サーバサイドでJWTの即時無効化機能を持っていないサービスは脆弱なのか？ - くろの雑記帳

2022/04/18 179 users ステートレス JWT サーバサイド グロ OWASP TOP

きっかけ 昨年(2021年9月ごろ)に徳丸さんのこのツイートを見て、「2022年にはJWTを用いたセッション管理に代表される、ステートレスなセッション管理は世の中に受け入れられなくなっていくのだろうか？」と思っていました。 OWASP Top 10 2021 A1に「JWT tokens should be invalidated on the server after logout.」（... 続きを読む

徳丸さんのブログに対するコメント | yohgaki's blog

2015/06/30 54 users yohgaki's blog コメント ブログ

sha1がトークン、createdが生成日時を保持します。 シンプルな構造ですが、これだとトークンは、ユーザーやセッションを超えて、アプリケーション全体で共通になっています。これはまずそうですね。 トークンをホテルの部屋の鍵に例えると、こうです。大垣方式の鍵は、ホテルの全ての部屋に共通で使える鍵です。本来は、鍵は特定の1部屋のみに使えるべきですが、そうなっていないのです複数ユーザーの場合、セッショ... 続きを読む

徳丸さんのブログでの全く間違った指摘に対するコメント | yohgaki's blog

2015/06/30 54 users yohgaki's blog 指摘 トークン 余地 定義

徳丸さんとは論理的に議論をする余地がないので、議論をするつもりは全くありません。しかし、完全に間違った指摘をされているのでコメントしておきます。問題のブログはこちらです。書籍『Webアプリケーションセキュリティ対策入門』のCSRF脆弱性トークンの有効範囲は?トークンがDBに保存される場合、トークンの有効範囲が気になるところです。大垣本および第二版のソースを見ると、トークンを保存するテーブルの定義は... 続きを読む

徳丸浩氏との長年の議論に終止符 – 論理的／体系的セキュリティとそれ以外 | yohgaki's blog

2015/02/15 168 users 終止符 徳丸浩氏 WAF yohgaki's blog 議論

私が長年徳丸さんと議論していることをご存知の方も多いと思います。徳丸さんがなぜ論理的に矛盾する主張、明らかにセキュリティ標準規格／ベストプラクティスに反する主張を繰り返えしたのか、その理由が判明しました。それと同時に長年の議論に終止符が打たれ、徳丸さんの考えを完全に理解することができましたと思われます。 徳丸さんがセキュリティ対策製品であるWAF（Web Application Firewall）... 続きを読む

INSERT文にSQLインジェクション脆弱性があるとどんな被害が出るのか？ — A Day in Serenity (Reloaded) — PHP, FuelPHP, Linux or something

2015/01/06 62 users ockeghem Reloaded 徳丸 Form 悪用

INSERT文の悪用の可能性について回答しました SQLインジェクションについて教えて下さい<form><th>ご住所... - Yahoo!知恵袋 http://t.co/VXtAcXiAVs— 徳丸　浩 (@ockeghem) 2015, 1月 6 という徳丸さんのツイートがありましたので、ちょっと考えてみました。 サンプルコード 上記の質問にあるコードを動作するように最低限補完しました。 <... 続きを読む

他の言語利用者の芽を来にしているのか、PHPをメインに使ってるのにPHPをバカにしている人たちがいますよね。Mなんでしょうか？徳丸さんは胸を張ってPHPが好きと言えますか？ | ask.fm/tokumar

2014/10/19 83 users moriyoshit 徳丸 PHP 昼食 メイン

他の言語利用者の芽を来にしているのか、PHPをメインに使ってるのにPHPをバカにしている人たちがいますよね。Mなんでしょうか？徳丸さんは胸を張ってPHPが好きと言えますか？ 徳丸はPHPが好きか? ですが、元はそんなこと意識してなかったんです。日本のPHPコミッターの一人にコイズミモリヨシ( ‎@moriyoshit )という男がいますが、たまたま彼と昼食が一緒になる機会があって、その席で彼からぼ... 続きを読む

PHPカンファレンス2014でHHVM/Hackの話を聞いて感動した - As a Futurist...

2014/10/11 320 users hack Faceb PHPアプリケーション 言語 時点

As a Futurist… 人の興味は尽きることがない．いや，興味を無くした時点で人で無くなる．永遠の「知りたい」を追求するブログ． Profile Work 使える言語の幅を広げたいと思ってPHPカンファレンス2014に参加してきました。徳丸さんの「安全なPHPアプリケーションの作り方2014」は改めて自分のセキュリティの知識を確かめるのに大変有意義だったのですが、何より感動したのがFaceb... 続きを読む

パスワード定期的変更の効能について徳丸さんに聞いてみた | 徳丸浩の日記

2014/09/10 490 users 徳丸浩 徳丸 効能 パスワード定期的変更 高橋

2014年9月10日水曜日 パスワード定期的変更の効能について徳丸さんに聞いてみた 高橋: こんにちは、高橋です。今日は徳丸さんをお招きして、今話題のパスワードの定期的変更について、本当のところ効果がないのか、その効能についてご説明いただきます。徳丸さん、よろしくお願いします。 徳丸: 徳丸です。いつもはパスワードの定期的変更にはあまり意味がないと主張していますが、今日はパスワードの定期的変更を擁... 続きを読む

