はい。具体的には、セッション変数としてセッションの有効期限を保持して都度確認するべきです。 #mond_ockeghem mond.how/ja/topics/ec81…

仮にDNSサーバー（リゾルバ）として信頼できないものを使うと、接続先サイトのホスト名（ドメイン名）を知られるとか、偽のサイトをつかまされる等のリスクはあります。偽サイトをつかまされるというのは、広告ブロッカーと… (残り237字) #mond_ockeghem mond.how/ja/topics/m44j…

まず、Domain属性は指定しない方が安全です。このあたりの事情については私の本を読んで頂きたいと思います。また、一般的に、HttpOnly属性は付与した方がよいものの、効果は限定的です。これについては以下の動… (残り233字) #mond_ockeghem mond.how/ja/topics/k7t1…

以下の記事が参考になると思います。 itmedia.co.jp/news/articles/… 以下がNTTドコモのコメントです。 > 　基本的… (残り610字) #mond_ockeghem mond.how/ja/topics/qosc…

ハッシュ値からは文字数はわかりませんので、文字数を保存しているか、その他のなにかだと思います。よろしければ、そのサイトのURLを教えて下さい。X(Twitter)のメッセージ（どなたでも送信できます）で教えて下… (残り3字) #mond_ockeghem mond.how/ja/topics/tov8…

特定サイトの脆弱性には通常CVEは採番されません。 #mond_ockeghem mond.how/ja/topics/jqz0…

これは①、②いずれでもないと思います。決裁代行サービスには複数のカード番号を「お預かり」できるものがあり、その場合は、利用者がカードを識別するための機能も提供されているはずです。なので、 ③決裁代行サービスの… (残り20字) #mond_ockeghem mond.how/ja/topics/kaxe…

さまざまな課題がありますが、私が一番課題だと思うのは、選挙システムに不正がないことを証明する方法だと思います。 #mond_ockeghem mond.how/ja/topics/ml1g…

一番素直な解釈は、「リモートデスクトップ(RDP)のポートがインターネットに公開されていた」だと思います。 「そんな馬鹿な」と思われるかもしれませんが、警察庁が公開している以下の資料を御覧ください。 令和６年… (残り540字) #mond_ockeghem mond.how/ja/topics/1qsk…

私は暗号の専門家ではないので、ぜひプロフェッショナルTLS＆PKI 改題第2版をお読みください。3DESの危険性については、8.11 Sweet32 に詳しい説明があります。 https://www.lamb… (残り29字) #mond_ockeghem mond.how/ja/topics/8xe3…

パスワード情報が盗まれる典型的な手口がフィッシングやパスワードリスト攻撃その他のパスワード試行であることを考えると、あまりリスクは軽減されないような気がします。 #mond_ockeghem mond.how/ja/topics/vmqz…

そもそも「トロイの木馬に感染しました」と表示することは通常はおかしいと考えられます。トロイの木馬は正答なアプリケーションを装って情報を盗むたぐいのマルウェアですが、であれば、トロイの木馬自体が「感染しました」と… (残り741字) #mond_ockeghem mond.how/ja/topics/nfkr…

そういう風に雑にまとめたくないですね。 #mond_ockeghem mond.how/ja/topics/pmz9…

ボタンを押すと直ちに動画をダウンロードするのであれば同期的な処理ですね。ボタンを押したあと「処理を受け付けました」と表示された後、バックグラウンドで動画変換などの処理が走るのであれば非同期です。 #mond_ockeghem mond.how/ja/topics/yiq2…

WAFとRASPとでは対応する脅威が異なるとは言えますが、それぞれの製品の性能にも依存することであり、一般論として「併用が望ましい」とまでは言えないと思います。 #mond_ockeghem mond.how/ja/topics/d3gm…

かつてレインボーテーブル攻撃が現実の脅威であり、その対策としてソルトが用いられるようになった経緯があること、応用情報ではなく情報処理安全確保支援士試験なので、それはセキュリティ専門家として知っておくべきことであ… (残り20字) #mond_ockeghem mond.how/ja/topics/hxc0…

以下のQ&Aについての指摘だと思いますが、まず私は広告ブロッカーを自分自身では使っていないが、それは他人には勧めていないとも書いています。それはリスクを受容するかどうかを判断できるのは利用者本人だけだからという… (残り108字) #mond_ockeghem mond.how/ja/topics/a448…

GPUを活用してハッシュ値から平文にもどすための定番のソフトはhashcat ですが、ZIPパスワードを求めるには、hashcat と JohnTheRipper を組み合わせる方法が一般的のようです（ZIPの… (残り14字) #mond_ockeghem mond.how/ja/topics/7s2n…

これはご指摘の通りで問題として不適切なように思います。出題者はレインボーテーブルについて理解していないのではないでしょうか。そもそも、今どきレインボーテーブルについて出題することが時代遅れのように思います。セキ… (残り54字) #mond_ockeghem mond.how/ja/topics/fbpy…

もうちょっと詳しい要件を伺わないと回答は難しいです。アプリAとアプリBはどのような関係でしょうか。アプリBにログイン機能はないのに、アプリBの情報は秘密なのでしょうか。アプリAはアプリBについての情報について、… (残り79字) #mond_ockeghem mond.how/ja/topics/pwfz…

すべて開発ベンダーが悪いとは一概に言えませんが、「不明な発行元」というのは、アプリケーションに署名がされていないからなので、ここは少なくとも良くないと思います。ただし、著名なソフトウェアでも署名がないものは時々… (残り162字) #mond_ockeghem mond.how/ja/topics/9loj…

これはご指摘の通りで、JSを書き換えられる、必要であればサーバースクリプトも書き換えられることが本質的な問題で、evalやCSPはこれらに比べれば些細なことです。なので、以下はありえません。 > ある程度の侵入… (残り121字) #mond_ockeghem mond.how/ja/topics/nurf…

そもそも、ECサイトにクレジットカード情報が保存されているケースはほとんどないと思います。ないものは盗みようがないというのが私の感覚です。以下、ECサイトにクレジットカード情報が保存されていないと私が考える理由… (残り1667字) #mond_ockeghem mond.how/ja/topics/k001…

徳丸が書いていないことを質問いただくことが時々ありますが、私が書いてないのは書きたくない理由があるから（単にめんどうくさいも含む）です。ですが、せっかく質問いただいたので、思うところを書いてみようと思います。 … (残り701字) #mond_ockeghem mond.how/ja/topics/5s9x…

ログインが永続的に続くからと言って、それが理由でセッションハイジャックの原因になるわけではありません。ログインタイムアウトを設定する理由は、何らかの理由でセッションハイジャックされる可能性がある場合に、実際に影… (残り752字) #mond_ockeghem mond.how/ja/topics/s15y…