「徳丸」を含む日記 RSS

はてなキーワード: 徳丸とは

2020-09-16

ITセキュリティ界隈仲悪すぎ問題

2020-06-23

キャッシュレスならすでにクレジットカードがあるだろ、っていうけどねえ

2020-06-21

高木さんの芸(?)が辛い

https://b.hatena.ne.jp/entrylist?url=https%3A%2F%2Ftwitter.com%2FHiromitsuTakagi

能力も高く、知識豊富で、私のような素人には及びもつかない高い見識でセキュリティ周りのあれこれを語っていらっしゃるのは解かるんだけれど。この人のこれが普通な上司になったら会社を辞める算段を始めるし、攻撃される会社人間だったら本当にイヤな気分なるだろうなぁ…という感じしかしないのが辛い。同じことをもう少し言いようがあるだろうというのは、セキュリティ原始人の戯言だという認識なんだろうし、それも完全に間違っている訳では無いんだろうけど。でも、存在が辛いなぁ…と。勿論、なるべく見ないようにはしているんだけれど。よく流れて来るので。

徳丸さんとかは全然そういう攻撃性みたいのを感じなくて、いつもありがたいと思っていますが。それも個性範疇だと言われればそうかもしれない

2020-03-01

anond:20200301135628

数学ガール英訳されてたような気がする。技術書じゃないけど。

中国語とか韓国語への翻訳ならおおそう。徳丸さんのwebセキュリティの本とか。

2020-02-02

[]2020年1月はてブあとで読むトップ30リスト

はてブホットエントリ(総合)で月内に数多く[あとで読む]タグを集めたエントリ

506あとで/2747users 3年弱をかけ、ほぼ原付だけで日本全国の全市町村を回った人のブログ名前も知らず興味も持たなかった町のページを開いてもめちゃくちゃ良い写真が出てきてしまう』 - Togetter

501あとで/4649users 普通の人が資産運用で99点をとる方法とその考え方 - hayato

422あとで/3111users この英単語を覚えるだけで、英文の9割は読めるようになるという話【NGSL,NAWL,TSL,BSL】|かわんじ #BooQs|note

343あとで/2716users ぼくは見た、国の消滅を | NHKニュース

336あとで/2885users 脅しも謝罪必要ナシ。スゴ腕の債権回収OLに教わった、「人の動かし方」がスゴい | Dybe!

287あとで/1547users 機械学習短期集中コース - Learn | Microsoft Docs

247あとで/2094users 中古物件に暮らす仲介プロ秘伝の中古マンション注意点209個|中古マンションのリノベーションならゼロリノべ

198あとで/1127users ふるさとの手帖

193あとで/1407users デザインが苦手な人へ。デザインの四大原則を押さえれば格段にクオリティ上がるよ→素人が作るチラシや仕様書などにも有益 - Togetter

187あとで/1969users 100分de名著シリーズバックナンバー100冊を読破したら人生変わった

185あとで/1274users 【全文無料】総目次 世界史/日本史のまとめ|みんなの世界史note

183あとで/1101users 【全部無料】ハマると時間が秒で過ぎる英語圏プログラミング系サイトまとめ【英語学習】 - Qiita

175あとで/1452users 2020年IT業界で働く人に読んでほしい10冊|マスク・ド・アナライズnote

170あとで/1530users Netflix英語勉強できる「LLN」がすごい! 字幕の同時表示・速さ調整・辞書機能ありと至れり尽くせりだよ | Pouch[ポーチ

170あとで/880users 架空企業オニギリペイ」に学ぶセキュリティインシデント対策 (1/3):徳丸浩氏が8つの試練を基に解説 - @IT

167あとで/1236users その本は、長く出版禁止だった。語られなかった〈女たちの戦争〉を今マンガで届ける理由――『戦争は女の顔をしていない』インタビュー

166あとで/1171users 要件定義システム設計ができる人材になれる記事 - Qiita

163あとで/1490users ミルクボーイアジャイル説明したら - Tommy - Medium

157あとで/1488users 君はPornhubを知っているか - ゆーすけべー日記

154あとで/800users アプリケーションにおける権限設計課題 - kenfdev’s blog

149あとで/1159users 読みやす文章のために、極力削るべき言葉リスト桜川和樹|note

149あとで/1425users クエン酸重曹セスキなど使い分けがからない時に役立ちそうな表がとても有能と話題に「お掃除RPG」 - Togetter

147あとで/870users ITエンジニア投票した「ITエンジニア本大賞2020」ベスト10発表。「ドラゴンクエストXを支える技術」 「ダークウェブ教科書」など - Publickey

