情報更新

last update 01/25 15:48

ツイート検索

 

@ikepyon
サイトメニュー
Twilogユーザー検索

Twilog

 

@ikepyon

Ikeda Masakazu@ikepyon

  • 865フォロー
  • 1,650フォロワー
  • 96リスト
Stats Twitter歴
4,620日(2007/06/04より)
ツイート数
18,969(4.1件/日)

ツイートの並び順 :

表示するツイート :

2020年01月24日(金)3 tweetssource

1月24日

@ikepyon

Ikeda Masakazu@ikepyon

原因がわかんないから、いつまでかかるかわからんのだし、わかってたらすぐにいつまでに治るとか言えるんじゃい!

posted at 16:27:13

1月24日

@ikepyon

Ikeda Masakazu@ikepyon

トラブル原因がわからないから、事象からあらゆる可能性を想定して、一つ一つ検証していくんだけど、検証した結果可能性が広がることだってあるんだから、適当なことを言うしかないんだよねw
進捗だってそうだし

posted at 15:37:27

1月24日

@ikepyon

Ikeda Masakazu@ikepyon

よくトラブル発生時に、いつまでに原因がわかるのかとか、進捗どうなってるとか聞いてくる人いるんだけど、そんなんわかるか!といつも思う。

posted at 15:36:42

2020年01月23日(木)1 tweetsource

2020年01月20日(月)1 tweetsource

2020年01月17日(金)2 tweetssource

1月17日

@ikepyon

Ikeda Masakazu@ikepyon

いまさらだけどPaidyの詐欺って業務設計の段階でセキュリティレビューしてなかったんかな?やってればこれまずいとわかる気がするんだけど

posted at 16:52:48

2020年01月16日(木)2 tweetssource

2020年01月10日(金)5 tweetssource

1月10日

@ikepyon

Ikeda Masakazu@ikepyon

その点コードを手に入れにくい産業制御機器の脆弱性ってどうやって攻撃者が手に入れるのかは興味がある。行き当たりばったりなんかなぁ?

posted at 15:43:21

1月10日

@ikepyon

Ikeda Masakazu@ikepyon

オンプレミスだから安全でOSSはコードが公開されているから危険なんてことはなく、オンプレミスでもバイナリコードであっても手に入れられたら、手間の問題だけで大きく変わらないと思うよ。

posted at 15:40:48

1月10日

@ikepyon

Ikeda Masakazu@ikepyon

@tomoki0sanaki パスワードが漏洩するリスクじゃないです。漏洩したパスワードを変更するための手間、漏洩したパスワードを使い続けることによってそのパスワードが守っている資産に対するリスクの問題と思います

posted at 09:06:25

2020年01月09日(木)17 tweetssource

1月9日

@ikepyon

Ikeda Masakazu@ikepyon

まあ、個人的にはどうでもいいけど、メンテナンスのこと考えたら、ハードコードしないほうがいいでしょ、ちょっとの手間なんだから、次からは別に持っとけばってレベル
まあこれを絶対に直さなきゃいけないわけでもないので指摘はしても、直さなくてもいいよって感じ

posted at 16:58:37

1月9日

@ikepyon

Ikeda Masakazu@ikepyon

ほんとにハードコードされてるパスワードがあって指摘すると、「サーバーのアプリだし何が悪いの?」みたいに言われるんだけど、「何らかの原因で漏洩したらパスワード変えなきゃいけないけど、その手間大変だよね?」と言っても理解してもらえないこともあったり…

posted at 16:41:21

1月9日

@ikepyon

Ikeda Masakazu@ikepyon

SASTツールで「パスワードがハードコードされてる」って出すこと多いんだけど、大抵変数名がPASSWORDとかだけで引っ掛けてて、パラメーター名とかでも容赦なく報告するのでめっちゃめんどくさいw

posted at 16:38:57

1月9日

@ikepyon

Ikeda Masakazu@ikepyon

推測可能なものでMD5やらでハッシュ化したものだけ見ても、それだけ見たら推測可能かどうかわからんから、それをセッションIDに使っててもDASTだけだとスルーしちゃうよなぁ

posted at 15:08:28

1月9日

@ikepyon

Ikeda Masakazu@ikepyon

学校では知ってるか知らないかが重要であって、きちんと物事を考えているか、考えてないかはあまり重要じゃないからなぁ。
まあ、考えられない人が出るのもしょうがない気がしないでもないけど、社会に出てそれはアカンやろ

posted at 14:15:40

1月9日

@ikepyon

Ikeda Masakazu@ikepyon

あることを知ってるか知らないかはまあ知ればいいことなのでまあ深くは突っ込まないけど、何も考えないというのはさすがに面倒見切れない。いやまあ、まず思いつくことをあてもなく手当たり次第にやるというのもどうかと思う。それ最後の手段やぞ

posted at 14:11:52

1月9日

@ikepyon

Ikeda Masakazu@ikepyon

「ご存じの通り」って、「まあ知ってるだろうけど、知らなかったら悪いので、念のために言っとくね」という意味でほぼ使ってるんだけど、「こんなこともわからんのか馬鹿野郎!」という意味でつけることがあるとは思わなんだw

