サーバサイドでJWTの即時無効化機能を持っていないサービスは脆弱なのか？ - くろの雑記帳

2022/04/18 179 users ステートレス JWT サーバサイド グロ OWASP TOP

きっかけ 昨年(2021年9月ごろ)に徳丸さんのこのツイートを見て、「2022年にはJWTを用いたセッション管理に代表される、ステートレスなセッション管理は世の中に受け入れられなくなっていくのだろうか？」と思っていました。 OWASP Top 10 2021 A1に「JWT tokens should be invalidated on the server after logout.」（... 続きを読む

ajitofm 47: セキュリティと利便性、脆弱性診断

2019/07/29 14 users セキュリティ 脆弱性診断 利便性 徳丸 Kindleストア

徳丸さん、co3kさん、makogaさんと7pay、セキュリティと利便性、セッション長、脆弱性診断などについて話しました。 体系的に学ぶ 安全なWebアプリケーションの作り方 第2版［リフロー版］　脆弱性が生まれる原理と対策の実践 | 徳丸 浩 | プログラミング | Kindleストア | Amazon 7payの「二段階認証導入」は正解か？　... 続きを読む

調べてみた「Double Submit Cookie」とは？ - アルパカログ

2019/01/13 12 users アルパカログ OWASP CSRF REST 著者

Double Submit Cookie は OWASP が提唱する CSRF 対策の1つで、『安全なWebアプリケーションの作り方』の著者である徳丸さんはブログで、 Double Submit Cookieは、サーバー側で状態を保持する必要が無いため、RESTとの相性が良いというのも最近好まれる理由かと思いますが、外部からクッキーを変更されないことを前提し... 続きを読む

徳丸浩さん，著名PHPアプリの脆弱性に学ぶセキュアコーディングの原則 〜PHPカンファレンス2017 ゲストスピーカーセッション：PHPカンファレンス2017 レポート｜gihyo.jp … 技術評論社

2017/11/01 26 users セキュアコーディング 本稿 PHPアプリケーション 王道 原則

2017年10月8日， 東京・ 大田区産業プラザPiOにて， PHPカンファレンス2017 が開催されました。本稿では， ゲストスピーカーセッションであるEGセキュアソリューションズ株式会社 代表取締役 徳丸浩さんの講演 「著名PHPアプリの脆弱性に学ぶセキュアコーディングの原則」 をレポートします。 著名なPHPアプリケーションでも脆弱性を狙った攻撃が絶えません。徳丸さんは 「脆弱性対処の王道は... 続きを読む

徳丸さんのブログに対するコメント | yohgaki's blog

2015/06/30 54 users yohgaki's blog コメント ブログ

sha1がトークン、createdが生成日時を保持します。 シンプルな構造ですが、これだとトークンは、ユーザーやセッションを超えて、アプリケーション全体で共通になっています。これはまずそうですね。 トークンをホテルの部屋の鍵に例えると、こうです。大垣方式の鍵は、ホテルの全ての部屋に共通で使える鍵です。本来は、鍵は特定の1部屋のみに使えるべきですが、そうなっていないのです複数ユーザーの場合、セッショ... 続きを読む

徳丸さんのブログでの全く間違った指摘に対するコメント | yohgaki's blog

2015/06/30 54 users yohgaki's blog 指摘 トークン 余地 定義

徳丸さんとは論理的に議論をする余地がないので、議論をするつもりは全くありません。しかし、完全に間違った指摘をされているのでコメントしておきます。問題のブログはこちらです。書籍『Webアプリケーションセキュリティ対策入門』のCSRF脆弱性トークンの有効範囲は?トークンがDBに保存される場合、トークンの有効範囲が気になるところです。大垣本および第二版のソースを見ると、トークンを保存するテーブルの定義は... 続きを読む

エンジニアのための法律勉強会 #2『判例に学ぶ、受託開発における注意事項』 - Co-Edo Developers | Doorkeeper

2015/03/06 25 users Doorkeeper Co-Edo 野島 判例 梨恵氏

起業して受託開発や準委任契約による開発を行うフリーランス等のエンジニア・デザイナーの方々のために行っている「法律や契約についての勉強会」の第2弾です！ 講師は野島 梨恵氏（東京山王法律事務所） IT系勉強会が数多く開催されているCo-Edoらしく、参加者からの具体的な事例を交えて学べる勉強会にしていきたいと思います。 第2回のテーマ『判例に学ぶ、受託開発における注意事項』 先日の徳丸さんの記事で話... 続きを読む