136あとで/1017users 三大読ませるWikipedia記事として「三毛別羆事件」「岡田更生館事件」「地方病」が話題に→みんなのオススメ記事が集まる - Togetter

130あとで/626users 現場で役立つシステム設計原則メモ - Qiita

129あとで/924users 高校生リアルタイム投票サイトを公開したらいきなり1万PVを記録した話 - Qiita

127あとで/748users 【2020年AWSサービスまとめ | Developers.IO

124あとで/1279users 転職の際にもらえる「再就職手当」「就業促進定着手当」合わせて数十万もらえることもあるので、ぜひ知っておきたい - Togetter

123あとで/1052users ラズベリーパイ使って宅配便再配達を撲滅した話(総集編) - West Gate Laboratory

122あとで/1029users 現職のGoogleエンジニア半年勉強量がこちら - Togetter


1番あとで読むを集めたTogetterは当時参照先のブログアクセス過多で見られなかったらしく、あとで読む付けておくしか無いよな。7番目にある「ふるさと手帳https://katsuo247.jp/と言うのがその見えなかったブログらしい。

2019-09-13

自民党支持者だけど追記した

自民党支持者だけど流石に辛くなってきた。

どこの党に入れたらIT担当大臣にまともな人を据えてくれますか?

次の選挙はそっちに投票します。

【こっから追記

ホッテントリに入ったのに全然具体的な人名が出てこないのワロタ…ワロエナイ…

自民党投票する奴は馬鹿、とか自民党以外なら何でもいいとか、そういうとこだぞ!

個人的には徳丸浩を擁立する党があったらついていくわ。

2019-08-09

これキラキラネームか?

夏の甲子園、選手の「キラキラネーム」に注目集まる 「時代感じさせる」「読めない」 - 弁護士ドットコム

加賀谷三亜土(さあど)→キラキラ

佐々木夢叶(ゆめと)→まあまあキラキラ

鷹島流暉(りゅうき)→いやこれは普通だろ

関山愛瑠斗(あると)→キラキラ

関山和(なごみ)→いやこれは普通だろ

野口海音(みのん)→まあまあキラキラ

横山海夏凪(みなぎ)→まあキラキラ

黒川史陽(ふみや)→いやこれは普通だろ

徳丸天晴(てんせい)→いやこれは普通だろ

上野颯夏(そう)→まあまあキラキラ

小林未来雄(らいお)→まあキラキラ

江川輝流亜(きるあ)→キラキラ

坂本芽玖理(めぐり)→これは普通だろ

2019-04-03

セキュリティクラスタって性格悪いよなあ

徳丸さんとか高木さんとか、いつまでも武雄市長に粘着して息吸って吐いてるだけで文句わめいてるし。

なーにがこんにちわ~~だよクソが

2018-12-22

PayPayのセキュリティって何が悪かったの?

クレジットカード番号のセキュリティ番号を何度も試せるとか話題になっていたけど、サービス側で10回に制限しても意味ないでしょ。

クレカ使うECサイトなんか幾らでもあるんだから10回試せるECサイト100個見つければ簡単にできる話であってクレカ会社側でロックしてもらわないとどうにもならない。

ちなみにVISAはこれがちゃんとできてなくてニュースになってた。

http://www.itmedia.co.jp/enterprise/articles/1612/06/news057.html

サイト側で制限をかけようとするとクレカの番号にソルト付けてハッシュ化したりして試行回数を保存しておかないといけないんだけど、それをサイト毎に実装した方がセキュリティ的にまずいこと起こる確率高まるのでは?

