WebアプリケーションでJWTをセッションに使う際の保存先は（自分なりに説明できれば）どちらでもよいと思います - 日々量産

2022/02/12 336 users JWT localStorage 徳丸 セッション 格納場所

以下のツイートを読んで気持ちが昂ったので。 みんな、もうSNSでいがみ合うのはやめよう。 平和に好きなJWTの話でもしようよ。 JWTの格納場所はlocalStorageとCookieのどっちが好き？— 徳丸 浩 (@ockeghem) 2022年2月11日 というのも、JWTをセッションに使うときに保存先含めて一時期悩んでいたので、その時の自分の解。... 続きを読む

Railsエンジニアのためのウェブセキュリティ入門に参加 ? - YassLab 株式会社

2019/04/25 37 users yasslab リンクアンドモチベーション 徳丸 銀座 講演

銀座Rails#8で行われた徳丸 浩さん (@ockeghem) の講演『Railsエンジニアのためのウェブセキュリティ入門』に参加してきました! 本日19時から銀座にてですが、キャンセルのためお席の余裕ができたようです。Railesアプリのセキュリティについてトークします / “銀座Rails#8 @リンクアンドモチベーション - connpass” ht... 続きを読む

Rubyでもbcryptはバイナリセーフではない - Qiita

2019/02/27 46 users Qiita bcrypt 徳丸 徳丸浩 Ruby

RubyのBCryptはバイナリセーフなのか 徳丸先生が注意喚起としてあげられていたこちらの記事に関して “bcryptの72文字制限をSHA-512ハッシュで回避する方式の注意点 | 徳丸浩の日記” https://t.co/AA1yFVd0TH — 徳丸 浩 (@ockeghem) 2019年2月24日 記事ではPHPの例が上がっていましたが、Rubyではどのような影響があるの... 続きを読む

徳丸　浩さんはTwitterを使っています: "対応Cipher SuitesがTLS_RSA_WITH_RC4_128_MD5 一つだけというロックな設定。IE10以下だと閲覧可能。IE11だと不可 / “インターネットブラウザ「Google Chrome」利用時

2015/09/11 17 users Twitter 徳丸 WAF 不可 ロック

徳丸　浩 @ockeghem いわゆる「徳丸本」の著者です。脆弱性診断、WAFの販売・導入、セキュリティコンサルティングをやっています。プロフィールはこちら https://plus.google.com/+tokumaruorg/about … 続きを読む

INSERT文にSQLインジェクション脆弱性があるとどんな被害が出るのか？ — A Day in Serenity (Reloaded) — PHP, FuelPHP, Linux or something

2015/01/06 62 users Reloaded 徳丸 Form SQLインジェクション 悪用

INSERT文の悪用の可能性について回答しました SQLインジェクションについて教えて下さい<form><th>ご住所... - Yahoo!知恵袋 http://t.co/VXtAcXiAVs— 徳丸　浩 (@ockeghem) 2015, 1月 6 という徳丸さんのツイートがありましたので、ちょっと考えてみました。 サンプルコード 上記の質問にあるコードを動作するように最低限補完しました。 <... 続きを読む

Twitter / ockeghem: ネットで誤りを指摘された場合、別に深くお詫びする必要なんかな ...

2013/12/28 19 users Twitter ネット

続きを読む

いまさら聞けないパスワードの取り扱い方

2013/08/21 600 users パスワード 取り扱い方 徳丸 浩 twitter

Statistics Likes 0 Downloads 0 Comments 0 Embed Views 0 Views on SlideShare 0 Total Views 0 いまさら聞けないパスワードの取り扱い方 Presentation Transcript いまさら聞けないパスワードの取り扱い方 HASHコンサルティング株式会社 徳丸 浩 twitter id: @ockeghem ... 続きを読む

Twitter / KINGSOFT_PR: ockeghem 一般的なユーザーにおいてはそれでもパスワ ...

2013/08/06 9 users 徳丸さん 本文 http パスワ パスワード

キングソフト広報さん、そんなこと書いてないのですが、本文を読んでおられない? RT @KINGSOFT_PR: パスワードを定期的に変更することの大切さがわかります　パスワードの定期的変更について徳丸さんに聞いてみた(1) http://blog.tokumaru.org/2013/08/1.html 続きを読む

PHP5.3.2以降ではfcloseで自動的にアンロックされない - ockeghemのtumblr

2012/12/04 90 users tumblr

PHPの本家サイトでflockの説明を読んでいたら、以下の変更履歴に気がつきました。 5.3.2 ファイルのリソースハンドルを閉じたときにロックを自動的に解放する機能が削除されました。 ロックの解放は、常に手動で行わなければなりません。 http://php.net/manual/ja/function.flock.php ところがネットの解説を見ると、ロック開放はflock($fp, LOCK_... 続きを読む

