ockeghem page

徳丸本の中の人 OWASP Japanアドバイザリーボード EGセキュアソリューションズ代表 IPA非常勤職員脆弱性診断、WAFの販売・導入、セキュリティコンサルティングをやっています。
https://t.co/F0kveu1nJM

リクエスト

プロフィール

徳丸浩さんにリクエスト

投稿して欲しいテーマ・お題のリクエストや質問を匿名で送ることができます。

過去の回答

仮想マシンを運用せずとも、WSL2でセキュリティの学習には十分ですか⁉︎

リクエスト

学習の内容によると思いますが、まずはWSL2でやってみてはいかがですか? ぼくは環境をいくつも（100以上?）作っています。無駄を恐れる必要はないと思います

3時間前

みそ汁は赤味噌と白味噌のどっちが好みですか？

リクエスト

どっちもあまり好きではないのですが、強いて言えば赤味噌ですね

3時間前

逆にどんな質問をしてもらいたいですか？

リクエスト

あまり難しくない質問がいいですね

3時間前

ツイッター上で、「filetype 社外秘」と検索して閲覧している人がいましたが、これ不正アクセスでは無いのでしょうか？
先生はどのように思われますか？

リクエスト

別に不正アクセスなどではありません。単にTwitterの機能を使っているだけです。しかし、どうやって、『「filetype 社外秘」と検索して閲覧している人』をみつけたのですか? そう発言していたの…

14時間前

ログインユーザ名を間違っただけでエラーにするサイトはセキュリティ的にどうなのでしょうか。

例えば、りそなダイレクトはユーザ名を間違えただけで次に進めなくなります。これだと、ユーザ名としてありうるアカウントを推測するのが容易だと思い心配です。

Unixのログインのように「ユーザ名、パスワード両方入れた上で判断」させた方が、クラッキング可能なユーザ名の特定機会は減らせるとおもいます。

もっとも、ログインインタフェースを作ってる人の一部は、このような思想を知ってても良さそうなのですが、実際はそうではない理由は何かあるのでしょうか。

リクエスト

最近はログイン時にまずユーザIDのみ入力させるサイトが増えています。銀行だと、りそな銀行の他、みずほ銀行やゆうちょ銀行などもそうです。また、大物としては、Googleやヤフーなどもそうです。そうする「…

14時間前

私が発見した脆弱性をIPAに通報しました。正式に受理され、脆弱性のあるサービスを提供している担当者と連絡が取れたとIPAからは連絡がありました。
しかし、待てど暮らせど脆弱性が修正されず放置されています。かなり大きな外資系企業の日本法人で、個人情報が駄々洩れです。私が当事者なら即刻対応し、数日中にリリースできるのにとやきもきしています。
もう通報してから半年経過しているのです。この間にも情報が洩れてないか勝手に心配しております。
詳細には書けませんが、住所、氏名、クレーム内容、電話番号など結構な個人情報にかなりの件数アクセスできる状態です。

報告した脆弱性を半年も放置されたら徳丸さんならどうしますか？次のアクションをアドバイスしてほしいです。

リクエスト

私なら単に忘れます。簡単には忘れられないでしょうが、何かに没頭する、例えばYouTube動画を制作するなどにより忘れられるかもしれません。 https://j.mp/web-sec-study

16時間前

自分のパスワードを複雑にしたいですが、使ってはいけない記号はありますか？

(シングルクォートとか)

例えば自分のパスワードを
例) 123example@#/'--123+&#&
みたいな感じです。

リクエスト

パスワードに使える文字はサイト毎に違っているので、登録する際に確認してください。記号は（求められている場合を除き）必ずしもいれなくても構いません

1日前

あるサイトのURLを書き換えたことにより、クリックなどではアクセスできないページが見えてしまいました。(いわゆる強制ブラウズ(？))
これは運営に報告した方がいいのでしょうか、報告によって違法性が問われる可能性はありますでしょうか。

リクエスト

もし見えたものが本来見えてはいけないものであれば、認可制御不備という脆弱性であり、違法性が問われる可能性があります。なので、IPAに届け出するのがよいと思います。IPAに届け出しても、違法性が高ければ…

1日前