2018年10月21日

詳細を確認しない担当

「ちゃんと読めよ!
書いてあるだろう」
と言いたくなる連絡が多いこと。

理解せずに指示したがるから無駄の多いこと。

0day攻撃どころから1weekでも間に合わない
posted by zengaichi at 11:38| Comment(0) | セキュリティ | 更新情報をチェックする

コーディングミスではなく設計ミス

脆弱関連であるライブラリのソースコードの修正履歴を見た。

その履歴によると状態遷移を修正していた。

ところが一部の解説サイトではコーディングミスと記載している。

状態遷移は設計するものであるから設計ミスだが、
状態遷移の設計もコーディングとして丸投げしているのだろうか。

起因したプロセスで、対策や検証プロセスも異なるのだが。

とらえ方で変わるプロセスから



posted by zengaichi at 11:32| Comment(0) | セキュリティ | 更新情報をチェックする

2018年10月05日

今日の迂回コースのコスト

自腹

通るコースとNG内容は車内で理解できました。

振替アナウンスが分からないが、迂回しないと帰れないことだけは判明したので。

リアルタイムの情報って大事!
posted by zengaichi at 20:32| Comment(0) | 独り言 | 更新情報をチェックする

2018年09月24日

セキュリティの美学って?

システムからすればセキュリティもその一部であり、
当然ながら
プログラミングからすれば同様

必要最小限の要件としてセキュリティが必要なのだから

セキュリティなしのコードは本当に美しいのだろうか?
posted by zengaichi at 11:24| Comment(0) | セキュリティ | 更新情報をチェックする

CSRF対策のトークンって

ワンタイム性ではなく予測不能性が重要

リプレイ攻撃に対しては別問題

正規のパスで遷移してきたかどうかが重要らしい

但し、有効期限とかは必要

さらにセッション管理とは別物なのでCSRFにセッションIDを使うのは適切ではない
(Web APIでは混乱しそうな話だが)

似たようなIDがたくさんあるが目的と使い分けが重要ということらしい。
posted by zengaichi at 11:21| Comment(0) | セキュリティ | 更新情報をチェックする

妄想とリスク

妄想でリスクを考えるのではなく
事実の積み重ねで考えないと

妄想でリスクを考える人は自己主張が強い傾向にあると感じてしまう
posted by zengaichi at 11:13| Comment(0) | セキュリティ | 更新情報をチェックする

2018年09月10日

通勤ラッシュ時のカバン

肩からかけて脇にはさんで持っているカバンって

意外に迷惑と思ってしまうのは変かしら?
posted by zengaichi at 19:53| Comment(0) | 独り言 | 更新情報をチェックする

2018年08月31日

昔取った杵柄

昔取った杵柄はいらない
新しい杵柄が必要

そもそもセキュリティの概念のない時代のプログラミング経験だと今は?
posted by zengaichi at 19:43| Comment(0) | セキュリティ | 更新情報をチェックする

2018年08月29日

簡単だから実現させてしまうんだよ

セキュリティで実現してはいけないものでも

簡単だから実現させてしまうんだよ
posted by zengaichi at 20:08| Comment(0) | セキュリティ | 更新情報をチェックする

2018年08月28日

パスワード:基数の大きさ

実際に入れる値も重要かも入力できる値も重要
posted by zengaichi at 19:38| Comment(0) | セキュリティ | 更新情報をチェックする

2018年08月26日

マイナーなアニメ映画を観に行く

今日もマイナーなアニメ映画を観に行く
前回もマイナーなアニメ映画を観に行った

原作は知らないし、調べる気もない

一つの作品として楽しめるかどうか

フィクションだからファンタジー扱い

ストリーの展開で矛盾がなければそれでよし

細かい矛盾や科学検証は無視
科学は魔法扱い
posted by zengaichi at 16:08| Comment(0) | 独り言 | 更新情報をチェックする

2018年08月18日

2要素認証と2段階認証は別もの?

例えば、2段階認証は

What you know? What you know?

2要素は

What you know? What you have?

らしい。
あれ、誤植かな?doがない?

ある本を読みながらなのでまあいいか(^^;
posted by zengaichi at 20:16| Comment(0) | セキュリティ | 更新情報をチェックする

認証要素の3W?

What you know?
What you have?
What you are?

だ、そうだ。


posted by zengaichi at 15:17| Comment(0) | セキュリティ | 更新情報をチェックする

2018年08月07日

カスタマイズ

実装ポリシーを引き継がないとセキュリティに欠陥を生む?
posted by zengaichi at 19:45| Comment(0) | セキュリティ | 更新情報をチェックする

2018年07月25日

メールで只今をもって

今のメールはリアルタイム?
posted by zengaichi at 19:43| Comment(0) | 独り言 | 更新情報をチェックする

2018年07月22日

安全なだけでは売れない

安全なだけでは売れない

サービスが売りなんだから
posted by zengaichi at 19:11| Comment(0) | セキュリティ | 更新情報をチェックする

2018年07月01日

計算能力と乱数

決定問題で
計算能力が足らないから乱数を使うということに気づいた。

計算能力が向上し続けていたので足りていると思わず勘違い( ̄。 ̄;

アルゴリズムの考察から

posted by zengaichi at 14:18| Comment(2) | 独り言 | 更新情報をチェックする

2018年06月30日

remakeって

remakeって
考えてみれば、
リスペクトとと言うより、
批判から始まるような気がしてきた。

そもそも、
本当に良ければ作り直し必要もなく
リスペクトなら模倣や習作
posted by zengaichi at 21:02| Comment(2) | 独り言 | 更新情報をチェックする

2018年06月11日

多様性?

最近の多様性を見ると
幅が狭くなって、指向性が高いような感じ
posted by zengaichi at 20:45| Comment(0) | 独り言 | 更新情報をチェックする

2018年06月07日

このブログ12年も?

ふと気になったので開始年月日を調べてみると2006年4月から
posted by zengaichi at 20:32| Comment(0) | 独り言 | 更新情報をチェックする