IE10にはパスワード表示ボタンが付いている - ockeghemのtumblr

2012/11/12 37 users Twitter tumblr 楽天Kobo ブログエントリ

昨日のブログエントリ「楽天koboのログイン画面にも「パスワードの表示」ボタンがついた」に対して、twitterでコメントを頂戴しました。 そういえばIE10には目アイコン（マウスボタン押下している間伏せ字解除）が付いてたような…… QT @ockeghem: 日記書いた 楽天koboのログイン画面にも「パスワードの表示」ボタンがついた - ockeghemのtumblr bit.ly/Tnk0I... 続きを読む

Yahoo!の『秘密の「質問」と「答え」』の変更方法 - ockeghemのtumblr

2012/11/09 34 users tumblr registration Yahoo 答え 質問

Yahoo!Japan IDは、現在は新規登録時に必ず『秘密の「質問」と「答え」』の登録が義務づけられており、パスワードリセットなどで用いられます。 https://account.edit.yahoo.co.jp/registration そして、この『秘密の「質問」と「答え」』は、いったん登録すると変更することができません。 秘密の「質問」と「答え」の内容は、Yahoo! JAPAN IDの登... 続きを読む

なりすまし犯行予告に悪用可能なWebアプリケーション脆弱性 - ockeghemのtumblr

2012/10/16 52 users tumblr CSRF 悪用 mixi 無線LAN

なりすまし犯行予告が話題になっています。現在問題になっているものは、マルウェアが使われているようですが、それ以外に、無線LANの乗っ取りや、Webアプリケーションの脆弱性悪用などの手法があります。NHKの報道では、クロスサイトリクエストフォージェリ(CSRF)脆弱性が、過去に悪用された事例が紹介されています（ただしmixiの例と思われます）。 また、３つ目として、利用者からの投稿を受け付ける掲示板... 続きを読む

「ブラインドSQLインジェクションとは何ですか？」への回答 - ockeghemのtumblr

2012/10/15 44 users tumblr 備忘 ブラインドSQLインジェクション 一種

以下は、Yahoo!知恵袋での下記質問に対する回答です。 ブラインドSQLインジェクションとは何ですか？ できるだけ詳細に教えて下さい 回答した後に、質問が取り消されてしまいました。Yahoo!知恵袋の仕様として、取り消しされた質問は2週間で削除されるため、備忘のため転載します。 ブラインドSQLインジェクションというのは、SQLインジェクション攻撃の一種です。 通常のSQLインジェクション攻撃で... 続きを読む

Gmailの成りすまし事件、傾向と対策 - ockeghemのtumblr

2012/10/04 260 users tumblr Twitt メールアカウント 醜態 同種

池田信夫氏のGmailアカウントがハックされて、寸借詐欺メールが送信されたようです。 Gmailの振り込め詐欺にご注意 池田信夫、自らのメールアカウントを乗っ取られ今日も見事な醜態を晒す 私の周囲でも、知人が同種の被害にあっていますので、他人事ではない気がします。池田氏が被害にあった原因は不明のようですが、このエントリではその原因を予想（妄想）し、対策について検討します。 池田氏の主張：twitt... 続きを読む

hostsにループバックアドレスを指定することでリスクが増大するケース - ockeghemのtumblr

2012/09/26 47 users hosts tumblr レアケース kazuhoさん 議論

前のエントリhostsファイルにループバックアドレスを指定することは危険か?で、hostsにループバックアドレス（127.0.01）を記述することは危険とは言えないと書いたのですが、その後malaさんとkazuhoさんから、レアケースではあるがリスクの増加はあるよという指摘を受けました。 議論の想定は、Android端末のローカル上にWebアプリケーションが動いており、それに対する攻撃が可能か否か... 続きを読む

hostsファイルにループバックアドレスを指定することは危険か? - ockeghemのtumblr

2012/09/24 113 users Twitter localhost tumblr なか 他人

Androidの広告よけにhostsファイルを書き換えるAdAwayというアプリ（ルート化必要）が紹介されています。それがきっかけとなり、hostsファイルを書き換えることの危険性、とくに他人が作ったhostsファイルをそのまま自端末に適用してしまうリスクがtwitterで話題になりました。 これはまったく正しいのですが、なかのきえた氏から、以下のようにlocalhostのIPアドレスを記述するこ... 続きを読む

TポイントツールバーのWEB閲覧履歴を開示請求した - ockeghemのtumblr

2012/09/02 44 users 簡易書留 氏名 開示請求 届出書 コピー

Tポイントツールバーが収集したWEB閲覧履歴の開示請求ができることを8月19日（日）知りました。届出書は以下からダウンロードできます。 （A）『個人情報保護法に基づく請求』に用いる届出書　Ⅳ（開示請求：TポイントツールバーWEB閲覧履歴専用） これに記入（Tカード番号、住所、氏名などの個人情報）して、本人確認書類のコピーを添えて簡易書留で郵送すれば、開示されると理解しました。料金は不要です。一方、... 続きを読む

pastebinに貼られた「twitterユーザのパスワード」を軽く分析した〔2012/05/09〕 - ockeghemのtumblr

2012/05/09 181 users tumblr pastebin Twitterユーザ 真偽

アノニマスハッカーがpastebinにtwitterアカウントのユーザ名とパスワード55,000以上を漏洩させたという書き込みがありました。 真偽のほどはよくわかりませんが、ここに貼られていたパスワードを少し分析してみました。当然ながら、このパスワードを使ってログインしてみる、というのは違法行為ですので、絶対にやってはいけません。以下はあくまでもパスワード文字列の統計的な分析です。 まず、貼られて... 続きを読む

