「残念な生き物図鑑」みたいに「残念な技術者図鑑」がほんと出来そうorz
posted at 16:51:17
| Stats | Twitter歴 4,573日(2007/06/04より) |
ツイート数 18,914(4.1件/日) |
表示するツイート :
2019年12月04日(水)4 tweetssource
しかも、可能性をいろいろ考えて試すというのをしないのはどうかと思う。ホント使えないorz
posted at 14:56:24
壊れないんだから、まず、試せよ!
posted at 14:55:07
試せば5分で確認でき、コストは自分の時間以外にかからないるものをマニュアルにないからと言って試さない自称技術者は技術者じゃないと思う。
posted at 14:54:47
2019年12月03日(火)2 tweetssource
OSS何だからサポートするとこなんかないわい!
posted at 15:13:29
今日もググれカスと言いたい打合せだったorz
posted at 15:12:38
2019年12月02日(月)2 tweetssource
まったくもって使う側のこと考えてないorz
posted at 18:32:09
某脆弱性管理ツールはやはり全くイケてないorz
海原雄山みたいに、「このデザインをしたやつは誰だ?PMを呼べ」と言いたい
posted at 18:31:27
2019年11月29日(金)3 tweetssource
@uehiro ですよねぇ。みんな忙しいのか
posted at 13:51:31
あれ?今回せきゅそば参加者無茶少ない?
http://secusoba.info/?%E7%AC%AC46%E5%9B%9E%2812%E6%9C%887%E6%97%A5%29…
posted at 12:35:56
うわー時間かかるなぁ
https://www.shinmai.co.jp/news/nagano/20191128/KT191127ATI090016000.php…
posted at 09:49:36
2019年11月26日(火)2 tweetssource
しかし、リアルで「千葉県人にはそこらの草でも食わせておけ!」をやるとは
posted at 11:49:27
この八百屋もう誰も買わなくなるんじゃね?
https://www3.nhk.or.jp/news/html/20191125/k10012191051000.html…
posted at 11:45:29
2019年11月25日(月)7 tweetssource
今のJavaやPHPの環境でHTTPレスポンス分割って起こらないんじゃなかったっけ?
posted at 14:13:27
もうちょっと作った資料の説明をしてくれないと、何が何だかわからん。いやまあ類推はできっけどって感じだな。自分もこんな資料作ってないか見直そう
posted at 13:57:29
まさに「お前がそう思うんなら、そうなんだろう、お前の中ではな」と言ってやりたいw
posted at 13:37:24
しかも、そのプロジェクト誰も脆弱性を見つけようとしてないのに、脆弱性がないから大丈夫と言い切るのもかっけー(棒
今時Struts1の脆弱性は報告されてないって、当たり前やんけw
posted at 13:35:46
既にメンテされてないプロジェクトのOSSを枯れた技術でバグがほぼないステータスと言い切るのかっけー(棒
posted at 13:34:18
技術者なら自分で調べろ!と思う。ほんと、ググレカス!と言いたい
posted at 11:59:01
レベル低いところはほんとどうしようもないくらい低いなorz
で、低いだけに、自分で全く調べないorz
posted at 11:57:20
2019年11月20日(水)1 tweetsource
働きたくないでござる。働きたくないでござる。働きたくないでござる。
posted at 13:08:58
2019年11月15日(金)15 tweetssource
ツールに完全を求めるのってバカげてると思うなぁ
posted at 18:39:01
こういう話って興味ある人いるんかな?
posted at 18:26:13
ぶっちゃけ、メーカーが言うほどの効果はないと思うから、あんま期待すんなw
posted at 18:22:33
@tomoki0sanaki 今もありますけど、そっちは組み込み系で良く使われてるみたいです。知らんけど
posted at 18:19:19
それより
1. 正常系のテストだけでなく、異常系のテストを十分にする。
2.動的診断に力を入れる。
というほうが効果が高いと思う。
見つかる脆弱性は大抵異常系が発端だからね
posted at 18:16:38
十分なレベルなら、保険的に入れるというくらいであてにすべきじゃないと思うよ
posted at 18:13:01
ソースコード診断をツールで自動化したいという前にまずは自分の開発チームのレベルを知るべき。レベルが低いなら、そんなツール入れる前にレベルアップをまず図ろう
posted at 18:12:11
まあ、ソースコードの変更履歴も一緒に食わせばできるだろうけど、まあ市販のツールはそこまでやらないし
posted at 18:09:47
あ、後ソースコード検査ツールででた結果を以前検査した結果を比較してこの脆弱性は治ったとかいう機能はまず使えない。基本的にその脆弱性のあるファイルと行と関連のあるファイルと行しか情報がないので、ソースコードファイルを修正して行がずれると同じ脆弱性であっても別物として認識するから
posted at 18:08:56
個人的に技術としては面白いんだけどねぇ
posted at 18:05:56
まあ、入れるとしたら、保険レベルだろうな。でも、それにしては高いw
posted at 17:48:51
ぶっちゃけセキュリティレベルが高い開発チームでケアレスミス検知ぐらいにしか使えないと思う。セキュリティレベルが低い開発チームだと馬鹿みたいに脆弱性ですぎるから陽性と偽性の判断がつけられないからまあ使えないという評価になりそうだし
posted at 17:47:35
ふと思ったけど、ソースコードの脆弱性診断ツールっていらない子じゃね?
