ockeghem page

徳丸 浩

徳丸本の中の人 OWASP Japanアドバイザリーボード EGセキュアソリューションズ代表 IPA非常勤職員 脆弱性診断、WAFの販売・導入、セキュリティコンサルティングをやっています。
https://t.co/F0kveu1nJM

ホーム
投稿
限定投稿
リクエスト
プロフィール
徳丸 浩さんにリクエスト

投稿して欲しいテーマ・お題のリクエストや質問を匿名で送ることができます。

過去の回答
ソーシャルゲーム、ホームページなどでバグや不具合などがありますが、 ユーザーの操作の原因で起きた場合、責任が生じてしまいますか? DoSでも無いように思いますが、どうでしょうか。
forum リクエスト
意図的に脆弱性を攻撃したような場合を除き、ユーザーの責任ではありません。

3日前

DBに保存されるパスワードのハッシュ化・ソルトについて質問です。ソルトにはそのテーブル独自の秘密鍵のようなものを使っても大丈夫でしょうか。それとも、個々のレコードのIDをソルトとすべきでしょうか。
forum リクエスト
ソルトの要件として、(1)ユーザー毎に異なる、(2)ある程度の長さが必要というものがあり、「テーブル独自の秘密鍵」だと要件(1)を満たせない、「個々のレコードのID」だと(2)を満たせない可能性があり…

12日前

ログイン機能の無いお問い合わせフォームで、連投を防ぐ方法は、究極的には、IPアドレスで識別するしかありませんか?
forum リクエスト
いきなり「究極」の話を振られても困りますが、その前段としてCAPTCHAなどは考えられます。場合によっては「連投を許容する」という「究極の方法」もありますので要件次第かと。

13日前

最近脆弱性の調査をしていたら某サイトでユーザーAPIが認証なしで叩くことが可能(なんとパスワードも返ってくる)・PHPでログインAPIを立て、javascriptでpostし結果trueだったらcookieにユーザー名とパスワードを平文で保存するという非常にマズイシステムがあったのですが、なぜそんな設計を業者がするのでしょうか? 最近では安い代わりに雑な開発をする企業も多いのでしょうか?
forum リクエスト
昔から「安い代わりに雑な開発をする企業」はありますが、最近は「見様見真似でウェブAPIやSPAを開発する」例を多く見かけるようになり、ご指摘の例まで極端ではないにしても、雑な開発を見る機会が多いようで…

13日前

会員制サイトを利用しているエンドユーザーのブラウザで、悪意のあるブラウザ拡張機能が動作してしまった場合に、サイト側でそれを防御することはできるでしょうか? 例えば拡張機能の tabs.create で勝手に指定URLを新しいタブで開き、manifest.json の content_scripts で任意のJSをそのページ内で実行できてしまうと思います。そうすると例えば勝手にパスワード変更されてしまったり、アクセストークンが盗まれてしまいそうです。
forum リクエスト
サイト側では防御できないと思います。ご懸念のようなことは、一例としてパスワード管理ソフトのブラウザ拡張がしています。すなわち利用者が入力したパスワードを外部に送ります(暗号化はしますが)。現状では利用…

13日前

OWASPのCSRF防御チートシートには様々な対策・多層防御策が紹介されています。徳丸本では3種類のチェック方法が書かれていますが、もし改訂するなら追加したいものはありますか?「Use of Custom Request Headers」が個人的には気になっています。
forum リクエスト
「Use of Custom Request Headers」は拙著4.16.5節の「カスタムリクエストヘッダによる対策」として掲載されています。追加するとしたら、クッキーのsamesite属性ですか…

21日前

オンラインストレージの共有機能で「リンクを知っている全員」の共有設定で個人情報や機密情報のデータを共有している場合、そのデータは安全に管理されていると考えてもよいのでしょうか? リンク(URL)が、ある程度長く複雑であれば安全だという意見もあれば、URLが単純であろうが複雑であろうがセキュリティ的に意味はない(安全ではない)という意見もあります。 情報セキュリティの専門家の方の間でも意見は割れているのでしょうか? よろしくお願いいたします。
forum リクエスト
拙著(安全なWebアプリケーションの作り方第2版)の5.3.2節末尾の「秘密情報を埋め込んだURL による認可処理」にて解説しています。

22日前

スクレイピングの勉強で、 特定のサイトに対して間違えてGETリクエスト を期間をおかず100-1000回ぐらい送ってしまいました。今振り返ってみて、何かしらの法律に触れてしまっているのではないかと不安になり、夜も眠れないです。
forum リクエスト
100回~1000回だとそんなに大したことない気がしますし、サイトが止まったりしてないのであれば、逮捕されたりはしないと思います。

30日前

継続サポート
ホーム
投稿
限定投稿
リクエスト
プロフィール
自分のダッシュボードへ
PAGEFULについて
利用規約
プライバシーポリシー
特定商取引法に基づく表示
PAGEFULに関するお問い合わせ

簡単オンラインコミュニティ決済ならメンバーペイ

メンバーペイ
powered by PAGEFUL[ペイジフル]