ockeghem page

徳丸本の中の人 OWASP Japanアドバイザリーボード EGセキュアソリューションズ代表 IPA非常勤職員脆弱性診断、WAFの販売・導入、セキュリティコンサルティングをやっています。
https://t.co/F0kveu1nJM

リクエスト

プロフィール

投稿の一覧

QUOINEの情報漏えい、流失したのは顧客の本人確認書類やセルフィー等とのことでかなりショッキングでした。

この場合、顧客側としてはもうどうしょうもない感じでしょうか？
本人確認プロセスが、登録時の入力情報＝本人確認書類、本人確認書類＝セルフィーとチェックしていそうですし。

リクエスト

難しいですね。この事件の場合、レジストラが攻撃を受けた（少なくともQUOINEはレジストラを変更している）ようのですので、サプライチェーンの問題とも言えますが、そんなこと顧客には知りようがないですから…

2日前

防衛省がサイバー攻撃からの防御を担う人材を発掘するため”サイバーコンテスト”をするそうです．徳丸さんのご専門のWebセキュリティとはちょっと違うかもしれないですが，コメントを伺いたいです．https://www.mod.go.jp/j/approach/defense/cyber/c_contest/

リクエスト

ニュースは見ましたが特段感想はなかったです

2日前

パスワードを 128bit のハッシュ値にするシステムがあったとします。この時、パスワードにASCII CODE(仮に8bit)で、16文字(128bit相当)を設定した場合と16文字を超えた時の場合で、(仮にハッシュ値がわかるとして)ブルートフォースアタックされた時の強度に差はでるでしょうか？(16文字を超えた場合に、逆に弱くなったりするでしょうか？)

リクエスト

何と何を比較しているのでしょうか?

3日前

脱PPAPがにわかに盛り上がっていますが、結局のところどの代替案がベストなのかさっぱりわかりません。

徳丸先生のお勧め方式を教えていただけないでしょうか？

リクエスト

あらゆる利用シーンで簡単かつ安全な方法はないと思います

4日前

聞いていいのか分かりませんが、IPAではどのようなお仕事をされているのでしょうか？

リクエスト

安全なウェブサイトの作り方、安全なSQLの呼び出し方等の冊子執筆をしたり、冊子・記事のレビューを主に担当しています。また、以下のような講演を担当する場合もあります。（パート3：特別講演・経験豊富な発…

4日前

はんこの利用を止めるために、必ずしもどこかのクラウドを契約する必要はありますか？opensslなどライブラリで発注書と請求書ファイルのチェックサムに自社で署名するだけでは不十分でしょうか？

リクエスト

相手のあることなので、あまり独自性の強い方法は好ましくないと思います。取引先が合意すれば電子署名なしのPDF等でも受発注くらいはできていますが、契約となるとクラウド利用が無難なような気がします。法律の…

5日前

徳丸先生も合格された前回の情報処理試験ですが、届いた合格証書番号が「区分-2020-04-XXXXX」となっており（多分本当は 2020-10- ）、春試験が中止となった影響で採番がおかしくなったようです。

なんの性かは分からないのですが、こういう不整合はちょっと興奮します笑

リクエスト

おかしくなったというより、意図的なもののような気がしていました。真相はわかりません

5日前

ログインパスワードはハッシュだけ保持するのは当然として、復元が必要な機密情報(誕生日etc)の保持が必要な場合は暗号化する以上にセキュリティ的にできることはあるでしょうか？

リクエスト

できることは限られますが、徳丸本2版を隅から隅まで読めば、「限られた中でできること」は書いてあります。

6日前

もっと見る