パスワードの定期的変更について徳丸さんに聞いてみた(1) | 徳丸浩の日記

2013/08/05 590 users 徳丸浩 徳丸 パスワード 根拠 高橋

2013年8月5日月曜日 パスワードの定期的変更について徳丸さんに聞いてみた(1) 高橋: こんにちは、高橋です。今日は徳丸さんをお招きして、パスワードの定期的変更問題についてお話を伺います。徳丸さん、よろしくお願いします。 徳丸: 徳丸です。よろしくお願いします。 高橋: まず、お伺いしたいことですが、パスワードを定期的に変更すべしという根拠には、どのようなものがあるのでしょうか? 徳丸: 大き... 続きを読む

Kazuho's Weblog: パスワードが漏洩しないウェブアプリの作り方 〜 ソルトつきハッシュで満足する前に考えるべきこと

2013/11/20 569 users ウェブアプリ ウェブアプリケーション 序論 Thursday

Thursday, November 21, 2013 パスワードが漏洩しないウェブアプリの作り方 〜 ソルトつきハッシュで満足する前に考えるべきこと ■■序論 徳丸さんのスライド「いまさら聞けないパスワードの取り扱い方」に見られるように、昨今、ウェブアプリケーションの設計要件として、サーバ内に侵入された場合でもユーザーのパスワードをできるだけ保護すべきという論調が見受けられるようになってきました... 続きを読む

evernoteのテキストをevernote社の管理者にも見えないように暗号化する - ockeghem(徳丸浩)の日記

2011/04/20 512 users Evernote ockeghem 徳丸浩 エントリ CEO

このエントリでは、evernoteクライアントを使って、evernote社にも復号できない状態でテキストを暗号化する方法について紹介します。昨日、EvernoteのXSS問題に関連して、「Evernoteの開発者も徳丸本読んでいたらよかったのにね」などとつぶやいていたら、「EvernoteのCEOが徳丸さんに会いたがっている」という連絡をもらいました。こういうのは異例のことでちょっと悩みましたが、... 続きを読む

パスワード定期的変更の効能について徳丸さんに聞いてみた | 徳丸浩の日記

2014/09/10 490 users 徳丸浩 徳丸 効能 パスワード定期的変更 高橋

2014年9月10日水曜日 パスワード定期的変更の効能について徳丸さんに聞いてみた 高橋: こんにちは、高橋です。今日は徳丸さんをお招きして、今話題のパスワードの定期的変更について、本当のところ効果がないのか、その効能についてご説明いただきます。徳丸さん、よろしくお願いします。 徳丸: 徳丸です。いつもはパスワードの定期的変更にはあまり意味がないと主張していますが、今日はパスワードの定期的変更を擁... 続きを読む

PHPカンファレンス2014でHHVM/Hackの話を聞いて感動した - As a Futurist...

2014/10/11 320 users hack Faceb PHPアプリケーション 言語 時点

As a Futurist… 人の興味は尽きることがない．いや，興味を無くした時点で人で無くなる．永遠の「知りたい」を追求するブログ． Profile Work 使える言語の幅を広げたいと思ってPHPカンファレンス2014に参加してきました。徳丸さんの「安全なPHPアプリケーションの作り方2014」は改めて自分のセキュリティの知識を確かめるのに大変有意義だったのですが、何より感動したのがFaceb... 続きを読む

世の中に満ち溢れる「パスワードの定期的変更」についてまとめてみた。 - piyolog

2013/09/07 223 users Twitter piyolog 考察 組織 パスワード

調べてみた | 11:23 | いつも盛り上がる「パスワードの定期的な変更」ネタですが、多くの組織でこの対策が推奨されているということをTwitterで知りました。ここではパスワードの定期的変更についてまとめます。パスワードの定期的変更の考察・関連記事まずはここを読みましょう。 Bruce Schneier Schneier on Security: Changing Passwords 徳丸さん... 続きを読む

