2019年7月29日のtwitterセキュリティクラスタ

そんなことはないです>『いわゆるセキュリティ診断はあくまで実装に対する診断であって、設計に対する診断ではないということです。ですので実装上の欠陥は検出できても、設計上の欠陥は検出できません』 / “セキュリティ診断で防げない事故 | クロスイデアblog” htn.to/gvK8r6vDP9

設計工程に起因する問題であっても、悪い設計がプログラムに反映しているわけで、プログラムを診断することにより設計上の問題も診断できます。外部から診断できないのは、パスワードの保存方法とか、ログを取得しているかやその項目など、外からは見えない種類の問題です。

正直なところ、手動の診断をやっていて、かつ、それに価値があると思えるような会社って実はそんなに多くないのではと思ったりもしますけど……(私が知らないだけという説はある)。

@bakera その「会社」っていうのは診断会社のことですか?依頼側の会社のことですか?
「価値のある手動診断を提供してくれる診断会社」なのか「手動診断に価値を得られている開発/運営会社」なのか。前者のことだとは思いますけど。

@hasegawayosuke 診断会社の方を意図していました。
後者の話もそれはそれでありますね。

@bakera なるほど。
セキュアに作る、作れるということが一般的なもの・当たり前なものになったときに、診断会社としてどうあるべきなのか、どうあるべきなのかは自分の中でもここ数年ずっと課題として持ち続けています。

日記書いた / “PHPサーバーサイドプログラミングパーフェクトマスターのCSRF対策に脆弱性 | 徳丸浩の日記” htn.to/dacGKHCaMt

password_hashで生成した値自体を比較していればそうまずくはなかったのにpassword_verifyで照合するからトークンは空ではないが元値は空という隙を作りワンタイム化によってトドメを刺したという… / “PHPサーバーサイドプログラミングパーフェクトマスターのCSRF対策に脆…” htn.to/4uX5oNEqL6

セキュリティと利便性、脆弱性診断などについて徳丸さん @ockeghem えびちゃん @co3k 小賀さん @makoga と話しました!ぜひきいてみてください。 #ajitofm twitter.com/ajitofm/status…

インスタの任意アカウント乗っ取り可能なセキュリティーホールは、SMSによるパスワードリセット時のワンタイムコード入力試行数制限が250だったが実はIP当たりの制限に過ぎなかったので、クラウドで2000-5000インスタンス同時にトライすればハイジャックできたという話。
hotforsecurity.bitdefender.com/blog/how-any-i…

インスタは勿論修正済みだけどこの手のチェックは手来てないところたまにありそう。
クラウドサービス使って大量のインスタンス起動するだけだから150ドルくらいのコストで誰でも簡単に実行可能なので、皆さんワンタイムコード入力制限にミスがないか再チェック&チェックリストに加えておくと良いかと

リカー・イノベーションが提供する日本酒定期購入サービス「KURAND CLUB」サイトへの不正アクセスによる、お客様情報流出のお詫びとご報告 | KURAND(クランド) kurand.jp/60711/

『日本酒定期購入サービス「KURAND CLUB」のECサイト(..)(以下「当サイト」といいます。)の一部の脆弱性を突いた第三者の不正アクセスによって、ペイメントモジュールの改ざんが行われたため、一部のお客さまのクレジットカード情報を含む個人情報が流出したことが判明』twitter.com/piyokango/stat…

記事になってた。/ システムを守る認証の実態①/JNSA 本人特定のための認証を確立する3つの要素 低いWebサービスでの「多要素認証」導入率
「日本ネットワークセキュリティ協会(JNSA)は、報道機関向けに「今知りたい!システムを守る認証の実態」をテーマに懇談会を開催」
shanimu.com/2019/07/23/pos…

『掲載している日経XTECHのサイトがEV証明書に適応していないという状況ですので、日経におかれましてはもう少し記事のテーマと執筆内容について吟味されると良いのではないかなあと』

日経新聞「HTTPS神話」記事が大事な部分を端折り過ぎて間違った内容に仕上がる一部始終
news.yahoo.co.jp/byline/yamamot…

『お客様宛にお荷物のお届けに
あがりましたが不在の為持ち帰りました。下記よりご確認ください』の本文とともに
【https ://rrv26.tumblr.com】に
誘導されるSMS が届いた。
いくつかあるようですが、私に来たのは【09052772128】です。
ググると詐欺のようです。
皆さま、お気をつけを。
ヽ(´д`)ノ

キャリアメールへのフィッシング、ソフトバンクを騙るものも定期的にきてる。

本物のsuper fridayはsmsに来る、(SOFTBANK|SoftBanK)は ソフトバンクやSoftBankで統一されてるっぽい、urlにfukui[.]jp等の地名のものは通常無い、辺りで初期判断はできますね。 pic.twitter.com/9DY2HPdcOo

こんなSMSが届いたけど、詐欺ですよね? 三井住友に口座ないし… pic.twitter.com/LHkhbnLMbD

中国系グループが中国の政府機関を狙っていた!?

Zegost from Within – New Campaign Targeting Internal Interests
fortinet.com/blog/threat-re… pic.twitter.com/3W2EfmuCOl

今日は、これをしゃべります!

『認証にまつわるお話〜7pay事案を読み解く〜』

speakerdeck.com/ctrl_z3r0/auth…

#WeeybleSecurity

菅官房長官になら教えてもらいたい

ホワイトハッカーの育成、政府一体となって取り組む=菅官房長官
reut.rs/2YdShWb

スマートフォンなどでサイバー犯罪に遭わないように手口や基本的な対策などをわかりやすく解説した短編アニメ映像「IoT機器乗っ取り編」を配信中!

【お知らせ】
8月24日(土)・25日(日)に「サイバーセキュリティ体験イベント」を行います。ご来場をお待ちしております。

#AI #犬 #小嶋真子 #こじまこ pic.twitter.com/sRAP24hhyd

焼損免れたサーバーから原画などのデータ回収 京アニ t.asahi.com/w83y

インターネット上に公開されていた電子メールアドレスとパスワードを使って、セキュリティ企業の内部ファイルとドキュメントへのアクセス権限を手に入れた——米セキュリティ企業の内部ファイルにアクセスが可能なパスワードがGitHub上で公開されていた | TechCrunch Japan buff.ly/2YbtxgY pic.twitter.com/bWD0JW8ASP

NTTコミュニケーションは同社のセキュリティーサービスを利用中の顧客に対し、サイバーリスク保険付き「セキュリティサポートデスク」を提供開始した。月額8万円から利用できる。 ascii.jp/elem/000/001/9… pic.twitter.com/Ggnl09g3ZH

「No More Ransom」が3周年–少なくとも計約120億円の被害を阻止 japan.zdnet.com/article/351405…

[ITmedia NEWS]認証方法は「IDとパスワードのみ」が7割超 ネットサービス事業者の甘さ露呈 bit.ly/312FRNQ

[ITmedia NEWS]今さら聞けない「認証」のハナシ:二段階認証の意味を問う 「7pay事件」を教訓に見直したい認証のハナシ bit.ly/32YByF5

[ITmedia ビジネスオンライン]専門家のイロメガネ:中国で受け入れられた信用スコアは、なぜ日本で炎上するのか? bit.ly/2GzGjLu

[ITmedia NEWS]PUFFY大貫亜美さんのインスタ、乗っ取られるも、「奪還成功」 bit.ly/31aTR8n

自宅セキュリティ研究所

自宅セキュリティ研究所 wrote 2714 posts

Tags

Post navigation


コメントを残す

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>