2016年7月9〜10日のtwitterセキュリティクラスタ

まだまだ突っ込まれどころがたくさん出てきそうな佐賀県「性善説」のセキュリティです。

ネットで見つからなかったので、紙面貼っときます。佐賀版35面。 pic.twitter.com/kuctpqdaFi

「性善説で作られてるネットワークセキュリティ」ってどこの世界の話なんだろうか…
佐賀県は我々の知っているネットワークとは別の歴史をたどった多重世界なのだろうか…

投げていた質問への回答を頂きましたので、ご参考までに置いておきますね。
gist.github.com/nojimage/74609… #佐賀県教委情報漏洩

[佐賀新聞] 警視庁、不正アクセス事件で県教委に回答 bit.ly/29xoX27 #saganews

今朝の朝日新聞(佐賀版?)35面に不正アクセスの記事が載っている。「性善説のセキュリティー」とか死にたくなるレベルの低さに開いた口がふさがらない。去年の時点で致遠館で問題が発覚していたのに報告もなし。結局警視庁からの通告がなければ黙っていたのだろうか。佐賀県教育委員会ひどすぎ。

えっ?佐賀県教委の口から「ネットワークのセキュリティは『性善説』でつくられている」って言葉が出てくるって、ちょっと本当に何を伝えようとしているのか、真意が掴めない。というか、責任逃れの理由にもできないだろそれ。

佐賀県教委が「管理者用のIDでログインすれば、全てのアクセス権をもてる」事に対して、「なぜそんな仕組みになっていたか業者に確認する」とぬかしているけど、この一言だけで権限周りを致命的に解っていないこと丸出しだし、なんか目を通しているだけで頭が痛くなる。

あれですか。佐賀県教委が「性善説のセキュリティ」頼りなら、安全対策も管理もほぼ不要となるので、県教委のセキュリティ上の無策ぶりには、彼らなりの正当性とその根拠が合ったと主張をされたのですね、わかりま…わからねーよ。

佐賀県教委の言う性善説のセキュリティやら、管理者IDでログインされると全情報を閲覧できる事を知らないとか、それぞれの間に整合性が無さ過ぎて、何を言っているのかさっぱり理解できなくて、ホントにわけが分からないのですが、一日の終わりにとんでもないものを読んでしまったわ。

佐賀県教委ってあれか。性善説を振りかざして、学校の屋上でチ○コ丸出しで踊っていおいて、「僕のチ○コの写真撮られました、けしからんです!」と言いたいのか。変な例えだけど、それ位しか思い浮かばんわ。

佐賀県教委は一連の経緯について、文部科学省にもちゃんと「性善説のセキュリティで構築しました(キリッ)」と報告して下さいね。

佐賀県教委の情報セキュリティに関する発言をまとめて本にでもしたら、セキュリティエンジニアに聞かせて続けて正気度を試すという拷問に使えそうだ。

佐賀県教の云うところの「セキュリティにおける性善説」って、「田舎なんてどこも家の鍵なんて掛けてないしそれで泥棒被害とかないしw」レベルの戯れ言とほぼ同義。傾聴にも値しないからもう喋るなよw

その他に気になったことはこのあたり。

昨日のDICOMOナイトセッションで東京電機大の学生が「マルウェアに感染したら目の前のPCを殴って壊すのが一番早いセキュリティ対策」というのをネタで言ってたけど、本当にそうなんじゃないかという気がしている。

「いったい何件の顧客情報が流出したんだ!?」
「感染PCを殴って壊したのでわかりません」

ここはパスワード管理地獄。
7つあるIT地獄のうちの一つだ。
一日一回鬼が来る、そのたびに108つのパスワードを設定しなければいけない。パスワードは13文字以上英数字記号含み、過去5回のパスワードと2文字以上部分一致してはいけない。どこかにメモを残して記憶しているのがバレると

Looks like Microsoft changed the Edge XSS Filter rules quite dramatically in 14327.rs1_release.160620-2342 / Edge 38 pastebin.com/hecQRGVY

“The Scriptless Scriptlet – Or how to execute JavaScript from CSS in MSIE11 without using Scripts” gist.github.com/cure53/521c12e…

[ねとらぼ]BookLiveのアルバムアプリ「リコネ」で個人情報流出の可能性 「確実な再発防止のため」サービス終了 bit.ly/29DUhwG

自宅セキュリティ研究所

自宅セキュリティ研究所 wrote 2714 posts

Tags

Post navigation


コメントを残す

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>