徳丸先生ECサイト側でクレカ情報に触れなくなってきているというので、そういう流れなのであれば実装したくないよねー。

https://twitter.com/ockeghem/status/1075355119573581826

徳丸先生も悪い流れだと書いてないので、サービス側でチェックしなくても良いということだと思う。俺は徳丸先生を信じる。お前らも信じろ

そしてホッテントリになってたこれ。

https://togetter.com/li/1300564

結局なんでこんなことになってしまったのかといえば、きっと素人目に安全そうに見えなかったのがいけなかったのだ。

セキュリティ的に大した違いが無くてもWeChatPayの方が安心できそうな見た目をしている。つまりただのお気持ち案件

ブコメでもそうだったけどやっぱりセキュリティ的に問題あるようには見えないよね?

PayPayに関してはいろいろあったもの対応が早い方だと思うし、言いがかりに近いものまで対応していてお疲れさまでしたという感想しか出てこない。

2018-12-06

NTT新卒で落ちました

NTT退職エントリ流行っているようなのでそもそも入れなかった人の話でも書きます

といっても1X年前の話です。

増田はどんなひとか

1980年台前半生まれ

リーマンショック直前の超売り手市場新卒4月初頭というゴールデンタイムNTT系列何社も受けて全滅したアホ。

趣味プログラミング。ICPFCとか参加したり小さいツールを書いたりしてた。

大学の専攻は数学日本ではやたら偏差値の高いらしいT大学に現役で入ってそのまま修士卒。

どこを受けたのか

NTT株、NTTD、NTTS、NTTH、NTTCなど。略称がどこを指すかは適当に考えてね。

部落ちてます4月はこのせいでお祈りされまくり、結局決まったのはNTT以外で夏ごろで。

なぜNTTに応募したのか

電話がとても好きだった。高校ぐらいのときモデムから高速リダイヤルをかけるアプリとか、

公衆電話の番号を探すツールとかを書いていた。PHS携帯が普及しだしたこから

そもそも仕様があまり手に入らなかったので興味を持てなくなった。113はよくお世話になった。

就活ときそのへんのことを思い出したのと、プログラミングが好きだったのでNTTなら

なにかできるんじゃないだろうかと思いたくさん受けた。

なぜNTTをそんなに落ちたのか

当時はプログラマというもの地位ものすごく低い時代だったと思う。

そんな時代に「プログラミングやりたいです。ICPFCとかめっちゃ楽しいです。」という割に

基本情報すらとっておらず、コミュ力も非常に低い上に専攻が純粋数学とか落ちて然るべき。

更にNTTがどういう人材を欲しているのかという企業研究もろくにしていなかったため、

自分御社にどういう貢献ができるのかを説明できず、ただやりたいことだけを喋っていたた。

また純粋数学研究内容の説明がしにくいというのはわかりきった話だったので、それは対策するべきだった。

面接でどんなこと聞かれたのか

NTT

3分研究内容を話すというプレゼンSPIがよかったらしく1次面接免除という連絡をいただき

喜んで2次面接に望んだところ純粋数学研究発表で、「この研究社会的意義はなにか?」という質問をされ無事死亡。

NTTD

書類審査で通過できず。

NTTS

社名にソフトウェアなんてついてるぐらいだからプログラミングガッツリできるんだろうと思い、

CPU命令セットの素晴らしさとその効率的エミュレータ実装について熱く話す。

面接官の「そんなことにしか興味ないんですか?」という返事は今でも覚えている。

NTTH

グループディスカッションで落ちる。コミュ力とか見られてたきがするが審査員は見てただけなので詳細は不明

NTTC

面接前に社員雑談する謎の時間があり、「T大の人、ぜひ来てほしいんですけどNTTDとかNTT株に

取られちゃって蹴られてしまうんですよね…」という話を聞く。その時点でDには落ちていたので苦笑いして面接へ。

当時盛り上がっていたNGN関係の話で面接官と盛り上がるも俺が考える最強の通信スタック実装法を

熱く語ってしまドン引きされる。

結局どこにいったのか

NTT系列はだめだったので結局某SIer就職年収は300万弱から5年ぐらい在籍しても500万弱ぐらいだった。

