か"b(\1)"とすることで区別つくし。perlの正規表現の仕様を間違ってとらえて追加した気がするなぁ

posted at 13:11:45

10月18日

@ikepyon

Ikeda Masakazu@ikepyon

@tigerszk いろいろ試したら、できましたorz
preg_replaceは確かにe修飾子は無効ですが、mb_ereg_replaceはeオプションが有効で、第二引数の内容が実行されるようです。

posted at 12:32:29

このページの先頭へ