情報更新

last update 11/19 18:52

ツイート検索

 

@ikepyon
サイトメニュー
Twilogユーザー検索

Twilog

 

@ikepyon

Ikeda Masakazu@ikepyon

  • 873フォロー
  • 1,547フォロワー
  • 98リスト
Stats Twitter歴
4,188日(2007/06/04より)
ツイート数
18,575(4.4件/日)

ツイートの並び順 :

表示するツイート :

2018年11月15日(木)5 tweetssource

11月15日

@ikepyon

Ikeda Masakazu@ikepyon

徳丸さんのCSRFの問題を見ているとPHPが関数の引数をバリデーションしてエラーとせずに強引に解釈して実行しているのが問題のような気がするw
バリデーションおじさんは変な物作らずにこっちの指摘をすればいいのにw

posted at 11:23:51

2018年11月14日(水)2 tweetssource

2018年11月08日(木)2 tweetssource

2018年11月07日(水)1 tweetsource

2018年11月01日(木)1 tweetsource

2018年10月31日(水)1 tweetsource

2018年10月19日(金)4 tweetssource

10月19日

@ikepyon

Ikeda Masakazu@ikepyon

ゴホンといえば龍角散っていうから、龍角散って風邪薬と思ってたら違うのねorz このウン十年間違っていたとはorz

posted at 16:17:23

10月19日

@ikepyon

Ikeda Masakazu@ikepyon

歳くったから脂っこいものダメになったとか肉ダメになったとかいう感覚がいまいちわからん。でも小さい字が見えにくくなったは実感するorz

posted at 12:37:42

2018年10月18日(木)7 tweetssource

10月18日

@ikepyon

Ikeda Masakazu@ikepyon

リスク分析ってまじめにやろうとすると大変だと思う。軽く考えてると大したことのないリスクを重大なものと考えたり、重大なリスクを過小評価しちゃったりするし。それなりの知見が必要だと思うのよねん

posted at 14:03:32

10月18日

@ikepyon

Ikeda Masakazu@ikepyon

まあ、かの人の問題はバリデーションとエスケープが対策としてありきの結論があってのリスク分析だからなんだろうなぁ。
それ以外読みづらくてわからんw

posted at 13:58:21

10月18日

@ikepyon

Ikeda Masakazu@ikepyon

でも、ユーザーIDと電話番号が組としてわかるから、これにより意図しない情報漏えいとしてリスクになることがありうる。こういうのがアプリで必要なリスク分析だと思うんだけど

posted at 13:49:37

10月18日

@ikepyon

Ikeda Masakazu@ikepyon

例えば、登録されたユーザーをユーザーIDで検索するとユーザーの電話番号が出てくるアプリがあったとして、まあこの機能は情報漏えいにつながるから問題となるわけで。一方電話番号で検索するとユーザーIDが出てくるという機能を作ったりすると一見すると問題はなさそう。

posted at 13:48:18

10月18日

@ikepyon

Ikeda Masakazu@ikepyon

アプリにおいてとある機能仕様がリスクとならないかを分析するのがリスク分析かと思うんだよ。で、かの人はデータがどうのこうのと言って局所的な話にしてるからこんなのどのアプリでも一緒でしょ?

posted at 13:46:00

10月18日

@ikepyon

Ikeda Masakazu@ikepyon

某氏が書いたリスク分析の話。この内容なら別に個々のアプリでリスク分析なんていらないんじゃね?w
リスク分析する内容が間違ってる気がする

posted at 13:44:33

10月18日

@ikepyon

Ikeda Masakazu@ikepyon

一応セキュリティベンダー側っぽいけど、如何にお金と労力をかけずにそこそこ安全を保つにはどうすればいいかということを考えるの好き。多分、営業に殺されるw

posted at 10:04:09

2018年10月12日(金)1 tweetsource

2018年10月10日(水)2 tweetssource

10月10日

@ikepyon

Ikeda Masakazu@ikepyon

海賊版サイトのブロッキングってドラえもんが家に一匹だけでたネズミを退治するために地球破壊爆弾を使おうとしているのと似てるよなぁ

posted at 17:08:21

2018年10月05日(金)1 tweetsource

10月5日

@ikepyon

Ikeda Masakazu@ikepyon

@tomoki0sanaki で範囲外にある脆弱性を突かれて情報漏えいして、「なんで見つからなかったのだ?」と激怒されるも、「そこ範囲外ですので」というのもよくありそうな話w

posted at 14:26:39

2018年10月04日(木)9 tweetssource

10月4日

@ikepyon

Ikeda Masakazu@ikepyon

アプリ開発でセキュリティ対策を考えてて、まず何かしたいと思ったら、とりあえずテストデータを考えることから始めた方がいいと思う。’とか<"をテストデータに入れるだけでも意外と脆弱性につながる動作って見つかるYo!