posted at 13:28:29

1月9日

@ikepyon

Ikeda Masakazu@ikepyon

@jr9qnj まず、試せば五分もかからず確認できることを試さず人に質問する。ちょっとググればわかることも質問する。細かい手順を作ると大変だから、他の人ならだれでもわかる大まかな手順を示したら、何もできなくて細かい手順を要求するみたいなレベル

posted at 12:53:14

1月9日

@ikepyon

Ikeda Masakazu@ikepyon

まあ、無駄な向上心があれば方向性のアドバイスぐらいしてどうなるか様子を見ようとは思うけど、それすらないしなorz
ここまで感じる人初めてだw

posted at 12:22:40

1月9日

@ikepyon

Ikeda Masakazu@ikepyon

マジで自分が同じチームで仕事してたら、この人に技術的な仕事頼めないから変えてと言いたくなるレベル。派遣とかだったら、解雇してとお願いするレベルだよorz

posted at 12:20:57

1月9日

@ikepyon

Ikeda Masakazu@ikepyon

お前の頭の中は脳細胞じゃなくてお味噌が詰まってるんじゃないか?と言いたくなる事象が発生orz
マジで頭勝ち割ってやりたいorz
こんなバカって存在可能なんだw

posted at 12:10:02

2020年01月08日(水)12 tweetssource

1月8日

@ikepyon

Ikeda Masakazu@ikepyon

お金がかかるとか、試すと壊れるとか、再テストできないとか、試すと結果が出るのに数日かかるとかそんなんじゃなければ、聞いて回答もらうより前に試せばいいだろと、残念な技術者に対して思う

posted at 17:50:06

1月8日

@ikepyon

Ikeda Masakazu@ikepyon

生年月日や大まかな住所は秘密の質問の答えにしてたりするとパスワード変更されたりするアプリがあったりして、と思った今日この頃

posted at 17:06:30

1月8日

@ikepyon

Ikeda Masakazu@ikepyon

SASTツール使ってると、MD5使うなコラ!とか、乱数が推測されっぞコラ!とかなり出てくるんだけど、仕様でしょうがなかったり、別に暗号なんかで使ってないから問題なかったりで、いつも、めんどーと思うw

posted at 16:38:34

1月8日

@ikepyon

Ikeda Masakazu@ikepyon

やはり、某社のサポートすると精神がガリガリ削られるorz
あのさぁ、技術者名乗るならもうちょっと使ってるものの知識漬けようよ

posted at 14:07:10

1月8日

@ikepyon

Ikeda Masakazu@ikepyon

マジで技術者辞めて他の職に転職を勧めたい人がいるorz
もうさ、付き合うこっちがつらいから辞めてほしいorz

posted at 13:51:21

2019年12月26日(木)1 tweetsource

2019年12月25日(水)1 tweetsource

2019年12月20日(金)2 tweetssource

2019年12月13日(金)8 tweetssource

12月13日

@ikepyon

Ikeda Masakazu@ikepyon

@flash_takahashi 社内ルールで決まっているから、何のためかわからんけど、脆弱性診断を実施するという認識しかないのでしょう。意外とこういうところって多いような気がします。

posted at 15:21:29

12月13日

@ikepyon

Ikeda Masakazu@ikepyon

@flash_takahashi 自社のネットワーク構造と仕様は理解していると思いますよ。聞くとちゃんと説明できますもん
結局、脆弱性診断をすることが目的になっていて、何のために脆弱性診断をするのかがわかってないのだと思います。

posted at 15:06:55

12月13日

@ikepyon

Ikeda Masakazu@ikepyon

@flash_takahashi お縄になりたくないw
こういうとこってAKAMAI以外からの通信落としているからつながらないのが普通で、動いてることを確認のために連絡すると、穴をあけてくれるんだけど、いったい何のリスクを知りたいのだろうと不安になりますw

posted at 14:58:49

12月13日

@ikepyon

Ikeda Masakazu@ikepyon

これで診断お願いします。と言ってFQDN渡されて、名前解決するとそのIPアドレスがAKAMAIだったことあるんだが、あんたはうちを犯罪者にするつもりかいorz

posted at 14:34:27

12月13日

@ikepyon

Ikeda Masakazu@ikepyon

まあ、NATでパケットをそのまま流しているならFWのIPアドレスもわからんでもない。LBもHTTPS通信ならまあなんとか、でもHTTPだと意味がそれほどあるようには思えんw

posted at 14:11:08

12月13日

@ikepyon

Ikeda Masakazu@ikepyon

LBやFWの後ろにあるサーバーの脆弱性を知りたいといってるにもかかわらずLBやらFWのIPアドレスを言ってくるところがあるんだけど、それを指摘すると何か問題でも?みたいなぴゅあな回答が返ってくるんですがorz

posted at 13:48:54

12月13日

@ikepyon

Ikeda Masakazu@ikepyon

脆弱性診断を実施するにしても何の脆弱性を発見したいのか?を考えずにとりあえず、これが外からサーバーに接続するためのIPアドレスだからという理由だけで、ロードバランサやらFirewallを診断対象とするのはどうしてだろう?あなたはFWやLBの脆弱性を見つけたいんですか?

posted at 13:46:03

このページの先頭へ