ockeghem page

徳丸本の中の人 OWASP Japanアドバイザリーボード EGセキュアソリューションズ代表 IPA非常勤職員脆弱性診断、WAFの販売・導入、セキュリティコンサルティングをやっています。
https://t.co/F0kveu1nJM

リクエスト

プロフィール

徳丸浩さんにリクエスト

投稿して欲しいテーマ・お題のリクエストや質問を匿名で送ることができます。

過去の回答

不特定多数の利用者が自由にユーザーアカウントを作れるWebサービスで、「メールアドレス認証だけ」でログインできる方式は危険でしょうか？

いま一般的にはまず「パスワード認証」を備えて、さらにパスワードを忘れた時にメールアドレスに指定の鍵（短時間だけ有効な認証コードや認証URL）を送ってパスワードを再設定できる方式がメジャーなように思います。

よく考えたらそれはつまりメールアドレス認証ができればそのアカウントの持ち主と判断しているので、最初からメールアドレス認証だけでログインしても同じなのでは？と思ってしまいます。

しかしパスワード登録がないWebサービスは個人的には見かけたことがありません。

スマホ等を利用した多要素認証でセキュリティ向上というのはひとまず置いておいて、「パスワード認証は不要で、メールアドレス認証でいいのでは？」という点が気になっています。パスワードが盗まれるリスクが１つ減るから良いのでは？とすら思ってしまうのですが・・。

リクエスト

パスワード登録のないWebサービスは、メジャーなところではヤフーがあります。ヤフーの場合はメールではなくSMSですが、原理的には同じことですね。また、「マジックリンク」というキーワードで検索すると、メ…

7日前

itのセキュリティ業界って狭くないですか？
知ってる人にすぐ繋がるような。

リクエスト

そう感じる時は多いですが、本当は広いのだと思います。

8日前

ログイン機能に対するCSRFは、一般的なCSRFと比べてリスクが低いといえるでしょうか?

リクエスト

はい。一般的なCSRFは被害者のログイン状態により機能が実行されるわけですが、ログイン機能に対するCSRFは第三者のアカウントで強制的にログインさせるわけですから、サイトの性質に依存するものの、一般的…

6月23日

IE のサポート終了は、徳丸本第3版を執筆する理由になりますか？

リクエスト

なりません。IEに依存する箇所は初版から2版でかなり削りましたし、実習環境はFirefoxを前提にしているので。

6月15日

徳丸先生の思う「ご自身の過去最高の殺し文句」は何ですか

リクエスト

一々おぼえてないです。

6月5日

CSRFについて質問があります。
CSRFの攻撃は、徳丸本第2版 pp.82 -- pp.83 「JavaScript 以外のクロスドメインアクセス」に記述されている項目、いわゆる「クロスドメインアクセスが許可されてている項目」に限られるのでしょうか？
JavaScript のクロスドメインアクセスが SOP によってCORSがブロックされている場合を除きます（もちろん、これにも CSRF 対策が必要だと考えています。）。

リクエスト

クロスドメインアクセスが許されている項目であればCSRF攻撃に使えますが、徳丸本に書いてあるのは代表的な例なので、他の要素でも攻撃には使えます。ただし、防御する側では、その点はあまり関係ありません。

6月5日

Googleにて「concat(70-3)」といった検索をしてみると、YahooやJALなどSearch機能の実装されたページでrequire'socket' Socket.gethostbynameなどのリクエストを含む何らかの攻撃を受けた形跡が確認できます。
これらはブラインドSQL(XPATH?)インジェクションというものなのでしょうか。

リクエスト

攻撃を受けていますが、成功していないように思います。私が見たのはRubyコードインジェクションという感じですが、単に検索結果がGoogleにインデックスされており、攻撃は成功していないと思います。

6月4日

どのようなスキルや経験があればセキュリティエンジニアを名乗って良いと思いますか？ここ数年でセキュリティに興味を持ち始め、セキュリティ資格取得（情報処理安全確保支援士やCISSP等）や業務でもリスクアセスメントを実施していますが社外で専門にやっている方と比べるとまだまだ足りないと思ってます。

リクエスト

CISSP持ちであればセキュリティエンジニアを名乗ってよいと思いますが、「まだまだ足りない」という気持ちを持ち続けるのはよいと思います。

6月1日