サーバサイドでJWTの即時無効化機能を持っていないサービスは脆弱なのか？ - くろの雑記帳

2022/04/18 179 users ステートレス JWT サーバサイド グロ OWASP TOP

きっかけ 昨年(2021年9月ごろ)に徳丸さんのこのツイートを見て、「2022年にはJWTを用いたセッション管理に代表される、ステートレスなセッション管理は世の中に受け入れられなくなっていくのだろうか？」と思っていました。 OWASP Top 10 2021 A1に「JWT tokens should be invalidated on the server after logout.」（... 続きを読む

ANAの不正ログイン事件について徳丸さんに聞いてみた | 徳丸浩の日記

2014/03/13 172 users 徳丸浩 ANA 徳丸 ANAマイレージクラブ マイレージ

2014年3月13日木曜日 ANAの不正ログイン事件について徳丸さんに聞いてみた 高橋: こんにちは、高橋です。先月に引き続き徳丸さんをお招きして、今度はANAの不正ログイン事件についてお話を伺います。徳丸さん、よろしくお願いします。 徳丸: 徳丸です。よろしくお願いします。 高橋: まず、事件の概要を説明します。「ANAマイレージクラブ」のWebサイトに不正ログインがあり、顧客9人のマイレージ、... 続きを読む

徳丸浩氏との長年の議論に終止符 – 論理的／体系的セキュリティとそれ以外 | yohgaki's blog

2015/02/15 168 users 終止符 徳丸浩氏 WAF yohgaki's blog 議論

私が長年徳丸さんと議論していることをご存知の方も多いと思います。徳丸さんがなぜ論理的に矛盾する主張、明らかにセキュリティ標準規格／ベストプラクティスに反する主張を繰り返えしたのか、その理由が判明しました。それと同時に長年の議論に終止符が打たれ、徳丸さんの考えを完全に理解することができましたと思われます。 徳丸さんがセキュリティ対策製品であるWAF（Web Application Firewall）... 続きを読む

模倣サイトとして各所から注意喚起が出されているサイトについて徳丸さんに聞いてみた | 徳丸浩の日記

2014/08/25 148 users 徳丸浩 各所 徳丸 日本銀行 注意喚起

2014年8月25日月曜日 模倣サイトとして各所から注意喚起が出されているサイトについて徳丸さんに聞いてみた 高橋: こんにちは、高橋です。今日は徳丸さんをお招きして、今話題の『模倣サイトとして各所から注意喚起が出されているサイト』についてお話を伺います。徳丸さん、よろしくお願いします。 徳丸: 徳丸です。よろしくお願いします。 高橋: まず問題のサイトですが、NTT東日本、NTTドコモ、日本銀行... 続きを読む

パスワードの定期的変更について徳丸さんに聞いてみた(2) | 徳丸浩の日記

2013/08/08 132 users 事後 徳丸浩 結論 高橋 前回

2013年8月8日木曜日 パスワードの定期的変更について徳丸さんに聞いてみた(2) 高橋: こんにちは、高橋です。前回に引き続き、徳丸さんをお招きして、パスワードの定期的変更問題についてお話を伺います。徳丸さん、よろしくお願いします。 徳丸: はい。よろしくお願いします。 高橋: 前回は、「オンライン攻撃に対する予防としてパスワードの定期的変更は意味がない」という結論でしたが、今回は、事後の被害軽... 続きを読む

他の言語利用者の芽を来にしているのか、PHPをメインに使ってるのにPHPをバカにしている人たちがいますよね。Mなんでしょうか？徳丸さんは胸を張ってPHPが好きと言えますか？ | ask.fm/tokumar

2014/10/19 83 users moriyoshit 徳丸 PHP 昼食 メイン

他の言語利用者の芽を来にしているのか、PHPをメインに使ってるのにPHPをバカにしている人たちがいますよね。Mなんでしょうか？徳丸さんは胸を張ってPHPが好きと言えますか？ 徳丸はPHPが好きか? ですが、元はそんなこと意識してなかったんです。日本のPHPコミッターの一人にコイズミモリヨシ( ‎@moriyoshit )という男がいますが、たまたま彼と昼食が一緒になる機会があって、その席で彼からぼ... 続きを読む

INSERT文にSQLインジェクション脆弱性があるとどんな被害が出るのか？ — A Day in Serenity (Reloaded) — PHP, FuelPHP, Linux or something

