タグ ockeghem
人気順 5 users 50 users 100 users 500 users 1000 users「カード情報を毎回入力した方が安全」は誤解?→入力時に情報を盗むことが主流になってきている
徳丸 浩 @ockeghem 「面倒臭いけどカード情報は登録せずに毎回入力した方が良いかもしれないね」←これはよくある誤解で、攻撃側はカード情報を入力するタイミングで盗むので、「登録したほうが漏れにくい」ことになります。 x.com/nonbirimanabo/… のんびり @nonbirimanabo タリーズECサイトでクレカ情報5万件以上流出か... 続きを読む
ChatGPTで「jQueryでAPIを呼びだし、その結果を表示するサンプルプログラムを書いてください」と指示したら、脆弱性のあるサンプルが出てきた話
徳丸 浩 @ockeghem 徳丸本の中の人 EGセキュアソリューションズCTO IPA非常勤職員 YouTubeチャンネル: youtube.com/@websecstudy 匿名での徳丸への質問はMondから mond.how/ja/ockeghem DMはどなたでも送信可能ですが、返信するとは限りません blog.tokumaru.org 徳丸 浩 @ockeghem ChatGPT o1-previewで「jQueryでAPIを... 続きを読む
WebアプリケーションでJWTをセッションに使う際の保存先は(自分なりに説明できれば)どちらでもよいと思います - 日々量産
以下のツイートを読んで気持ちが昂ったので。 みんな、もうSNSでいがみ合うのはやめよう。 平和に好きなJWTの話でもしようよ。 JWTの格納場所はlocalStorageとCookieのどっちが好き?— 徳丸 浩 (@ockeghem) 2022年2月11日 というのも、JWTをセッションに使うときに保存先含めて一時期悩んでいたので、その時の自分の解。... 続きを読む
Railsエンジニアのためのウェブセキュリティ入門に参加 ? - YassLab 株式会社
銀座Rails#8で行われた徳丸 浩さん (@ockeghem) の講演『Railsエンジニアのためのウェブセキュリティ入門』に参加してきました! 本日19時から銀座にてですが、キャンセルのためお席の余裕ができたようです。Railesアプリのセキュリティについてトークします / “銀座Rails#8 @リンクアンドモチベーション - connpass” ht... 続きを読む
Rubyでもbcryptはバイナリセーフではない - Qiita
RubyのBCryptはバイナリセーフなのか 徳丸先生が注意喚起としてあげられていたこちらの記事に関して “bcryptの72文字制限をSHA-512ハッシュで回避する方式の注意点 | 徳丸浩の日記” https://t.co/AA1yFVd0TH — 徳丸 浩 (@ockeghem) 2019年2月24日 記事ではPHPの例が上がっていましたが、Rubyではどのような影響があるの... 続きを読む
徳丸 浩さんはTwitterを使っています: "対応Cipher SuitesがTLS_RSA_WITH_RC4_128_MD5 一つだけというロックな設定。IE10以下だと閲覧可能。IE11だと不可 / “インターネットブラウザ「Google Chrome」利用時
徳丸 浩 @ockeghem いわゆる「徳丸本」の著者です。脆弱性診断、WAFの販売・導入、セキュリティコンサルティングをやっています。プロフィールはこちら https://plus.google.com/+tokumaruorg/about … 続きを読む
INSERT文にSQLインジェクション脆弱性があるとどんな被害が出るのか? — A Day in Serenity (Reloaded) — PHP, FuelPHP, Linux or something
INSERT文の悪用の可能性について回答しました SQLインジェクションについて教えて下さい<form><th>ご住所... - Yahoo!知恵袋 http://t.co/VXtAcXiAVs— 徳丸 浩 (@ockeghem) 2015, 1月 6 という徳丸さんのツイートがありましたので、ちょっと考えてみました。 サンプルコード 上記の質問にあるコードを動作するように最低限補完しました。 <... 続きを読む
Twitter / ockeghem: ネットで誤りを指摘された場合、別に深くお詫びする必要なんかな ...