最初は流石に年収低すぎということで某Rエージェント転職活動をするもリーマンショック真っ最中

在籍も1年とかだったため「君なにしにきたの?」オーラがすごかった。その時点での転職は失敗。

SIerによくある通り仕事コードというものほとんど書かず、ExcelWordがメインであった。

ただ仕事自体は暇だったので、合間にひたすらProject Eulerをやっていた。

今は何してるのか

今はお仕事が変わり、AI関係ソフトウェアエンジニアみたいなお仕事をしている。

相変わらず面接ではコード書きたいですとかAtCoderとかの競技プログラミングの話しかしていないのだけど、

10年前に比べると反応がとてもよくなったと感じる。年収都内に何の不自由もなく暮らせるぐらいまでは

もらえるようになった。プログラマ地位は相当向上しているのではないだろうか。

個人的にはAtCoderTopCoderで黄~青ぐらいのプログラマ社会的地位10年で年収400万から1000万ぐらいまで上がった感じがある。

結局NTTにいったほうがよかったのか

退職エントリ読んでみると、NTT株は行ってみたかたかも。

ブコメへの回答

anond:20181206084718

今は1000万!と言いたいところですが、うまい棒5万本分ほど足りません。一本行けるように今後も精進します。

ただ今都内ソフトウェアエンジニアバブルといってもよく、かなり年収水準が上がっている気がします。

ですので多少は夢を持ってもよいのかなと。

回答追記

anond:20181206104025

キリの人も入社時は優秀だったんだと思います。あともし採用されるポテンシャルがあったとしても

ちゃん業界研究しないのはだめかと。いろいろな意味で私はだめでしたね。

id:ueno_neco

1990年代はまだ固定電話の古い交換器や緑・ピンク電話などが残ってた時代で、電話面白い挙動

NIFTY-SERVEフォーラム等で盛り上がっていた時代でした。そのため当時は同じような人が結構いました。

id:sny22015

うけてません。NTTの社風に合わないと全滅する可能性もあった(そして実際そうなった)ということで、

ある意味リスク管理ができていなかったとも言えます

id:shinobue679fbea

最近NTTDのOSS関係へのコミットは凄まじいですね。あの部隊尊敬しています

あのへんのコミッタ方たちはどういうルート採用されたんでしょうね?

id:ockeghem

大学時代XSSバイナリ解析に興味があったはずなのですが、就活ではその道は選びませんでした。

忘れていたというのもあるのですが、その数年前に日本セキュリティ系の団体ちょっともめてしまった

というのがあるのかもしれません。日本セキュリティ業界ちょっと前までアングラっぽい雰囲気

漂っていました(世界的にそうだっただけな感じもします)が、そんな方たちも某FF○Iとか某NAとか

ホワイトハッカー側で大きく活躍されてるようで、もしセキュリティ業界に身をおいていたら

そういう変化も楽しめたのかなぁとは思います

あ、徳丸さんのブログはいつも楽しく拝見させていただいています

id:Lumin

あの某NAのLuminさんでしょうか。当時はとても落ち込みましたが、今では楽しくやれているので

人間万事塞翁が馬というところかなと思います

2018-10-17

anond:20181017193226

髙木浩光「気を付けろよ」

徳丸浩「気を付けるんだぞ」

2018-06-26

anond:20180626124322

徳丸氏、そんななんだ (笑)

しかし、そもそも徳丸氏はWEBセキュリティに詳しい人であって、そこに人格を求めるのはただの過剰な期待だと思うぞ。

セキュリティ屋さんだから正義の人にみえるかもしれないが、それはそれ、これはこれ。

履き違えないようにしないと。

anond:20180625202047

関係無いけど

徳丸さんとかいい人っぽいのに武雄市CCについては「坊主憎けりゃ袈裟まで憎い」で首長も変わってるのにやることなすことケチつけて、そのやり方も真っ当な批判ではなく小馬鹿にしたようなTweetばかりでなんか尊敬してたのになーってがっかりしている