模倣サイトとして各所から注意喚起が出されているサイトについて徳丸さんに聞いてみた | 徳丸浩の日記

2014/08/25 148 users 徳丸浩 各所 徳丸 日本銀行 注意喚起

2014年8月25日月曜日 模倣サイトとして各所から注意喚起が出されているサイトについて徳丸さんに聞いてみた 高橋: こんにちは、高橋です。今日は徳丸さんをお招きして、今話題の『模倣サイトとして各所から注意喚起が出されているサイト』についてお話を伺います。徳丸さん、よろしくお願いします。 徳丸: 徳丸です。よろしくお願いします。 高橋: まず問題のサイトですが、NTT東日本、NTTドコモ、日本銀行... 続きを読む

ANAの不正ログイン事件について徳丸さんに聞いてみた | 徳丸浩の日記

2014/03/13 172 users 徳丸浩 ANA 徳丸 ANAマイレージクラブ マイレージ

2014年3月13日木曜日 ANAの不正ログイン事件について徳丸さんに聞いてみた 高橋: こんにちは、高橋です。先月に引き続き徳丸さんをお招きして、今度はANAの不正ログイン事件についてお話を伺います。徳丸さん、よろしくお願いします。 徳丸: 徳丸です。よろしくお願いします。 高橋: まず、事件の概要を説明します。「ANAマイレージクラブ」のWebサイトに不正ログインがあり、顧客9人のマイレージ、... 続きを読む

mb_send_mail()，mail()で第5引数を設定する際の注意点 - t_komuraの日記

2013/12/23 54 users t_komura mail php.ini Sendmail

以下の徳丸さんの記事を読んで、以前にmb_send_mail()の関連で調べたことがあったのを思い出しましたので、少し書きます。PHPだってシェル経由でないコマンド呼び出し機能が欲しい環境は Unix 系の OS で OS コマンドを使用してメールを送信する場合です。メール送信コマンドは php.ini で sendmail_path を設定します(デフォルト: "sendmail -t -i")... 続きを読む

Kazuho's Weblog: パスワードが漏洩しないウェブアプリの作り方 〜 ソルトつきハッシュで満足する前に考えるべきこと

2013/11/20 569 users ウェブアプリ ウェブアプリケーション 序論 Thursday

Thursday, November 21, 2013 パスワードが漏洩しないウェブアプリの作り方 〜 ソルトつきハッシュで満足する前に考えるべきこと ■■序論 徳丸さんのスライド「いまさら聞けないパスワードの取り扱い方」に見られるように、昨今、ウェブアプリケーションの設計要件として、サーバ内に侵入された場合でもユーザーのパスワードをできるだけ保護すべきという論調が見受けられるようになってきました... 続きを読む

世の中に満ち溢れる「パスワードの定期的変更」についてまとめてみた。 - piyolog

2013/09/07 223 users Twitter piyolog 考察 組織 パスワード

調べてみた | 11:23 | いつも盛り上がる「パスワードの定期的な変更」ネタですが、多くの組織でこの対策が推奨されているということをTwitterで知りました。ここではパスワードの定期的変更についてまとめます。パスワードの定期的変更の考察・関連記事まずはここを読みましょう。 Bruce Schneier Schneier on Security: Changing Passwords 徳丸さん... 続きを読む

パスワードの定期的変更について徳丸さんに聞いてみた(2) | 徳丸浩の日記

2013/08/08 132 users 事後 徳丸浩 結論 高橋 前回

2013年8月8日木曜日 パスワードの定期的変更について徳丸さんに聞いてみた(2) 高橋: こんにちは、高橋です。前回に引き続き、徳丸さんをお招きして、パスワードの定期的変更問題についてお話を伺います。徳丸さん、よろしくお願いします。 徳丸: はい。よろしくお願いします。 高橋: 前回は、「オンライン攻撃に対する予防としてパスワードの定期的変更は意味がない」という結論でしたが、今回は、事後の被害軽... 続きを読む

パスワードの定期的変更について徳丸さんに聞いてみた(1) | 徳丸浩の日記

2013/08/05 590 users 徳丸浩 徳丸 パスワード 根拠 高橋

2013年8月5日月曜日 パスワードの定期的変更について徳丸さんに聞いてみた(1) 高橋: こんにちは、高橋です。今日は徳丸さんをお招きして、パスワードの定期的変更問題についてお話を伺います。徳丸さん、よろしくお願いします。 徳丸: 徳丸です。よろしくお願いします。 高橋: まず、お伺いしたいことですが、パスワードを定期的に変更すべしという根拠には、どのようなものがあるのでしょうか? 徳丸: 大き... 続きを読む

text.ssig33.com - Shibuya.XSS に行ってきた。

2012/04/05 57 users Shibuya.xss text.ssig33.com

Shibuya.XSS に行ってきた。 徳丸さんの隣に居座って膨大な量の酒を飲んだ。 発表内容については、書けないことが多いし、書けないことが多いなか纏めている人がいるので、そういうのを適宜参照してほしく思う。 小保田さんのエントリあたりがよくまとまっている。 以下考えたこと。 1. 「素人」の話 割と真剣に伝えたいこと。セキュリティの話突き詰めてくと素人はアプリ書くな!!ってなりがちなんだけど、... 続きを読む

evernoteのテキストをevernote社の管理者にも見えないように暗号化する - ockeghem(徳丸浩)の日記

2011/04/20 512 users Evernote ockeghem 徳丸浩 エントリ CEO

このエントリでは、evernoteクライアントを使って、evernote社にも復号できない状態でテキストを暗号化する方法について紹介します。昨日、EvernoteのXSS問題に関連して、「Evernoteの開発者も徳丸本読んでいたらよかったのにね」などとつぶやいていたら、「EvernoteのCEOが徳丸さんに会いたがっている」という連絡をもらいました。こういうのは異例のことでちょっと悩みましたが、... 続きを読む