いまさら聞けないパスワードの取り扱い方
Statistics Likes 0 Downloads 0 Comments 0 Embed Views 0 Views on SlideShare 0 Total Views 0 いまさら聞けないパスワードの取り扱い方 Presentation Transcript いまさら聞けないパスワードの取り扱い方 HASHコンサルティング株式会社 徳丸 浩 twitter id: @ockeghem ... 続きを読む
PHP5.3.2以降ではfcloseで自動的にアンロックされない - ockeghemのtumblr
PHPの本家サイトでflockの説明を読んでいたら、以下の変更履歴に気がつきました。 5.3.2 ファイルのリソースハンドルを閉じたときにロックを自動的に解放する機能が削除されました。 ロックの解放は、常に手動で行わなければなりません。 http://php.net/manual/ja/function.flock.php ところがネットの解説を見ると、ロック開放はflock($fp, LOCK_... 続きを読む
IE10にはパスワード表示ボタンが付いている - ockeghemのtumblr
昨日のブログエントリ「楽天koboのログイン画面にも「パスワードの表示」ボタンがついた」に対して、twitterでコメントを頂戴しました。 そういえばIE10には目アイコン(マウスボタン押下している間伏せ字解除)が付いてたような…… QT @ockeghem: 日記書いた 楽天koboのログイン画面にも「パスワードの表示」ボタンがついた - ockeghemのtumblr bit.ly/Tnk0I... 続きを読む
Yahoo!の『秘密の「質問」と「答え」』の変更方法 - ockeghemのtumblr
Yahoo!Japan IDは、現在は新規登録時に必ず『秘密の「質問」と「答え」』の登録が義務づけられており、パスワードリセットなどで用いられます。 https://account.edit.yahoo.co.jp/registration そして、この『秘密の「質問」と「答え」』は、いったん登録すると変更することができません。 秘密の「質問」と「答え」の内容は、Yahoo! JAPAN IDの登... 続きを読む
なりすまし犯行予告に悪用可能なWebアプリケーション脆弱性 - ockeghemのtumblr
なりすまし犯行予告が話題になっています。現在問題になっているものは、マルウェアが使われているようですが、それ以外に、無線LANの乗っ取りや、Webアプリケーションの脆弱性悪用などの手法があります。NHKの報道では、クロスサイトリクエストフォージェリ(CSRF)脆弱性が、過去に悪用された事例が紹介されています(ただしmixiの例と思われます)。 また、3つ目として、利用者からの投稿を受け付ける掲示板... 続きを読む
「ブラインドSQLインジェクションとは何ですか?」への回答 - ockeghemのtumblr
以下は、Yahoo!知恵袋での下記質問に対する回答です。 ブラインドSQLインジェクションとは何ですか? できるだけ詳細に教えて下さい 回答した後に、質問が取り消されてしまいました。Yahoo!知恵袋の仕様として、取り消しされた質問は2週間で削除されるため、備忘のため転載します。 ブラインドSQLインジェクションというのは、SQLインジェクション攻撃の一種です。 通常のSQLインジェクション攻撃で... 続きを読む
Gmailの成りすまし事件、傾向と対策 - ockeghemのtumblr
池田信夫氏のGmailアカウントがハックされて、寸借詐欺メールが送信されたようです。 Gmailの振り込め詐欺にご注意 池田信夫、自らのメールアカウントを乗っ取られ今日も見事な醜態を晒す 私の周囲でも、知人が同種の被害にあっていますので、他人事ではない気がします。池田氏が被害にあった原因は不明のようですが、このエントリではその原因を予想(妄想)し、対策について検討します。 池田氏の主張:twitt... 続きを読む
hostsにループバックアドレスを指定することでリスクが増大するケース - ockeghemのtumblr
前のエントリhostsファイルにループバックアドレスを指定することは危険か?で、hostsにループバックアドレス(127.0.01)を記述することは危険とは言えないと書いたのですが、その後malaさんとkazuhoさんから、レアケースではあるがリスクの増加はあるよという指摘を受けました。 議論の想定は、Android端末のローカル上にWebアプリケーションが動いており、それに対する攻撃が可能か否か... 続きを読む
hostsファイルにループバックアドレスを指定することは危険か? - ockeghemのtumblr
