@kuroneko_stacy 催促したみたいですみません。受付メールは届いた!MLだけが届かないorz
posted at 15:15:06
| Stats | Twitter歴 4,278日(2007/06/04より) |
ツイート数 18,653(4.3件/日) |
表示するツイート :
2019年02月18日(月)2 tweetssource
@kuroneko_stacy 受付メールってもう出した?出してるのなら、それも届いてない。googleさんの問題かなぁ?他のメールは届いているんだけど・・・
posted at 10:47:07
2019年02月16日(土)3 tweetssource
@kuroneko_stacy gmailで消えてるのかも?届いてないみたい
posted at 18:04:53
@kuroneko_stacy 届いてないorz
posted at 15:24:01
今回セキュそばの受付開始メールが飛んでないのね、受付忘れるとこだったw
posted at 12:17:43
2019年02月15日(金)6 tweetssource
某氏の文章を読むと恣意的解釈しているのどっちだYo!とツッコみたくなるな、本人にツッコんでも馬の耳に念仏だからしないけどw
posted at 18:21:27
まあ、厚労省の統計データ不正みたいなことすんなと当たり前のことを言ってるんであろう。当たり前すぎてこんなん消えるはなw
posted at 17:51:26
どっちにしろバリデーションおじさんの言ってることは間違い
posted at 17:49:05
データの質の問題はアプリではどうやっても判断できないし、ISO270000シリーズはマネジメントの話だからデータの質を問題にしていてアプリにおいて許容できるデータのチェックしろじゃない気がする
posted at 17:36:40
よくよく考えるとISO27000シリーズでかつてあった入力バリデーションの項目って、データの質の話をしてるんじゃないか?例えば、統計処理を行う際、統計的に正しくない数値(要するに実データから得られた数値でなく適当な数値)を入れて、処理をするなと言ってるだけのような気がしないでもない
posted at 17:34:06
おかしな解説をしている人に正しい解説を「おかしな解説してる」と言われるほど笑えるものはないw
「それ、アンタの理解がおかしいんや!」とツッコみたいw
posted at 17:30:35
2019年02月06日(水)7 tweetssource
@s_hskz www いやぁ全くです
posted at 16:47:40
@s_hskz そうなんですよねぇ。チェリーピッキングしかしないので、正しく理解できてないのに、他人に教育しなきゃと思ってそうなのが困りものですorz
posted at 14:48:58
「処理すべきでない情報を処理しないようにバリデーションしましょう」という至極まっとうな理由なんだよね。決して「脆弱性を防ぐこと」を目的として入ってるわけではないんだな、これが
posted at 14:40:54
まあ、OさんがISO27000読めというのは自身の主張である「バリデーションはセキュリティ対策に有効」という説を補強するために使っているだけなんだよな。かつて「バリデーション」の項目は確かにあった。でも「セキュリティ対策」ではないんだよね、入った趣旨は
posted at 14:38:20
O氏が安全なアプリ開発でISO27000読めというのはおかしいと思う。ISO15408だったらまだわかる。ISO27000系はマネジメントの話であって、開発に関する話じゃないしな
posted at 14:23:39
○○様歓迎の看板は結構な割合で、他の泊り客がいないのに複数書かれていることがあるから、ダミーのケースが多いんじゃないか疑惑w
https://toyokeizai.net/articles/-/263394…
posted at 11:58:13
COBOLは宣言部分が長すぎて読む気が失せるのよね。言語自体それほど難しいものではないし、非常に大きな数値を取り扱うには便利だけどなぁ。YPSなどという使いづらいツールで書かされたことあるけど、普通にキーボードでコード書く方が分かりやすいんじゃ、ボケと何度思ったことかw
posted at 10:20:19
2019年01月25日(金)1 tweetsource
脆弱性管理において、ある脆弱性がどこから攻撃できるか?というのは対象となるものが重要なものかということと合わせて必要だと思うんだけど、どこから攻撃できるか?には無関心なケースもあるんだなぁ
posted at 17:16:23
2019年01月23日(水)4 tweetssource
では、処理すべきデータで有害なものはどうするかというと、エスケープ等で問題ない形にするんだよ。それはセキュリティとは関係なく必要なことであるんだよ。ただ、全てにおいて必要なエスケープなどの処理は大変だし、ミスで忘れることもあるから、エスケープしなくても済む方法を提示しているだけ
posted at 16:33:26
処理すべきデータであっても有害なものはあるし、処理すべきでないデータであっても無害なものもある。この辺が分かってないっポイ
posted at 16:28:41
他の文脈からすると無害というのは処理すべきでないものというわけではなさそうだし・・・
posted at 16:21:04
某氏が「入力データの妥当性保証( ≒ データがアプリにとって無害であることの保証)」と言ってるけど違うから「入力データの妥当性保証」は「データがアプリにとって処理するものであることの保証」であって、無害か有害かは関係ないから。
posted at 16:20:35
2019年01月17日(木)1 tweetsource
福島の大塩温泉のは炭酸強かった記憶がある。また行きたい
https://dailyportalz.jp/kiji/tennen-tannsan-Highball…
posted at 22:30:14
2019年01月15日(火)2 tweetssource
この問題2ケタだから100になるだけだろうと思うかもしれないけどCOBOLの場合ホントに2ケタしか数字もたないからなぁ、確か。繰上げとかなくてABENDするんじゃなかったっけ?
