徳丸本の中の人 OWASP Japanアドバイザリーボード EGセキュアソリューションズ代表 IPA非常勤職員 脆弱性診断、WAFの販売・導入、セキュリティコンサルティングをやっています。
https://t.co/F0kveu1nJM

YouTubeであの様な技術を無料で公開しているということは先生にとってはレベルの高くないものなのでしょうか?

2020/07/28 22:34

なぜ無料で公開しているか、ですが、そこには表現者としてできるだけ多くの方に見ていただきたいという思いと、会社経営者として、無制限に無料で公開するわけにはいかないという思いのせめぎあいがあります。単純に言えば、無料公開版は「商品見本」なのだとみなせると思います。見本ですので、魅力的で、かつ高品質でなければなりませんが、あくまで「見本」ですので、広大なウェブセキュリティの一部分です。「全容」をつかむには、無料ではありませんが、徳丸本をお読みください。本を読むだけでは理解が難しい人向けには有償講習会を企画しています。
ただ、初期の動画はあまりポリシーを定めずにやっていましたので、SSRFとか安全でないデシリアライゼーションの動画は「無料で良かったのかな」と思わなくもなく、そのうち非公開にするかもしれません。なので今のうちに見ておいた方がよいかもw
「レベル」については「無料だから低い」ということはないのですが、ブログと動画を比較すると、高いレベルのコンテンツを理解できる方はブログの方を好まれるという傾向はあると思います。動画は、より分かりやすく平易な方向に振っています。前述のように「商品見本」としての側面もありますので、無料だから低品質でよいとは思っていません。

ギフトサポートする

徳丸 浩

コメント

継続サポートするとコメントを閲覧、投稿することができます。

その他の投稿
仮想マシンを運用せずとも、WSL2でセキュリティの学習には十分ですか⁉︎
みそ汁は赤味噌と白味噌のどっちが好みですか?
逆にどんな質問をしてもらいたいですか?
ツイッター上で、「filetype 社外秘」と検索して閲覧している人がいましたが、これ不正アクセスでは無いのでしょうか?
先生はどのように思われますか?
ログインユーザ名を間違っただけでエラーにするサイトはセキュリティ的にどうなのでしょうか。

例えば、りそなダイレクトはユーザ名を間違えただけで次に進めなくなります。これだと、ユーザ名としてありうるアカウントを推測するのが容易だと思い心配です。

Unixのログインのように「ユーザ名、パスワード両方入れた上で判断」させた方が、クラッキング可能なユーザ名の特定機会は減らせるとおもいます。

もっとも、ログインインタフェースを作ってる人の一部は、このような思想を知ってても良さそうなのですが、実際はそうではない理由は何かあるのでしょうか。