Androidの広告よけにhostsファイルを書き換えるAdAwayというアプリ(ルート化必要)が紹介されています。それがきっかけとなり、hostsファイルを書き換えることの危険性、とくに他人が作ったhostsファイルをそのまま自端末に適用してしまうリスクがtwitterで話題になりました。 これはまったく正しいのですが、なかのきえた氏から、以下のようにlocalhostのIPアドレスを記述するこ... 続きを読む
TポイントツールバーのWEB閲覧履歴を開示請求した - ockeghemのtumblr
Tポイントツールバーが収集したWEB閲覧履歴の開示請求ができることを8月19日(日)知りました。届出書は以下からダウンロードできます。 (A)『個人情報保護法に基づく請求』に用いる届出書 Ⅳ(開示請求:TポイントツールバーWEB閲覧履歴専用) これに記入(Tカード番号、住所、氏名などの個人情報)して、本人確認書類のコピーを添えて簡易書留で郵送すれば、開示されると理解しました。料金は不要です。一方、... 続きを読む
pastebinに貼られた「twitterユーザのパスワード」を軽く分析した〔2012/05/09〕 - ockeghemのtumblr
アノニマスハッカーがpastebinにtwitterアカウントのユーザ名とパスワード55,000以上を漏洩させたという書き込みがありました。 真偽のほどはよくわかりませんが、ここに貼られていたパスワードを少し分析してみました。当然ながら、このパスワードを使ってログインしてみる、というのは違法行為ですので、絶対にやってはいけません。以下はあくまでもパスワード文字列の統計的な分析です。 まず、貼られて... 続きを読む
はてなブックマークボタンがマイクロアド社の新ガイドラインに従ったらこうなる - ockeghem(徳丸浩)の日記
すでにこちらでご案内の通り、私のブログ(徳丸浩の日記およびHASHコンサルティングオフィシャルブログ)に貼っていた「はてなブックマークボタン」により、読者の皆様の閲覧行動がマイクロアド社によりトラッキングされておりました。読者の皆様に断りなく不快な結果を強いていたことに対してお詫び申し上げます。既に当該ボタンは撤去しております。その後、株式会社はてな社長の近藤淳也氏およびはてなの日記にて行動情報の... 続きを読む
書籍「Android Security」の暗号鍵生成方法には課題がある - ockeghem(徳丸浩)の日記
書籍「Android Security 安全なアプリケーションを作成するために」は既に各方面で絶賛されているように、Androidアプリケーションの開発者には必携の書籍だと思いますが、新しい分野だけに、首をひねらざるを得ない箇所もありました。このエントリでは、同書第10章「暗号化手法」から共通鍵の生成方法について議論します。 続きを読む
「管理者パスワードは何日ごとに変更すればよいか」に関する質疑応答 - ockeghem(徳丸浩)の日記
昨日Webサイトを守るためのセキュリティ講習会の講師を担当しました。講習会の終了後、受講生から「管理者パスワードの定期的変更」に関する質問がありました。備忘の為、質疑内容を以下に記録します。 Q1:上位ポリシーにて、管理者パスワードは定期的に変更するように義務づけられているが、何日毎に変更するのが正しいのか。最近の専門家の見解をお伺いしたい A1:専門家の見解は分かれているとお答えしました現在の主... 続きを読む
今年読まれた人気記事トップ10+10 - ockeghem(徳丸浩)の日記
今年も残りわずかとなり、今年の○○トップ10というタイトルを目にする機会も増えました。徳丸のブログでも、トップ10を発表したいと思います。今年書いたブログ限定ではなく、今年もっとも読まれたブログエントリのトップ10です。Apache killerは危険〜Apache killerを評価する上での注意〜PHP5.3.7のcrypt関数のバグはこうして生まれたもし『よくわかるPHPの教科書』の著者が徳... 続きを読む
大垣本を読んで「バリデーションはセキュリティ対策」について検討した - ockeghem(徳丸浩)の日記
このエントリでは、セキュリティの観点から、バリデーション実装について検討します。大垣さんの本を読んで「大垣流バリデーション」について勉強した結果を報告します。はじめに大垣さんの記事「入力バリデーションはセキュリティ対策」では、「入力バリデーションはセキュリティ対策である」が力説されています。この記事はおそらくid:ajiyoshiさんのブログ記事「妥当性とは仕様の所作 - SQLインジェクション対... 続きを読む
徳丸本をブロガーに差し上げちゃうキャンペーンのお知らせ - ockeghem(徳丸浩)の日記
「徳丸本」こと「体系的に学ぶ 安全なWebアプリケーションの作り方」は、このたび増刷(第5刷)が決定いたしました。皆様のご愛読に深く感謝申し上げます。増刷を記念して、徳丸本を買いたくてもまだ買えていなかった方々に、徳丸本を進呈するキャンペーンを企画いたしました。私の手元に徳丸本第3刷の在庫が数冊あります。元々献本用や(HASHコンサルティングの)営業活動の贈呈用として購入していたものですが、思った... 続きを読む