https://togetter.com/li/1308910
posted at 17:43:58
バリデーションおじさんはOWASPの「要件定義書」みてバリデーションが入っているから喜ぶかな?w
posted at 17:14:35
2019年01月11日(金)3 tweetssource
信頼境界の話って設計とか要求仕様においては考える必要あると思うけど、コードに落とし込む段階でこれは信頼できるから安全とかやれるかって思うし、そうじゃないだろと思う。
posted at 12:30:29
データの提供元が信頼できるかどうかの話はあるけどな。
posted at 12:25:42
アプリケーションセキュリティの実装において渡されたデータが信頼できるかどうかは関係なくて、そのデータが処理すべきものかどうかのみが重要だと思う。処理すべきデータでないにもかかわらず信頼できるから処理するとかありえないし。なので、信頼境界が重要とか言ってる人はおかしいと思う
posted at 12:24:03
2019年01月10日(木)5 tweetssource
バリデーションもエスケープも「ケアレスミス」で忘れることもあるからそのリスクを低減するためにIPAの文章があるのだと思う。その辺分かってないだろうなぁ、あの人
posted at 13:53:50
バリデーションも、エスケープもセキュリティというものとは関係なく正しく動くアプリケーションでは必要。ということが分かってなさげなのが自称セキュリティ専門家(笑)じゃないかと
posted at 13:52:04
両方とも結果としてリスクが低減されるだけであって、リスクを低減することを目的にするわけではない。なので、リスク低減だけを目的にバリデーションをしろ、エスケープしろは間違いと思う。そんなこと言うとリスクなんて受容していいからバリデーションもエスケープもいらないという主張が正しくなる
posted at 13:46:36
バリデーションの目的は処理してはいけないデータを処理しないようにすることであって、脆弱性を無くすためではない。エスケープの目的は処理すべきデータを正しく処理するために行うことであって、脆弱性を無くすためではない。
posted at 13:43:02
バリデーションおじさんのここのところの新作がIPAにケンカ売ってるし、論点がおかしいしなんだかなぁという感じ。あれを参考にしちゃダメなんだけどなぁ
posted at 13:21:11
2019年01月09日(水)1 tweetsource
https://www.amazon.co.jp/dp/B00Y0UI990
これ見て思ったけど、ガオガイガーの承認ボタンみたいなの作って、nmapとか実行するとき「承認!」とか言ってコマンド実行してみたいw
posted at 13:39:14
2019年01月08日(火)1 tweetsource
どうでもいいけど、寒いとおなかすくのが早いw カロリー消費して体あっためようとするからかな?
posted at 16:21:47
2018年12月27日(木)2 tweetssource
@sen_u スタッドレスタイヤ買っても築かれないはずですw
posted at 17:10:21
@sen_u 住めるんですね。わかります。うらやましいw
posted at 16:09:14
2018年12月26日(水)1 tweetsource
『『IPAの「安全なWebサイトの作り方」は安全な作り方のガイドではない』は読んではいけない』を書かないといけないのか?w
posted at 17:11:38
2018年12月21日(金)1 tweetsource
paypayってなんか犯罪の温床になりそうだなぁと、paypayハッシュタグ見て思った。で、即効サービス終了しそう
posted at 16:05:05
2018年12月20日(木)6 tweetssource
これ見る限りまたひどいのが出てきたなぁ
https://togetter.com/li/1297635
posted at 15:31:22
「暗号化ZIPなんてただの飾りです。えらい人にはそれが分からんのです。」
posted at 14:16:23
いい加減暗号化ZIPの別メールでのパスワード送付という馬鹿なルールやめてほしい
http://www.atmarkit.co.jp/ait/articles/1812/20/news013.html…
ZIPの暗号化パスワードってかなり簡単にわかるし、意味ないっての。でもえらい人にはそれが分からんのですorz
posted at 14:15:48
秘湯っぽくないのがいくつもあるんだけど・・・
https://www.jalan.net/news/article/293221/…
posted at 11:58:29
カードを持っているかどうかと本人かどうかを混同する回答というか書き方だなぁ
posted at 10:42:22
この言い訳はどうなんだ?
http://nlab.itmedia.co.jp/nl/articles/1812/19/news120.html…
何のためのセキュリティコード入力なんだろう?
posted at 10:33:41
2018年12月14日(金)4 tweetssource
しかし、読む価値もない文章がググったらトップに来るの何とかならんのかorz
posted at 15:57:04
SSRFでググるとまた逆転してるwOさん頑張ってSEOやったのか?w
posted at 15:34:58
日常生活に支障が出ているんじゃないかと心配するレベル
posted at 14:55:59
バリデーションおじさんの昨日の新作見て最初っから脱力したorz
A10はログを取って、監視し無いといけないよだと思うんだけど、どう読み解いたらああいう主張になるんだ?w
posted at 14:51:07
