音源

#1 初回なのでヌルヌルやったけどいい感じだった回 by Replay.fm

読んだ記事リスト

Untitled

購読メモ

Your API Shouldn't Redirect HTTP to HTTPS

• 安直にhttp → httpsしてるがいいんだっけという話
• HSTS preloadなりがあるが
• クライアントによってはHSTSをサポートしてないケースもある
• リダイレクトしちゃうとクライアント側が気づくタイミングがない
  • 結果として平文のリクエストを気づかずに大量に送る、ということがおきえる
• また、HTTPで平文でAPI keyなりを送った場合は即revokeすべきだよね、という追記がある

日本はフィッシング攻撃の標的として世界第3位--ゼットスケーラー調査

• 本当に全部フィッシングなのかはわからん
• 企業がターゲットのフィッシング

元データ

ゼットスケーラー、フィッシングに関する調査結果を発表。日本企業への攻撃は2,700万件以上でアジア太平洋地域3位に | Zscaler

どういうフィッシング攻撃？

• 同意フィッシング攻撃
• twitterでたまに見かけるやつ
• https://www.amazon.co.jp/Tangled-Web-Securing-Modern-Applications/dp/1593273886

YubiKeys are vulnerable to cloning attacks thanks to newly discovered side channel

物理的に盗むこと、特定の機器を揃える($11,000相当)が前提条件として必要

暗号難しい

• おすすめの本 https://www.kyoritsu-pub.co.jp/book/b10003801.html

実際、実生活への影響はどうすか

• 秘密鍵を盗みやすくはなるので無視できないレベル
• 高頻度で使ってても10分でコピーされると難しいという話はありそう
• criticalな場所で使ってて、得られるリターンがでかいなら狙われる可能性はある

中小企業へのランサムウェアによる脅迫件数が増加--ウィズセキュア調査

これ系の記事は読むのを絞ってもいいかも

• 中小企業狙いはじめたのが真だとしたらなんでだろう
• 儲かるのかしら
  • 薄利多売的な考えでやるのはありそう
  • サイバー保険に未加入のパターンも中小企業はありそう
    • サイバー保険は基本的に損失を補填してくれる
• 大企業側の対策が進んできた、という話もある

now Chrome 130 also parses non-special scheme URLs including javascript: URLs "correctly", like the attached image.

parseとしては正しそうな？

• なんにせよprotocolのチェックはお作法としてやるべき

東武と日立、生体認証活用のID基盤を全国展開--東武ストアでの決済で手応え

すごい

なりすまし本当にできないのかな

顔認証の話

• iPhoneとかは平面でなく深さとかを見るカメラを使ってるはず

静脈認証でなんでもできるのいいのかしら

生体データはかなりsensitive

• これが普及していくとデータをいろんな場所に保存する、という状態になるが世の中がそれに追いついてるんだっけ

他人受け入れ率の話

• 生体認証の精度も100%じゃないはず

指は3本使って認証するらしい

「年齢確認の壁」を打破--東武と日立、東武ストアで指静脈認証による決済実現

生体データが漏れちゃったとしたら

• そのまま使えるわけではない
• どこかのデータと突合して、本人かどうかの確認とかには使えちゃう

個人情報に該当するんだっけ

• 2017年の改正で個人情報識別符号に含まれるようになった

個人識別符号とは？定義・一覧（具体例）などを分かりやすく解説！

CTFで出題される脆弱性 vs プロダクトセキュリティのリアルな課題

セキュア SDLC | セキュアソフトウェア開発ライフサイクル | Snyk

• DevSecOpsと何が違うの？
  • 大体一緒
  • SSDLCの方が古い

From cookie theft to BEC: Attackers use AiTM phishing sites as entry point to further financial fraud | Microsoft Security Blog

Bitwardenの実装から学ぶE2EE