@0x0d.dev.bsky.social
事業会社でセキュリティのなんやかんや / CISSP, CCSP, CISA, RISS
NIST SP 800-63Bの更新で「記号や文字種混在を求めない」などが注目を集めてるけど、NISTの基準ってずっと前からそうだと思ってた…。
OWASP ASVSだと2019年のv4.0の時点で「使用可能な文字の種類を制限するパスワード規則が無い」云々が求められてたし、今まで違ったのが逆に意外。
[更新してシャットダウン]したのにPCの電源が落ちていない……Microsoftが根本的な解決へ - やじうまの杜 - 窓の杜 forest.watch.impress.co.jp/docs/serial/...
期待して良いのかしら
サイバー攻撃による被害発生時のインシデント報告様式の統一について - 国家サイバー統括室 www.nisc.go.jp/policy/group...
DDoSとランサムウェア事案の報告様式だ。
最低限どんな情報が必要なのか、参考になるかも。
VSCodeに飛ばすっていう発想は無かった…。なるほど。
zenn.dev/shiruten/art...
こないだコメントした脆弱性診断内製化ガイドにも触れてる。
あれだとツールをどう使ったのか全然分からないのよね。
いろいろあって実名出したくないのかなーとかはある。
zenn.dev/jins/article...
良かった。
Pocketから乗り換えのつもりでObsidian Web Clipper入れたけど、保存するだけで活用できてない。参考にしよ。
zenn.dev/oikon/articl...
面白かった。
一定期間の全送信メールの約37%相当がなりすましメールだったと。
「当社なりすましメールの特徴」の観測はどうやってるんだろな。DMARCレポートだとその辺(表示名とか件名とか本文とか)分からないから、どうやってるのか気になる。
zenn.dev/wn_engineeri...
P.57
「DOMベースのクロスサイト・スクリプティングのような静的解析では検出しにくいなど~」
ん?なんとなく全部DASTだと思ってたけど、製品D~HのうちのどれかはSASTなのかな。
X-Frame-OptionsかCSPヘッダの設定が無かったら取り合えずNG出しておきそうなクリックジャッキングを検出してない製品Eがもしかして?
P.56
まあ、この結果も見方が難しい気はする。
同種の脆弱性5個のうち4個見つけても1個しか見つけられなくても「△:部分的に検出」なのだろうし。XSSなんて、Reflected / Stored / DOM Basedで検出傾向が明らかに変わりそう。
CSRFが全部「×:検出なし」も本当なのかな。csrftokenぽいパラメータが無いPOSTは全部NGにする過激な製品もありそうだけども。
面白い。
自動診断ツールの説明に「OWASP Top10に対応」って書いてある!もう診断ベンダに依頼しなくていいのでは!?とかいうのを黙らせるには使えそう。
脆弱性診断内製化ガイド | デジタル人材の育成 | IPA 独立行政法人 情報処理推進機構 www.ipa.go.jp/jinzai/ics/c...
www.ipa.go.jp/jinzai/ics/c...
株式会社テゲバジャーロ宮崎、ネットショップで709人分の個人情報が見られる状態に
www.gate02.ne.jp/lab/incident...
>ネットショップの管理画面には本来、パスワードなどの「ログイン認証」が必要ですが、システムを担当していた会社がこの設定をしていませんでした
管理画面を認証不要にできるECサイトがあるのか…
一番気になるのはフォーマットに強いこだわりがあるとこかな。
既存ファイル開くのはやめといたほうが無難そう。
Windows 11のメモ帳にMarkdown来てた。
テーブルや引用系は使えないみたいだ。
「書式付き」と「構文」の切り替えが結構面倒。
使いやすくなっていくといいな。
www.atre.co.jp/news/5360/
>第三者により取得され、アクセスすると不審なWebサイトへ誘導される状況にあることが確認されております。
>このカードの裏面には、当該ドメインにアクセスするための二次元コードが印刷されております。
こういうの無くならないねえ…
Windows 11のメモ帳がMarkdownの表示・編集に対応。
相手が対応エディタ入れてるかなど気にせず、気軽にmdファイルを共有できるようになるなら嬉しい。
blogs.windows.com/windows-insi...