徳丸浩氏との長年の議論に終止符 – 論理的／体系的セキュリティとそれ以外 | yohgaki's blog

2015/02/15 168 users 終止符 徳丸浩氏 WAF yohgaki's blog 議論

私が長年徳丸さんと議論していることをご存知の方も多いと思います。徳丸さんがなぜ論理的に矛盾する主張、明らかにセキュリティ標準規格／ベストプラクティスに反する主張を繰り返えしたのか、その理由が判明しました。それと同時に長年の議論に終止符が打たれ、徳丸さんの考えを完全に理解することができましたと思われます。 徳丸さんがセキュリティ対策製品であるWAF（Web Application Firewall）... 続きを読む

【勉強会】本音をぶっちゃけ! 帰ってきたセキュリティ三銃士座談会 - toto_1212

2015/02/14 29 users 本音 スライド セキュリティ界隈 パネル セキュリティ

2015-02-14 【勉強会】本音をぶっちゃけ! 帰ってきたセキュリティ三銃士座談会 勉強会 セキュリティ 「本音をぶっちゃけ! 帰ってきたセキュリティ三銃士座談会　―2014年を振り返り、2015年を予測する」に行ってきました。徳丸さん、根岸さん、辻さんというセキュリティ界隈の大御所達のパネルで大変面白い話が聞けました。スライドが無く聞きながら記録したので雑な点、表現がおかしな点がありますがメ... 続きを読む

SQLインジェクション対策漏れが重過失認定された判決文を読んだメモ | F's Garage＠fshin2000

2015/01/23 30 users F's Garage＠fshin2000 重過失 徳丸浩

徳丸さんの記事をたどって、判決文読んだ。 SQLインジェクション対策もれの責任を開発会社に問う判決 | 徳丸浩の日記 技術面に限った僕的解釈メモ（あくまで個人的な読書メモですので、正確な内容はこちらをご参考ください） ・カード番号の保存は、売り掛け金についてのカード業者を特定するための仕様追加。 ・決済業者へのリンク型の決済を、自社サーバ経由の決済に切り替えた時に全てのカード情報を保存していた。 ... 続きを読む

INSERT文にSQLインジェクション脆弱性があるとどんな被害が出るのか？ — A Day in Serenity (Reloaded) — PHP, FuelPHP, Linux or something

2015/01/06 62 users ockeghem Reloaded 徳丸 Form 悪用

INSERT文の悪用の可能性について回答しました SQLインジェクションについて教えて下さい<form><th>ご住所... - Yahoo!知恵袋 http://t.co/VXtAcXiAVs— 徳丸　浩 (@ockeghem) 2015, 1月 6 という徳丸さんのツイートがありましたので、ちょっと考えてみました。 サンプルコード 上記の質問にあるコードを動作するように最低限補完しました。 <... 続きを読む

他の言語利用者の芽を来にしているのか、PHPをメインに使ってるのにPHPをバカにしている人たちがいますよね。Mなんでしょうか？徳丸さんは胸を張ってPHPが好きと言えますか？ | ask.fm/tokumar

2014/10/19 83 users moriyoshit 徳丸 PHP 昼食 メイン

他の言語利用者の芽を来にしているのか、PHPをメインに使ってるのにPHPをバカにしている人たちがいますよね。Mなんでしょうか？徳丸さんは胸を張ってPHPが好きと言えますか？ 徳丸はPHPが好きか? ですが、元はそんなこと意識してなかったんです。日本のPHPコミッターの一人にコイズミモリヨシ( ‎@moriyoshit )という男がいますが、たまたま彼と昼食が一緒になる機会があって、その席で彼からぼ... 続きを読む

PHPカンファレンス2014でHHVM/Hackの話を聞いて感動した - As a Futurist...