posted at 15:31:36

10月4日

@ikepyon

Ikeda Masakazu@ikepyon

脆弱性かもしれない動作があれば、それが脆弱性か同課にかかわらず直せばいいと思う。脆弱性かもしれない動作から脆弱性として攻撃に使えるかどうかを判断するのはある程度の知識が必要だけど、脆弱性かもしれない動作を見つけるのはそこまで難しいものじゃないと思う。

posted at 14:15:48

10月4日

@ikepyon

Ikeda Masakazu@ikepyon

ツールが導入できないなら、パラメーターに’や<などを入れて想定外の動作をしないかどうかをテストで確認するだけでも脆弱性を発見できると思う。

posted at 14:04:22

10月4日

@ikepyon

Ikeda Masakazu@ikepyon

お金がなくて、アプリ全体に対して深い脆弱性診断ができないなら、まずはツールでも導入して、それで見つけられる脆弱性をアプリ全体に対して診断して、治すほうが、一部機能に深くやるよりいいと思うよ。

posted at 14:01:09

10月4日

@ikepyon

Ikeda Masakazu@ikepyon

まあ、そのアプリのつくりに依存するけどな。完全にデータのアクセス権が分離されていなかったら駄目だろうなぁ

posted at 13:57:37

10月4日

@ikepyon

Ikeda Masakazu@ikepyon

たまにこの機能は重要な情報を取り扱っているからこの機能だけ重点的に脆弱性診断しよう(他の機能は診断しない)と聞くのだけど、同じアプリで特定機能だけ脆弱性をなくせたとして、同じアプリの他の機能でSQLインジェクションがあったら、それを使って重要な情報を取ることできんじゃね?と思う

posted at 13:56:18

10月4日

@ikepyon

Ikeda Masakazu@ikepyon

@ma_naka もともと利益にもならなかったものを被害として計上するのは違うんじゃないの?と思います。まあ、そのうち何割かが買うということであれば、その分だけ被害として計上すればいいんですが、計算できないからしょうがないとも思うんですけど。

posted at 13:17:54

10月4日

@ikepyon

Ikeda Masakazu@ikepyon

出版業界には海賊版対策のブロッキングに精を出すより、電子書籍のフォーマットの統一と、デバイスの標準化、使いやすい配布サイトを真っ先にお願いしたい。そうすれば海賊版による機会逸失なんて考えなくていいようになるんじゃないか?

posted at 11:34:31

2018年10月03日(水)1 tweetsource

2018年10月02日(火)1 tweetsource

10月2日

@ikepyon

Ikeda Masakazu@ikepyon

既にある言葉と同じ意味の別の言葉を作り出して、それを売りにするのって、混乱を招くだけでクソだと思うw

posted at 16:08:12

2018年09月28日(金)3 tweetssource

9月28日

@ikepyon

Ikeda Masakazu@ikepyon

「192.168.0.1は私のIPアドレスです」と言ってきた人をふと思い出してたら、よくあるパスワードリスト一覧を見たよくわかってない人が「俺のパスワードが公開されている。情報漏えいだ」と騒ぎだすんじゃないかと思ったw

posted at 14:00:52

2018年09月27日(木)3 tweetssource

2018年09月26日(水)1 tweetsource

2018年09月21日(金)2 tweetssource

2018年09月18日(火)2 tweetssource

2018年09月06日(木)5 tweetssource

9月6日

@ikepyon

Ikeda Masakazu@ikepyon

現状いろいろ脅威があって、こういう脅威があるだから対策としてこれ入れようとなるんだけど、実際のところ、脆弱性がなければその脅威に対する対策ってまあ直近には必要がないわけで。そういう評価もせずに対策してる感がないでもない

posted at 17:55:23

9月6日

@ikepyon

Ikeda Masakazu@ikepyon

正確にはどうなったかは既に説明済みで、トラぶって原因究明している最中に「どうなってるんだ。説明しろ」と30分に一回聞いてくる感覚orz よくわかってないえらい人によくあるタイプorz

posted at 15:52:03

このページの先頭へ