徳丸本の中の人 OWASP Japanアドバイザリーボード EGセキュアソリューションズ代表 IPA非常勤職員 脆弱性診断、WAFの販売・導入、セキュリティコンサルティングをやっています。
https://t.co/F0kveu1nJM

徳丸 浩さんにリクエスト

投稿して欲しいテーマ・お題のリクエストや質問を匿名で送ることができます。

過去の回答
仮想マシンを運用せずとも、WSL2でセキュリティの学習には十分ですか⁉︎
みそ汁は赤味噌と白味噌のどっちが好みですか?
逆にどんな質問をしてもらいたいですか?
ツイッター上で、「filetype 社外秘」と検索して閲覧している人がいましたが、これ不正アクセスでは無いのでしょうか?
先生はどのように思われますか?
ログインユーザ名を間違っただけでエラーにするサイトはセキュリティ的にどうなのでしょうか。

例えば、りそなダイレクトはユーザ名を間違えただけで次に進めなくなります。これだと、ユーザ名としてありうるアカウントを推測するのが容易だと思い心配です。

Unixのログインのように「ユーザ名、パスワード両方入れた上で判断」させた方が、クラッキング可能なユーザ名の特定機会は減らせるとおもいます。

もっとも、ログインインタフェースを作ってる人の一部は、このような思想を知ってても良さそうなのですが、実際はそうではない理由は何かあるのでしょうか。
私が発見した脆弱性をIPAに通報しました。正式に受理され、脆弱性のあるサービスを提供している担当者と連絡が取れたとIPAからは連絡がありました。
しかし、待てど暮らせど脆弱性が修正されず放置されています。かなり大きな外資系企業の日本法人で、個人情報が駄々洩れです。私が当事者なら即刻対応し、数日中にリリースできるのにとやきもきしています。
もう通報してから半年経過しているのです。この間にも情報が洩れてないか勝手に心配しております。
詳細には書けませんが、住所、氏名、クレーム内容、電話番号など結構な個人情報にかなりの件数アクセスできる状態です。

報告した脆弱性を半年も放置されたら徳丸さんならどうしますか?次のアクションをアドバイスしてほしいです。
自分のパスワードを複雑にしたいですが、使ってはいけない記号はありますか?

(シングルクォートとか)

例えば自分のパスワードを
例) 123example@#/'--123+&#&
みたいな感じです。
あるサイトのURLを書き換えたことにより、クリックなどではアクセスできないページが見えてしまいました。(いわゆる強制ブラウズ(?))
これは運営に報告した方がいいのでしょうか、報告によって違法性が問われる可能性はありますでしょうか。