2014/10/11 320 users hack Faceb PHPアプリケーション 言語 時点

As a Futurist… 人の興味は尽きることがない．いや，興味を無くした時点で人で無くなる．永遠の「知りたい」を追求するブログ． Profile Work 使える言語の幅を広げたいと思ってPHPカンファレンス2014に参加してきました。徳丸さんの「安全なPHPアプリケーションの作り方2014」は改めて自分のセキュリティの知識を確かめるのに大変有意義だったのですが、何より感動したのがFaceb... 続きを読む

パスワード定期的変更の効能について徳丸さんに聞いてみた | 徳丸浩の日記

2014/09/10 490 users 徳丸浩 徳丸 効能 パスワード定期的変更 高橋

2014年9月10日水曜日 パスワード定期的変更の効能について徳丸さんに聞いてみた 高橋: こんにちは、高橋です。今日は徳丸さんをお招きして、今話題のパスワードの定期的変更について、本当のところ効果がないのか、その効能についてご説明いただきます。徳丸さん、よろしくお願いします。 徳丸: 徳丸です。いつもはパスワードの定期的変更にはあまり意味がないと主張していますが、今日はパスワードの定期的変更を擁... 続きを読む

模倣サイトとして各所から注意喚起が出されているサイトについて徳丸さんに聞いてみた | 徳丸浩の日記

2014/08/25 148 users 徳丸浩 各所 徳丸 日本銀行 注意喚起

2014年8月25日月曜日 模倣サイトとして各所から注意喚起が出されているサイトについて徳丸さんに聞いてみた 高橋: こんにちは、高橋です。今日は徳丸さんをお招きして、今話題の『模倣サイトとして各所から注意喚起が出されているサイト』についてお話を伺います。徳丸さん、よろしくお願いします。 徳丸: 徳丸です。よろしくお願いします。 高橋: まず問題のサイトですが、NTT東日本、NTTドコモ、日本銀行... 続きを読む

ANAマイレージクラブのログインを少しでも安全にする運用を考えてみたが見つからない | 徳丸浩の日記

2014/03/17 38 users ANAマイレージクラブ 徳丸浩 ITpro AMC 運用

2014年3月17日月曜日 ANAマイレージクラブのログインを少しでも安全にする運用を考えてみたが見つからない 既に「ANAの不正ログイン事件について徳丸さんに聞いてみた」で書いたように、ANAマイレージクラブ(AMC)のWebサイトに不正アクセスがあり、利用者 9人、計112万マイルがiTunesギフトコードに不正交換されました。ITproの記事を引用します。 ANAに申告があった9人分、計11... 続きを読む

ANAの不正ログイン事件について徳丸さんに聞いてみた | 徳丸浩の日記

2014/03/13 172 users 徳丸浩 ANA 徳丸 ANAマイレージクラブ マイレージ

2014年3月13日木曜日 ANAの不正ログイン事件について徳丸さんに聞いてみた 高橋: こんにちは、高橋です。先月に引き続き徳丸さんをお招きして、今度はANAの不正ログイン事件についてお話を伺います。徳丸さん、よろしくお願いします。 徳丸: 徳丸です。よろしくお願いします。 高橋: まず、事件の概要を説明します。「ANAマイレージクラブ」のWebサイトに不正ログインがあり、顧客9人のマイレージ、... 続きを読む

mb_send_mail()，mail()で第5引数を設定する際の注意点 - t_komuraの日記

2013/12/23 54 users t_komura mail php.ini Sendmail

以下の徳丸さんの記事を読んで、以前にmb_send_mail()の関連で調べたことがあったのを思い出しましたので、少し書きます。PHPだってシェル経由でないコマンド呼び出し機能が欲しい環境は Unix 系の OS で OS コマンドを使用してメールを送信する場合です。メール送信コマンドは php.ini で sendmail_path を設定します(デフォルト: "sendmail -t -i")... 続きを読む