2015/01/06 62 users ockeghem Reloaded 徳丸 Form 悪用

INSERT文の悪用の可能性について回答しました SQLインジェクションについて教えて下さい<form><th>ご住所... - Yahoo!知恵袋 http://t.co/VXtAcXiAVs— 徳丸　浩 (@ockeghem) 2015, 1月 6 という徳丸さんのツイートがありましたので、ちょっと考えてみました。 サンプルコード 上記の質問にあるコードを動作するように最低限補完しました。 <... 続きを読む

text.ssig33.com - Shibuya.XSS に行ってきた。

2012/04/05 57 users Shibuya.xss text.ssig33.com

Shibuya.XSS に行ってきた。 徳丸さんの隣に居座って膨大な量の酒を飲んだ。 発表内容については、書けないことが多いし、書けないことが多いなか纏めている人がいるので、そういうのを適宜参照してほしく思う。 小保田さんのエントリあたりがよくまとまっている。 以下考えたこと。 1. 「素人」の話 割と真剣に伝えたいこと。セキュリティの話突き詰めてくと素人はアプリ書くな!!ってなりがちなんだけど、... 続きを読む

徳丸さんのブログに対するコメント | yohgaki's blog

2015/06/30 54 users yohgaki's blog コメント ブログ

sha1がトークン、createdが生成日時を保持します。 シンプルな構造ですが、これだとトークンは、ユーザーやセッションを超えて、アプリケーション全体で共通になっています。これはまずそうですね。 トークンをホテルの部屋の鍵に例えると、こうです。大垣方式の鍵は、ホテルの全ての部屋に共通で使える鍵です。本来は、鍵は特定の1部屋のみに使えるべきですが、そうなっていないのです複数ユーザーの場合、セッショ... 続きを読む

徳丸さんのブログでの全く間違った指摘に対するコメント | yohgaki's blog

2015/06/30 54 users yohgaki's blog 指摘 トークン 余地 定義

徳丸さんとは論理的に議論をする余地がないので、議論をするつもりは全くありません。しかし、完全に間違った指摘をされているのでコメントしておきます。問題のブログはこちらです。書籍『Webアプリケーションセキュリティ対策入門』のCSRF脆弱性トークンの有効範囲は?トークンがDBに保存される場合、トークンの有効範囲が気になるところです。大垣本および第二版のソースを見ると、トークンを保存するテーブルの定義は... 続きを読む

mb_send_mail()，mail()で第5引数を設定する際の注意点 - t_komuraの日記

2013/12/23 54 users t_komura mail php.ini Sendmail

以下の徳丸さんの記事を読んで、以前にmb_send_mail()の関連で調べたことがあったのを思い出しましたので、少し書きます。PHPだってシェル経由でないコマンド呼び出し機能が欲しい環境は Unix 系の OS で OS コマンドを使用してメールを送信する場合です。メール送信コマンドは php.ini で sendmail_path を設定します(デフォルト: "sendmail -t -i")... 続きを読む

「パスワードの定期的変更」は基本的には無意味 | スラッシュドット・ジャパン セキュリティ

2013/08/12 48 users 無意味 スラッシュドット・ジャパン パスワー セキュリティ

あるAnonymous Cowardのタレコミより。セキュリティ研究家の徳丸浩氏が、「パスワードの定期的変更は無意味である」という理由について語っている（パスワードの定期的変更について徳丸さんに聞いてみた(1)、パスワードの定期的変更について徳丸さんに聞いてみた(2)）。 アカウントのセキュリティ対策の1つとして、パスワードを定期的に変更するというのは昔から提唱されている。OSによっては、パスワー... 続きを読む

