ockeghem page

徳丸 浩

徳丸本の中の人 OWASP Japanアドバイザリーボード EGセキュアソリューションズ代表 IPA非常勤職員 脆弱性診断、WAFの販売・導入、セキュリティコンサルティングをやっています。
https://t.co/F0kveu1nJM

ホーム
投稿
限定投稿
リクエスト
プロフィール
徳丸 浩さんにリクエスト

投稿して欲しいテーマ・お題のリクエストや質問を匿名で送ることができます。

過去の回答
Webアクセスにおける常時TLSの普及はだいぶ進んでいるのに、なぜメールはいまだに平文が主流なのでしょうか?
forum リクエスト
面倒くさいからじゃないですかね。 メールの暗号化にはメッセージの暗号化と通信路の暗号化があり、メッセージの暗号化にはS/MIMEとPGPがメジャーなところですが、メジャーと言いつつほとんど使われていま…

19時間前

自身で運営していないWebサイトへ無断でセキュリティ診断に準ずる行為をすることは禁じられていると思っているのですが、公にバグバウンティをやっていないサイトの脆弱性が見つかって、確証をもってIPAなどに届けられるのは何故なのでしょうか。脆弱性にもよりそうですが、SQLに干渉する文字や、スクリプトやタグ文字を意図して送ってみたり、それなりのパターンを試さないと確証には至らない気がして、不思議に感じています。たまたま見つかったりするものなのでしょうか。
forum リクエスト
一次情報にあたりましょう。「情報セキュリティ早期警戒パートナーシップガイドライン」に書いてあります。とくに、同ガイドライン「付録3」には「法的な論点について」詳しく説明されています。 簡単に言えば、関…

1日前

HasuraのブログでJWTのベストプラクティスとして、最初JWTを短かめの有効期限設定でメモリに格納し、その後silent refreshでログイン状態の保持(refresh tokenはcookieに保存&HttpOnly)を行う、とありましたが、この手法についてはどう思われますか? https://hasura.io/blog/best-practices-of-using-jwt-with-graphql/
forum リクエスト
この記事は非常にすぐれていると思いました。その理由は、特定の前提条件においてアーキテクチャを選定した理由が明確であるからです。読者はこの記事の結論よりも方法論を学ぶべきだと思います。結果は前提条件によ…

5日前

YouTubeであの様な技術を無料で公開しているということは先生にとってはレベルの高くないものなのでしょうか?
forum リクエスト
なぜ無料で公開しているか、ですが、そこには表現者としてできるだけ多くの方に見ていただきたいという思いと、会社経営者として、無制限に無料で公開するわけにはいかないという思いのせめぎあいがあります。単純に…

5日前

YouTubeの動画がどれも分かりやすいです。動画制作にはどのようなソフトを使っているのでしょうか。
forum リクエスト
スライド部分はPower Pointの機能でナレーションを入れて動画エクスポートしたものです。デモの画面キャプチャ映像とあわせて、動画編集はAdobe Premiere Elements(パソコンにプ…

5日前

数ある脆弱性や複雑な対策を減らすために、インターネット(の根本的な部分)を作り直したい、または「こんなネットの仕組みがあったら」のような妄想をしたことはありますか
forum リクエスト
なくはないです。インターネットではなくウェブの話ですが、CSRFを未然に防ぐという意味で「クロスサイトでPOSTリクエスト送れないようにしたら良かったのに」と妄想したことはありましたが、これとは別の方…

7日前

セキュリティエンジニアにとっての必要な知識とホワイトハッカーにとっての必要な知識は、結構違いますか?
forum リクエスト
「セキュリティエンジニア」と「ホワイトハッカー」を定義しないと回答できない質問ですが、あえて雑に回答すると「かなり違います」

7日前

銀行のオンラインバンキングサービスでは携帯キャリアのメールアドレスを必須で求められることはよくあると思いますが、セキュリティ的にどう思われますか。 キャリアが発行していてある程度信頼性があるという点もあると思います。 しかし、最近はキャリアのメールアドレスでもPCで見れるようなサービスもあるので、スマホ、携帯からしか読めないから安全という点はなくなってきているのではないかなと思います。 それにキャリアを変えるたびにメールアドレスを変えるという面倒な作業も発生します。 それなら、メールではなく電話やSMSでの認証にしたほうがよいと思うのですが... 長文失礼いたしました。
forum リクエスト
質問に対して色々疑問です。 まず前提として、「携帯キャリアのメールアドレスを必須で求められることはよくある」のでしょうか。念の為自分のオンラインバンキング口座(8行)を調べましたが、「携帯電話のメール…

7日前

継続サポート
ホーム
投稿
限定投稿
リクエスト
プロフィール
自分のダッシュボードへ
PAGEFULについて
利用規約
プライバシーポリシー
特定商取引法に基づく表示
PAGEFULに関するお問い合わせ

定額制サービス・毎月の会費の徴収をかんたんにできるメンバーペイ

メンバーペイ
powered by PAGEFUL[ペイジフル]