はてなブックマークボタンがマイクロアド社の新ガイドラインに従ったらこうなる - ockeghem(徳丸浩)の日記

2012/03/14 147 users HASHコンサルティングオフィシャルブログ 近藤淳也氏

すでにこちらでご案内の通り、私のブログ（徳丸浩の日記およびHASHコンサルティングオフィシャルブログ）に貼っていた「はてなブックマークボタン」により、読者の皆様の閲覧行動がマイクロアド社によりトラッキングされておりました。読者の皆様に断りなく不快な結果を強いていたことに対してお詫び申し上げます。既に当該ボタンは撤去しております。その後、株式会社はてな社長の近藤淳也氏およびはてなの日記にて行動情報の... 続きを読む

書籍「Android Security」の暗号鍵生成方法には課題がある - ockeghem(徳丸浩)の日記

2012/02/13 126 users 必携 エントリ アプリケーション 箇所 共通鍵

書籍「Android Security　　安全なアプリケーションを作成するために」は既に各方面で絶賛されているように、Androidアプリケーションの開発者には必携の書籍だと思いますが、新しい分野だけに、首をひねらざるを得ない箇所もありました。このエントリでは、同書第10章「暗号化手法」から共通鍵の生成方法について議論します。 続きを読む

「管理者パスワードは何日ごとに変更すればよいか」に関する質疑応答 - ockeghem(徳丸浩)の日記

2012/01/31 127 users 備忘 徳丸浩 質疑応答 見解 受講

昨日Webサイトを守るためのセキュリティ講習会の講師を担当しました。講習会の終了後、受講生から「管理者パスワードの定期的変更」に関する質問がありました。備忘の為、質疑内容を以下に記録します。 Q1:上位ポリシーにて、管理者パスワードは定期的に変更するように義務づけられているが、何日毎に変更するのが正しいのか。最近の専門家の見解をお伺いしたい A1:専門家の見解は分かれているとお答えしました現在の主... 続きを読む

PostgreSQL Conference 2012で講演します - ockeghem(徳丸浩)の日記

2012/01/19 6 users 徳丸 IPA SQLインジェクション SQL 徳丸浩

PostgreSQL Conference 2012で講演する機会を頂きましたので報告します。日時：2012年2月24日（金曜日） 14時30分〜17時20分（徳丸の出番は16:30〜17:00）場所：AP 品川 （東京都港区）費用：3,500円（申し込みはこちら）講演タイトル：安全なSQLの呼び出し方今回は、IPAの安全なSQLの呼び出し方を題材として、SQLインジェクションの発生原理から、安全... 続きを読む

今年読まれた人気記事トップ10+10 - ockeghem(徳丸浩)の日記

2011/12/28 11 users 徳丸浩 日記

今年も残りわずかとなり、今年の○○トップ10というタイトルを目にする機会も増えました。徳丸のブログでも、トップ10を発表したいと思います。今年書いたブログ限定ではなく、今年もっとも読まれたブログエントリのトップ10です。Apache killerは危険〜Apache killerを評価する上での注意〜PHP5.3.7のcrypt関数のバグはこうして生まれたもし『よくわかるPHPの教科書』の著者が徳... 続きを読む

大垣本を読んで「バリデーションはセキュリティ対策」について検討した - ockeghem(徳丸浩)の日記

2011/12/25 140 users 所作 エントリ 入力バリデーション バリデーション 観点

このエントリでは、セキュリティの観点から、バリデーション実装について検討します。大垣さんの本を読んで「大垣流バリデーション」について勉強した結果を報告します。はじめに大垣さんの記事「入力バリデーションはセキュリティ対策」では、「入力バリデーションはセキュリティ対策である」が力説されています。この記事はおそらくid:ajiyoshiさんのブログ記事「妥当性とは仕様の所作 - SQLインジェクション対... 続きを読む

徳丸本をブロガーに差し上げちゃうキャンペーンのお知らせ - ockeghem(徳丸浩)の日記

2011/12/06 30 users HASHコンサルティング 増刷 徳丸浩 手元 贈呈用

「徳丸本」こと「体系的に学ぶ 安全なWebアプリケーションの作り方」は、このたび増刷（第5刷）が決定いたしました。皆様のご愛読に深く感謝申し上げます。増刷を記念して、徳丸本を買いたくてもまだ買えていなかった方々に、徳丸本を進呈するキャンペーンを企画いたしました。私の手元に徳丸本第3刷の在庫が数冊あります。元々献本用や（HASHコンサルティングの）営業活動の贈呈用として購入していたものですが、思った... 続きを読む