ANAマイレージクラブのログインを少しでも安全にする運用を考えてみたが見つからない | 徳丸浩の日記

2014/03/17 38 users ANAマイレージクラブ 徳丸浩 ITpro AMC 運用

2014年3月17日月曜日 ANAマイレージクラブのログインを少しでも安全にする運用を考えてみたが見つからない 既に「ANAの不正ログイン事件について徳丸さんに聞いてみた」で書いたように、ANAマイレージクラブ(AMC)のWebサイトに不正アクセスがあり、利用者 9人、計112万マイルがiTunesギフトコードに不正交換されました。ITproの記事を引用します。 ANAに申告があった9人分、計11... 続きを読む

secure.softbank.ne.jp ヤバイの話 - ういはるかぜの化学 - subtech

2011/07/01 38 users secure subtech https softbank

今ならまだ誰も書いてないから書きましょうと言われたのですこしだけ。詳しくは徳丸さんや高木先生やばけらさんがわかりやすく書いてくれます。 携帯サイト閲覧時の重要なお知らせ | SoftBankということでHTTPSで使うsecure.softbank.ne.jpが6月30日で廃止されました。廃止した理由は利便性のためと書かれていますが、セキュリティ上の問題があったからではないかと考えています。 この... 続きを読む

クイックソート殺し - d.y.d.

2012/09/01 35 users クイックソート d.y.d. hashdos DoS攻撃手法

クイックソート殺し こういう系統の話。 Quicksort Killer (kazoo04さん) qsortを撃墜し(最悪ケースを与え)てみた。 (qnighyさん) A Killer Adversary for Quicksort (shinhさんの解説) Webアプリケーションに対する広範なDoS攻撃手法(hashdos)の影響と対策 (徳丸さんの解説) ただのクイックソートは要素数 N の配... 続きを読む

SQLインジェクション対策漏れが重過失認定された判決文を読んだメモ | F's Garage＠fshin2000

2015/01/23 30 users F's Garage＠fshin2000 重過失 徳丸浩

徳丸さんの記事をたどって、判決文読んだ。 SQLインジェクション対策もれの責任を開発会社に問う判決 | 徳丸浩の日記 技術面に限った僕的解釈メモ（あくまで個人的な読書メモですので、正確な内容はこちらをご参考ください） ・カード番号の保存は、売り掛け金についてのカード業者を特定するための仕様追加。 ・決済業者へのリンク型の決済を、自社サーバ経由の決済に切り替えた時に全てのカード情報を保存していた。 ... 続きを読む

【勉強会】本音をぶっちゃけ! 帰ってきたセキュリティ三銃士座談会 - toto_1212

2015/02/14 29 users 本音 スライド セキュリティ界隈 パネル セキュリティ

2015-02-14 【勉強会】本音をぶっちゃけ! 帰ってきたセキュリティ三銃士座談会 勉強会 セキュリティ 「本音をぶっちゃけ! 帰ってきたセキュリティ三銃士座談会　―2014年を振り返り、2015年を予測する」に行ってきました。徳丸さん、根岸さん、辻さんというセキュリティ界隈の大御所達のパネルで大変面白い話が聞けました。スライドが無く聞きながら記録したので雑な点、表現がおかしな点がありますがメ... 続きを読む

co3k.org - Blog - au の F001 に存在した EZ 番号詐称の脆弱性について

2011/11/29 28 users 海老原 エントリ ユーザ 脆弱性 co3k.org

このエントリでは、海老原が 11/11 に発見した、「F001 の PC サイトビューアを利用して EZ 番号の作業がおこなえる」という脆弱性について説明します。 この脆弱性を利用されると、たとえば、「かんたんログイン」などの機能を提供する勝手サイトにおいて、 au 端末を利用したユーザになりすまされてしまうといった被害が発生しえます。 本問題の解決に向けてご協力いただいた `徳丸さんのブログエン... 続きを読む

徳丸浩さん，著名PHPアプリの脆弱性に学ぶセキュアコーディングの原則 〜PHPカンファレンス2017 ゲストスピーカーセッション：PHPカンファレンス2017 レポート｜gihyo.jp … 技術評論社

2017/11/01 26 users セキュアコーディング 本稿 PHPアプリケーション 王道 原則

2017年10月8日， 東京・ 大田区産業プラザPiOにて， PHPカンファレンス2017 が開催されました。本稿では， ゲストスピーカーセッションであるEGセキュアソリューションズ株式会社 代表取締役 徳丸浩さんの講演 「著名PHPアプリの脆弱性に学ぶセキュアコーディングの原則」 をレポートします。 著名なPHPアプリケーションでも脆弱性を狙った攻撃が絶えません。徳丸さんは 「脆弱性対処の王道は... 続きを読む