ockeghem page

徳丸本の中の人 OWASP Japanアドバイザリーボード EGセキュアソリューションズ代表 IPA非常勤職員脆弱性診断、WAFの販売・導入、セキュリティコンサルティングをやっています。
https://t.co/F0kveu1nJM

リクエスト

プロフィール

徳丸浩さんにリクエスト

投稿して欲しいテーマ・お題のリクエストや質問を匿名で送ることができます。

過去の回答

自身の管理下に無いWebアプリで、自分の２アカウント間で互いの情報を参照したり変更できるか確認するのは特に問題ないのでしょうか。

リクエスト

これは従来OKとみなされていましたが、犯罪捜査などの実務面で絶対大丈夫と保証できるものではありません。

3月20日

マルウェアを所有するのは合法ですか？
個人的な勉強として私の仮想マシンに感染させて動きを見たいです。

リクエスト

法的には、正当な理由があればセーフです。

3月20日

今までなんとなく、パスワードは使いまわさずサービスごとに変えていました。ですがそうする目的はパスワードリスト攻撃対策だと認識しています。

ということは、私は自分が登録しているすべてのウェブサービスで異なるアカウント名、異なるメールアドレスで登録しているので、それならパスワードだけ使いまわしても大丈夫なのでしょうか。

リクエスト

原理的にはそうなりますね。

3月20日

脆弱性診断診断を仕事としてやってる者です。資格や勉強を特にしなくても業務は遂行できてしまうので、成長を感じたり、勉強したことをアウトプットできる場が無く、仕事がつらいです。。
自分はこの仕事に向いてないんでしょうか..?
別のキャリアを探したほうがいいでしょうか..?
すみません、こんな変な人生相談で..

リクエスト

職場でアウトプットする場がなくても、勉強した内容を個人ブログに書いたり、勉強会等で登壇している人は多数いると思いますよ。

3月20日

カード情報を保存していなくてもフォームの改ざんが原因で漏洩することがあるとは大変勉強になりました。一方で、決済を伴うようなサイトでフォームが改ざんされる事件が繰り返し起きていることがとても怖いのですが、そんなものなのでしょうか。普通のサイトよりも気を付けて作っていると思うのですが。

リクエスト

少なくとも「普通のサイトよりも気を付けて作っている」ということは、多くの場合あてはまらないようです。ECサイト事業者の大半は中小零細企業であり、とにかく低予算であり、メンテナンスコストも掛けられていせ…

2月16日

パスワードと一緒にソースコードも流出したらハッシュ化の意味はなくなりますか?

リクエスト

いいえ。現在主流であるパスワードの保存形式では、外部から閲覧不可能な秘密情報は用いないので、ソースコードが流出しても影響はありません。

2022年12月13日

不特定多数の利用者が自由にユーザーアカウントを作れるWebサービスで、「メールアドレス認証だけ」でログインできる方式は危険でしょうか？

いま一般的にはまず「パスワード認証」を備えて、さらにパスワードを忘れた時にメールアドレスに指定の鍵（短時間だけ有効な認証コードや認証URL）を送ってパスワードを再設定できる方式がメジャーなように思います。

よく考えたらそれはつまりメールアドレス認証ができればそのアカウントの持ち主と判断しているので、最初からメールアドレス認証だけでログインしても同じなのでは？と思ってしまいます。

しかしパスワード登録がないWebサービスは個人的には見かけたことがありません。

スマホ等を利用した多要素認証でセキュリティ向上というのはひとまず置いておいて、「パスワード認証は不要で、メールアドレス認証でいいのでは？」という点が気になっています。パスワードが盗まれるリスクが１つ減るから良いのでは？とすら思ってしまうのですが・・。

リクエスト

パスワード登録のないWebサービスは、メジャーなところではヤフーがあります。ヤフーの場合はメールではなくSMSですが、原理的には同じことですね。また、「マジックリンク」というキーワードで検索すると、メ…

2022年8月7日

itのセキュリティ業界って狭くないですか？
知ってる人にすぐ繋がるような。

リクエスト

そう感じる時は多いですが、本当は広いのだと思います。

2022年8月6日