徳丸本の中の人 OWASP Japanアドバイザリーボード EGセキュアソリューションズ代表 IPA非常勤職員 脆弱性診断、WAFの販売・導入、セキュリティコンサルティングをやっています。
https://t.co/F0kveu1nJM

お世話になっております。しなもん(@am7cinnamon)と申します。
24日にPayPayが発表した(https://about.paypay.ne.jp/pr/20200624/01/)SMS認証の強化について、私は
・攻撃者が事前に知り得ずユーザが入力しない追加情報を入力画面に表示してユーザに示すことが肝である
・その目的は中間者攻撃によるフィッシングの困難性を高めることにあり、この意味で一定の効果が期待できる
・その追加情報がアルファベットなのは本質的ではなく、桁数さえ十分なら数字でも機能する
・Googleが従前から使用していた"G-000000"という形式のコードとは、たまたま見た目が似ているだけでまったく別物である
と考えているのですが、当該プレスリリースを含めこの解釈をされている方が他に見つからず、自分の理解が間違っているのかと不安になりました。
不適切な点があればご教示いただきたく存じます。

2020/06/26 08:11

その理解で問題ないと思います。ごく素直な解釈ですので、敢えて「私はこう解釈した」と表明する必要がないので、「この解釈をされている方が他に見つから」ないのではないでしょうか。

ギフトサポートする

徳丸 浩

コメント

継続サポートするとコメントを閲覧、投稿することができます。

その他の投稿
Youtubeをよく拝見さてもらっております。
気になったのは、徳丸さんが動画投稿を行ってる目的が気になりました。
情報セキュリティの正しい情報拡散とお仕事のマーケティングがメインとなるのでしょうか?
言語を開発出来るレベルの知識を持って、仕事に挑みたいのですが……参考になる書物などありますでしょうか。

ウィンドウズ インサイド等は力になりますか?
静的コンテンツのみのコーポレートサイトであっても、ウェブアプリケーションとプラットフォームの脆弱性診断を実施する必要性はあるのでしょうか。
徳丸本にはオープンリダイレクタについて、「もともと外部のドメインに遷移する仕様であること」「利用者にとっても外部のドメインに遷移することが自明であること」を両方満たす場合は脆弱性とはならないと書かれていますが、メールなどで他サイトへ誘導するためのリンクとして使うなど、フィッシングへの悪用はできてしまうと思うのですが、それはよいのでしょうか?
WAF は静的コンテンツ配信のみを行っている Web サーバーには不要な物だと思っていましたが、それについて「ディレクトリトラバーサル等は静的コンテンツサーバーでも受ける可能性がある (ので WAF が有効)」との指摘を受けました。この指摘は妥当なのでしょうか?