2017-07-03

定期的なパスワード変更は確かにセキュリティアップになる

自分ログインできなくなる分だけな。


しかし定期的なパスワード変更は確かにセキュリティアップになる。


毎朝パスワードを変更しよう。

そうすれば1passwordよりも堅固なセキュリティになる。


自分ログインできなくなるけどな。


ログインするたびにパスワードを変更しよう。

そうすれば徳丸浩氏でさえぐうのねサウンズも出ない納得のセキュリティになる。


自分ログインできなくなるけどな。


毎秒パスワードを変更しよう。

そうすれば神タイミングで打ち込み始めたとしても制限時間は1秒以内。

たとえ自分Fastest Typer でもログインするなど到底不可能


自分ログインできなくなるけどな。


CC0

2017-04-10

おじさんのバイト

おじさん、バイトをすることにした。

おじさん、平日は普通に働いている。

IT関連の会社で、社員ではなく役員という立場。有難いことに収入もそれなりにある。家のローンも十年以上前に完済している。

子供達も大きくなり休日はそれぞれ部活やら友人と遊びに行ったりで、自分にも持て余す時間が出てきた。

趣味を見つけるのも良いのだが、趣味というのもなかなかに金がかかる。

おじさんも不惑と言われる年代になり、会社の一員である人生も折り返す時期だし。

副業で小規模な開発でもやろうかとも考えたが、会社役員という立場上、関連する業種での副業は何かとヤバイらしいよ。いやマジで法律的に。

ならば全く異業種で働くのも楽しそうだなといろいろ探していたら、近所のスーパーフードコートバイト募集してた。

おじさんで副業でも大丈夫らしいので、何も考えずに勢いだけで応募したら受かった。マジかよ。

行ってみたら、調理のお爺さん以外は全員女性という賑やかなバイト先だった。

熟女人妻女子大生!!!マジかよ。

自分指導役についた子もそんな女子大生バイトの子だった。

若さゆえの勢いで、根掘り葉掘り聞かれた。

なんでバイトなの?奥さんは?子供は?平日はどんな仕事?え、それ殆ど趣味じゃん!うける!趣味バイトヤバい!!すげー普通にいい人じゃん!その年でバイトとか絶対あぶない人だと思った!

なんか、とても新鮮だった。

平日の「増田さん、今度、中途希望者の面接の件ですが……」「増田さん、今期売上目標の状況ですが……」なんて話も良いが、こんな風に若い子や人妻さん方と笑い話するのもまた良い。

調理のお爺さんの話も面白い

おじさんこれまで飲食関連はシステム作る以外で関わった事無かったし。

いい気分転換だわ、て思う。しかも時給まで発生するし。なんのご褒美だよ、これ。

てなわけで、休日家でゴロゴロしてる俺みたいなおじさんはバイトするといいよ。

■追記

おじさん、仕事から帰ってきて、はてな見たら鼻水出たよ。

なんかブクマおかしくない?なにこれ。

とりあえず、おじさんのイメージがすごい事になってる気がするけど、誤解だよね。

会社役員」て言っても、会社なんてピンキリだよ!うちは零細企業だし。

収入もそれなり」て言ったけど、「僕みたいな底辺にしては」ていう前提でだし。そのへんの大企業役員報酬とか想像したらダメだよ!むしろグイグイいわしてる大企業の中堅社員にも満たない収入だよ!

まあ、でも、好きに仕事させてもらってるから社長社員さんたちにはいつも超感謝してるよ。

あと、わりと星のついてるコメントに回答します。

>SndOpさん こういうのは夜間警備員になって残業で働いている新入社員ねぎらうものだろう

いや、ネタ的には良いけど、夜間勤務とかおじさん死んじゃうよ。

>beatdjamさん 奥さんの話があんまり出ない

やんごとなき方の話はおいそれとは口にできないんだよ。まあ典型的B型クズの僕を訓練されたB型にしたとんでもない功績の持ち主だよ。うん。

>youco45さん これ人当たりよくて有能、かつ変なプライド持ってない、という三拍子揃わないとできない芸当だと思うの

プライド油揚げに挟んで焼いて食べちゃったよ。有能だったら今頃、鎌倉とかで房総とかで海見ながら暮らしてると思うよ。勝手セレブイメージだけど。

>sovietrocketsさん 不惑とは数え四十前後。それで十数年前に家のローン完済となると三十路前。やだー超有能

家なんてピンキリだよ。新築とか戸建てとかに拘らなきゃ安くていい物件が割とあると思うんだ。

>lavandinさん 増田さん、私約束しましたよね?決して本業をおろそかにしない事、バイト先の女の子に手を出さない事。あなたはもう手遅れです。一生フードコートでお過ごしなさい!ドーーーーーン!!