技術的には面白いけど、運用にはまあ乗っけられないし、費用対効果が非常に低い気が
posted at 17:04:50
最近技術に対する好奇心がなくなったら技術屋として終わりだなぁと思う、終わった技術屋orz
posted at 15:20:55
@tomoki0sanaki @ymzkei5 一つのメールの添付ファイルサイズ制限はあるでしょうけど、すべてのメールの合計ファイルサイズ制限(たぶん容量)を超えたら受け付けなくなるんじゃないか?もしかしたらチェックせずにスルーするという可能性も
posted at 12:56:40
2019年11月14日(木)5 tweetssource
@ymzkei5 大量に保持時間内にでかいサイズのパスワード付きZIPを送り付けることで、保持する領域食いつぶしそうです
posted at 15:12:02
@ymzkei5 それ、パスワードの送り忘れもあるからDoSに使えそうw
posted at 15:04:51
まず添付ファイルが取れてるんだから後からメールでパスワード送る時点で、パスワードが漏れてるし、仮にパスワードがわからなくてもオフラインで簡単にクラックできるし。リスク低減の効果なんてまずない
それをありがたがる人多いんだよねぇorz
posted at 15:01:20
ふと思ったんだけど来年のマラソン札幌でやるより白馬とか軽井沢の標高の高いところでやったほうが気温的に楽じゃね?
posted at 14:58:07
パスワード付きZIPファイルをメールで送ることをリスクを低減する方法だと考え出したバカは死ねばいいのに!
これってせっかくのゲイトウェイに置くマルウェア対策を無効化してるし、手間だけ増えて効果はほとんどない
posted at 14:53:36
2019年11月13日(水)1 tweetsource
マスコミが「プロレス野党」を生み出す - アゴラ http://agora-web.jp/archives/2042635.html…
ほんと、一度マスコミつぶれたほうがいいよ
posted at 18:06:14
2019年10月30日(水)4 tweetssource
その資産の管理者じゃないんだから、何をリスクにするのかわからんがなorz
下手に対策しなくていいといってそこから攻撃受けてしもたら、責任持てません。
posted at 13:57:29
判断基準を明確にしてから質問しろってorz
posted at 13:55:49
リスクとして対策する必要があるかの判断基準がわからんのにこういう脅威があるんですけど対策しなくてもいいですよね?と聞かれても、対策コストがそんなにかからないんなら四の五の言わずに対策しないよりしたほうがいいんじゃないとしか答えられんw
posted at 13:52:59
@kuroneko_stacy 冬の間しか工事できないとか言ってるし、ほんとに1年で治せるのか疑問だったり。でも代替交通費機関はあるみたいだけどね。20分ほど余計にかかるみたいね
posted at 11:57:30
2019年10月29日(火)3 tweetssource
復旧できんのか?今度行ったら募金しよう
https://www.shinmai.co.jp/news/nagano/20191028/KT191024ATI090030000.php…
posted at 18:22:14
全部読めないから何とも言えんけど、セッション管理に使うCookieは別なんじゃないかな?書いた人が全然理解してないんだろう
posted at 15:18:53
よし、これからはセッション管理のあるサイトにあるCookieも脆弱性として報告しよう(違います
https://www.asahi.com/articles/ASMBQ7JVNMBQULZU01H.html…
posted at 15:16:24
2019年10月18日(金)7 tweetssource
mb_ereg_replaceのeオプションってそもそもいらないんじゃない?perlで/a/b($1)/eというのが必要なのは関数bの戻り値かb($1)という変換なのかがわからないからであって、phpの場合第2引数にb("\1")か"b(\1)"とすることで区別つくし。perlの正規表現の仕様を間違ってとらえて追加した気がするなぁ
posted at 13:11:45
@tigerszk ですね。使えないと思ってたのは使い方が間違ってましたorz
posted at 12:53:14
こんなコードは危険なのね
mb_ereg_replace("x([^x]*)",'\1',"xprint \"a\";","e");
posted at 12:47:38
こういういろんなモジュールで似たような関数の整合性が取れてないのがPHPの嫌いなところ
posted at 12:43:29
@tigerszk いろいろ試したら、できましたorz
preg_replaceは確かにe修飾子は無効ですが、mb_ereg_replaceはeオプションが有効で、第二引数の内容が実行されるようです。
posted at 12:32:29
@tomoki0sanaki なるほど、そうなんですね。そういうケースが意外とあるとは知らなかったです
posted at 11:05:00
@pmakino なるほど、そういうことですか。ありがとうございます
posted at 09:24:31