Kazuho's Weblog: パスワードが漏洩しないウェブアプリの作り方 〜 ソルトつきハッシュで満足す る前に考えるべきこと

2013/11/20 24 users ウェブアプリ ウェブアプリケーション 序論 論調 スライド

パスワードが漏洩しないウェブアプリの作り方 〜 ソルトつきハッシュで満足す る前に考えるべきこと ■■序論 徳丸さんのスライド「いまさら聞けないパスワードの取り扱い方」に見られるように、昨今、ウェブアプリケーションの設計要件として、サーバ内に侵入された場合でもユーザーのパスワードをできるだけ保護すべきという論調が見受けられるようになってきました。 上掲のスライドでは、その手法としてソルトつきハッシ... 続きを読む

Kazuho's Weblog: パスワードが漏洩しないウェブアプリの作り方 〜 ソルトつきハッシュで満足する前に考えるべきこと

2013/11/20 569 users ウェブアプリ ウェブアプリケーション 序論 Thursday

Thursday, November 21, 2013 パスワードが漏洩しないウェブアプリの作り方 〜 ソルトつきハッシュで満足する前に考えるべきこと ■■序論 徳丸さんのスライド「いまさら聞けないパスワードの取り扱い方」に見られるように、昨今、ウェブアプリケーションの設計要件として、サーバ内に侵入された場合でもユーザーのパスワードをできるだけ保護すべきという論調が見受けられるようになってきました... 続きを読む

世の中に満ち溢れる「パスワードの定期的変更」についてまとめてみた。 - piyolog

2013/09/07 223 users Twitter piyolog 考察 組織 パスワード

調べてみた | 11:23 | いつも盛り上がる「パスワードの定期的な変更」ネタですが、多くの組織でこの対策が推奨されているということをTwitterで知りました。ここではパスワードの定期的変更についてまとめます。パスワードの定期的変更の考察・関連記事まずはここを読みましょう。 Bruce Schneier Schneier on Security: Changing Passwords 徳丸さん... 続きを読む

「パスワードの定期的変更」は基本的には無意味 | スラッシュドット・ジャパン セキュリティ

2013/08/12 48 users 無意味 スラッシュドット・ジャパン パスワー セキュリティ

あるAnonymous Cowardのタレコミより。セキュリティ研究家の徳丸浩氏が、「パスワードの定期的変更は無意味である」という理由について語っている（パスワードの定期的変更について徳丸さんに聞いてみた(1)、パスワードの定期的変更について徳丸さんに聞いてみた(2)）。 アカウントのセキュリティ対策の1つとして、パスワードを定期的に変更するというのは昔から提唱されている。OSによっては、パスワー... 続きを読む

パスワードの定期的変更について徳丸さんに聞いてみた(2) | 徳丸浩の日記

2013/08/08 132 users 事後 徳丸浩 結論 高橋 前回

2013年8月8日木曜日 パスワードの定期的変更について徳丸さんに聞いてみた(2) 高橋: こんにちは、高橋です。前回に引き続き、徳丸さんをお招きして、パスワードの定期的変更問題についてお話を伺います。徳丸さん、よろしくお願いします。 徳丸: はい。よろしくお願いします。 高橋: 前回は、「オンライン攻撃に対する予防としてパスワードの定期的変更は意味がない」という結論でしたが、今回は、事後の被害軽... 続きを読む

Twitter / KINGSOFT_PR: ockeghem 一般的なユーザーにおいてはそれでもパスワ ...

2013/08/06 9 users 本文 http パスワ パスワード Twitter

キングソフト広報さん、そんなこと書いてないのですが、本文を読んでおられない? RT @KINGSOFT_PR: パスワードを定期的に変更することの大切さがわかります　パスワードの定期的変更について徳丸さんに聞いてみた(1) http://blog.tokumaru.org/2013/08/1.html 続きを読む

パスワードの定期的変更について徳丸さんに聞いてみた(1) | 徳丸浩の日記

2013/08/05 590 users 徳丸浩 徳丸 パスワード 根拠 高橋

2013年8月5日月曜日 パスワードの定期的変更について徳丸さんに聞いてみた(1) 高橋: こんにちは、高橋です。今日は徳丸さんをお招きして、パスワードの定期的変更問題についてお話を伺います。徳丸さん、よろしくお願いします。 徳丸: 徳丸です。よろしくお願いします。 高橋: まず、お伺いしたいことですが、パスワードを定期的に変更すべしという根拠には、どのようなものがあるのでしょうか? 徳丸: 大き... 続きを読む