ぎにゃーーーーーーーーー!!!

て、手だしてないし。

あれ?なんかブクマ徳丸先生笑顔が見えた気がしたけど、多分、疲れてるんだ僕。うん。

おじさん、寝るよ。おやすみ。そしてありがとう

2016-07-15

Google alert spamサイトは dcvb.sytes.net から asjh.ddns.net に移行した

dcvb.sytes.netというspamサイトで報告していたGoogle alert spamサイトだが、その後変化があった。

まず、このサイトGoogle八分あいGoogle検索で一切引っかからなくなった。徳丸さんが報告しているこのあたり。

https://twitter.com/ockeghem/status/753359665971367936

https://twitter.com/ockeghem/status/753360671287283712

そして、dcvb.sytes.netDNSがひけなくなり、閲覧できなくなった。

しかし、このまま終わるはずもないと思っていたところ、少し形を変えて同様のspamサイトが出現した。違いは、こうだ

例えば、下記のドメインからCNETニュース引用したページにリダイレクトする

dvkyhl.rv.uhaskzzfw.xyz

こちらのサイトも報告しておこうと思うが、おそらく叩いても叩いても復活するモグラたたきの状況になるだろう。

2016-06-17

各界隈の頑固おじさん

PHP徳丸
C++江添亮
JavaScriptmizchi
Vimh_east
GoogleYoshifumi YAMAGUCHI
アメリカトランプ
北朝鮮人造人間19号みたいな人
近所3丁目のげんこつ八兵衛さん


昨日、駅でマナーの悪いDQNを注意してたおじさんがかっこよかった。

今の時代は人に嫌われるのが怖くて叱れない人が多いんだよねぇ。

2016-02-18

タイトルあだ名を付ける

やい!増田界のエリート無吉弘行だ!

俺の目に止まったそこのおまいらにあだ名を付けてやる!

JavaScript

mizchiちくわ入りラーメン380円

typescript

vvakameアイコン

C++

江添亮磯野波平

Python

はむかずどうぶつの森精霊
cocodrips永遠女子大生

PHP

NEKOGETキリ番ゲット動物園
hnw原点原理主義

セキュリティ

徳丸アルソック徳丸

C#

chokudaiまじかる☆リズむートくん
chomado松屋の長距離電車オタク

それ以外

kazuho水素爆弾
yamamoto yusuke任天堂ルイージ

Vim

koron香料官房長官
mattn大阪露出狂おじさん
takataジャパネット熱狂信者
ichizok一族鬼を継ぐ者
ujihisaうじおちゃん
haya14busaコンドル中2隊長
thincaちんこ
rbtnn紅茶りぶとん
Lindanグリニッジ標準時
tyru風間トオルのおっかけ
shougo替え歌製造
osyo-manga隠居
cohama横浜
yoshiko_pgそめいよしこプギャー
zchee未来から来たトランクス

2014-06-27

徳丸本の内容を実践しながら学べた話

新卒入社したA社は、親会社B社のシステムの内製と、B社の顧客層向けのパッケージソフトウェア制作販売するソフトウェアハウスだった。

入社1年目の自分は、いくつかの細かい業務を平行して担当することになったが、その中にホームページ管理があった。主な業務は、ページの文章更新と確認、誤字脱字の修正、古く間違ったHTML修正など。

会社ホームページには自社のサービス製品だけを扱う小さなショッピングシステムがあり、ユーザ登録・ログイン・購入・履歴確認など一通りの機能を持っていた。このシステムを改修したり更新したりする予定はなかったが、せっかく担当となったわけだし、以前から興味のあったWebアプリケーションセキュリティ勉強しようと、徳丸本を購入した。(当時は紙の本しかなかった)

http://tatsu-zine.com/books/sbcr-taiketekinimanabu

この本は説明不要の名著で、平易な文章で細かく正確な記述がなされている。Webアプリケーション制作に携わる新人プログラマは必読だ。

から読み進める。1章に用語の整理があるおかげでだいぶ理解やすい。2章の実習環境の用意は、都合がつかず読み飛ばした。3章は流し読みし、いよいよ4章。様々な脆弱性を個別にとり挙げ、原因と対策について具体的な説明がされており、非常に興味深い。

