ockeghem page

徳丸本の中の人 OWASP Japanアドバイザリーボード EGセキュアソリューションズ代表 IPA非常勤職員脆弱性診断、WAFの販売・導入、セキュリティコンサルティングをやっています。
https://t.co/F0kveu1nJM

リクエスト

プロフィール

徳丸浩さんにリクエスト

投稿して欲しいテーマ・お題のリクエストや質問を匿名で送ることができます。

過去の回答

basic認証について再び質問します。

パソコンからbasic認証を求められる際に、IDとPWが空白のままエンターキーを押して普段通り見れた場合(401エラー表示無し)でも、
不正アクセスなのでしょうか？

適当に入力していたのなら話は違いますが、どうなのでしょうか?

その場面にたまたま出会いますので、心配です。

リクエスト

空白のままなら不正アクセスではありませんが、適当に入力したものがあたったら不正アクセスの可能性があります。なので、そういう行為は慎みましょう。

6日前

ホームページで何度もBasic認証を求められるサイトがありました。
PW、IDを空白のままキャンセルを押しても通常通り閲覧出来るものもありましたが、
これは何かしらのバグでしょうか？

PW、IDを空白のまま誤ってログインをクリックして
何事も無かったように閲覧出来た場合、利用者に責任は生じますか？

リクエスト

バグというか、設定不備でしょうね。利用者に責任は生じないと思いますが、BASIC認証を求められた場合、単にタグを閉じることをお勧めします。

7日前

味わい深いサイトはどのように見つけているのでしょうか

リクエスト

いくつかの経路がありますが、Googleアラートで「クロスサイトスクリプティング」などのキーワードを登録して、それをInoreaderで購読しています。

10日前

徳丸さんのところにも迷惑メールが日々届くと思いますが、何か特別な対策はされていますでしょうか。

また不謹慎かもしれませんが、届いた迷惑メールの中で印象に残っている迷惑メールはありますでしょうか。

リクエスト

昔は色々やっていたのですが、今はGmailにお任せですねー印象に残っている迷惑メールは色々ありますが、ある会社のサービスに登録したメールアドレスから継続的に来る「Amazonプライムの自動更新設定を…

11日前

同じ時期に入ったスクール生がセキュリティーに無関心で心配です。僕が脆弱性を指摘しても直しませんでした。

こういう人の意識を変えていくにはどうしたらいいのでしょうか。その人が一人でコードに携わるようになったら、それが一番の脆弱性だなと思っています。

リクエスト

残念ながら、同期生というくらいの立場では意識を変えるのは難しいでしょう。その方の人生にコミットするような人物や組織が関与して、それでも変わるかどうか…くらいだと思います。

11日前

徳丸さんは個人のパスワードをどのように管理されていますか？
全てのサービスで同じパスワードはよくないと理解しながらも、パスワード管理ツールなどは、なんらかの形で情報が漏れてしまわないかと不安な気もします。

リクエスト

パスワード管理ツールを使用しています。パスワード管理ツール側の工夫（後述）と、万一パスワードが漏れても二段階認証でカバーできるような設定ですね。パスワードの使いまわしよりもはるかによいと思います。以下…

11日前

おすすめの予習教材を教えてください。

フォレンジックやマルウェア解析（動的程度）をしています。セキスペです。
今度転職して、CSIRTでインシデント対応をしますが、全くの未経験分野です。
転職先はIT会社ですが、セキュリティとしてはユーザ企業で、フォレンジックなどは外注です。
新業務について、業務の手法やおすすめツールに関する知識が不足しており不安です。
転職前の予習用として、本や動画などの教材のオススメあれば教えていただきたいです。

リクエスト

ごめんなさい。知らない方には書籍の紹介はしないことにしています。どの本が合うか、正直分かりませんので。

11日前

挫折したことありますか？
もしあるのなら、どうやって立ち直りましたか？

リクエスト

挫折はもちろんあります。立ち直るための特別なことはせず成り行きにまかせていました。

19日前