なるほど、XSSクロスサイトスクリプティング)という言葉は知っていたが、具体的にこういうものなのだな。入力ボックス入力した内容が遷移後のページに表示されるというUIはよくあるから、気をつけなければ……そういえば、会社ホームページにも検索機能があって、「検索ワード:○○」と表示されるところがあったな。あれもXSS対策がされているはずだ。どれ、見てみよう。テストサーバで画面を表示して、<script>alert(1)</script>(本当は半角)と入力……

検索ワード:
   +----------------+
   |                |
   |   1            |
   |       [  OK  ] |
   +----------------+

なるほどこれがXSSか。実習環境の用意はしなかったが、実物を拝むことができたぞ。脆弱性修正の実習もできるな。

このようにして、徳丸本を読み進め、(テストサーバで)攻撃を実践しながら、脆弱性を直していった。覚えている限りでは、以下の実習ができた:

  1. 上述のXSS。直した。
  2. SQLインジェクション - XSSと同様の検索フォーム部分、ログイン部分。誰のアカウントにでもログインできた。急いで直した。
  3. CSRFクロスサイトリクエストフォージェリ) - ログイン済みのユーザを細工されたページに誘導すると、パスワード任意の値に変更できた。すぐ直した。
  4. クッキー不適切な利用 - httponlyでないCookieに、ユーザIDパスワードナンチャッテ暗号化(全ユーザ統一の値でxorしただけ)して保存していた。1のXSSとの合わせ技でその内容を外部に送信できたし、暗号の強度もダメだったし、そもそもログイン自体に使う情報Cookieに保存すべきではない。しかしこのCookie依存している箇所がたくさんあったため、XSS修正とhttponlyの対応だけになった。一応直った。

ショッピングシステムの中身が、フレームワークライブラリなし・SQL発行共通関数なし・オブジェクト指向なし・数万行の巨大ファイル1つであることを知ったのは、脆弱性修正にとりかかってからだった。その他のシステムもすべてこのショッピングシステムを参考に作られているらしく、プレースホルダエスケープもない文字列組み立てSQL発行があらゆる場所に散乱していた。とても直し甲斐があるシステムであった。

これらのシステムは、日付zip以上のバージョン管理が行われていなかったため、該当部分を誰が書いたのかはわからなかった。そんな状況であったので、大量に報告された脆弱性始末書は、すべて現在担当である自分が書くことになった。

自分入社するより前からあった、誰が作ったのかもわからない脆弱性を、探し修正始末書を書いた。「私が担当になる前からあった脆弱性なので、原因はわかりません。おそらく不勉強が原因です。対策は、勉強会コードレビューバージョン管理です。」などと書いた。今思えば、"よい始末書"の書き方を勉強する機会を逃していたのかもしれない。

自分の作業はすべてgitで記録していたので、自分担当になったときにはすでに脆弱性があったと主張したが、「自分だけバージョン管理などという便利なものを使っていてずるい」と怒られて終わった。(なお、それよりも前に社内でのバージョン管理ツールの使用は提言していたし、それが「よくわからないから」と却下されてからは、自分だけで使う許可は得ていた。)この経験からバージョン管理をしていない、もしくはクソみたいな管理しかしていない組織内で、自分だけでも上手く管理する方法についての知見を得た。

こうして、徳丸本の内容を実践しながら学習できたので、セキュリティ分野についての興味はより高まり、知識も増え、A社に対する信頼はほとんど失われたので、さら勉強し、3年目に入るころには情報セキュリティスペシャリスト試験合格し、転職した。

Webサービスセキュリティ勉強したいと思ったならば、徳丸本を読んで、実践しながら勉強することを強く推奨する。紙の本には実験環境CDもついているので、A社でホームページ担当していなくても、実践しながら勉強することが可能だ。(電子版の場合はどうなのだろうか。申し訳ないが各自確認していただきたい。)

すばらしい本を書いてくださった徳丸先生感謝します。

http://tatsu-zine.com/books/sbcr-taiketekinimanabu

ログイン ユーザー登録
ようこそ ゲスト さん