ÙÉHARASHIGEÒn
- いいね数 1,387,580/1,216,821
- フォロー 4,875 フォロワー 1,047 ツイート 414,037
- 現在地 ・∀・),Kyoto,From Japan,☄
- Web http://twilog.org/OGESHISTYLE
- 自己紹介 をげし@京都の片田舎なのです。最近だいぶ呟いてますが、基本的に作家さんやら気になる方々の追っかけ用アカウントなのです:〉むかしはu-ogeshiなPNやハンドルであんな芸風なのでした。で、いまだに。http://ha4.seikyou.ne.jp/home/u-ogeshi/ http://favolog.org/OGESHISTYLE
2013年12月22日(日)
非公開
タグ:
posted at xx:xx:xx
【告知】 艦これブラウザー「提督業も忙しい!」(KanColleViewer) version 1.0 公開しました。
grabacr.net/kancolleviewer pic.twitter.com/DN5FkjJiY3
タグ:
posted at 18:19:47
冬コミ新刊2冊目宣伝。 [R-18]イクちゃんと愛宕さんと | 聖☆司 #pixiv www.pixiv.net/member_illust....
pixiv見れない人用エロいの→pic.twitter.com/t3LNmHq7wK
艦娘、誰が処女なのか会議→pic.twitter.com/5xrL1i2UE6
タグ: pixiv
posted at 08:00:24
なんか記憶だけで描いたんだけど今思春期マーブルさんの宣伝ツイート流れてきたから見てみたらだいぶ違う気がしてきたぞこれ instagram.com/p/iIX8KsCk8l/
タグ:
posted at 02:22:10
「チーズ」
¥3500
XS~XXL
buff.ly/1js61wm
イラスト:米 @okometan
カワイイ2匹の小ネズミちゃん♡そそり立つチーズを前に、欲に乱れてしゃぶりつく pic.twitter.com/di5MgPwltC
タグ:
posted at 02:17:55
2013年12月21日(土)
冬コミで販売される窓辺ファミリーオリジナルタブレットセット、Visual stadio セットにはみなさんお待ちかね!?の安曇瑠璃ちゃんのテーマパックがついてくるよ〜! #c85 ow.ly/rYCJ5
タグ: c85
posted at 18:39:33
12月のお仕事告知と、冬コミ3日目【C-08b】わたくびおしながき更新しました!→sajilo.blog102.fc2.com 画像はカレンダーとラバーチャームサンプルです~。 pic.twitter.com/LBfDKrx3st
タグ:
posted at 14:27:35
c85お品書き | プリンプリン [pixiv] www.pixiv.net/member_illust.... お品書きを修正して再投稿しましたヾ(o゚ω゚o)ノ゙ pic.twitter.com/VhFgnyLdKT
タグ:
posted at 13:39:07
非公開
タグ:
posted at xx:xx:xx
非公開
タグ:
posted at xx:xx:xx
2013年12月20日(金)
落書き。赤加賀。あなたは2時間以内に1RTされたら、眼鏡をかけた赤加賀の絵を描きます。を描いてみました。#艦これ pic.twitter.com/S3ZrHFouEl
タグ: 艦これ
posted at 01:11:01
2013年12月19日(木)
TAKAGI, Hiromitsu @TakagiHiromitsu
…「このため、ログインに係る通信の当事者ではないISPなどが、ログイン時に4の(2)ないし(3)記載の対策を講ずる場合には、当該ログインに係る通信の当事者であるサービスを提供する事業者の同意に基づく必要があります。」
そう、当該ログインのアクセス管理者は通信の当事者であって、…
タグ:
posted at 20:51:46
TAKAGI, Hiromitsu @TakagiHiromitsu
⑧脚註18に通信の秘密のことが書かれていますが、これもおかしいです。
「ログイン時に使用された発信元のIPアドレスについても通信の秘密に含まれます。」と書かれており、そんなばかなと思うところですが、その直後にはこう書かれています。「このため、…
タグ:
posted at 20:49:00
TAKAGI, Hiromitsu @TakagiHiromitsu
⑦利用者が予め登録しているメールアドレスにワンタイムパスワードを送付するという話が書かれているのですが、そこには「ID・パスワードが流出している可能性を考慮して、フリーメールのアドレスの登録の回避を推奨します」とあり、「フリーメール」が締め出されているのですが、理由がありません。
タグ:
posted at 20:44:53
TAKAGI, Hiromitsu @TakagiHiromitsu
…そうではなく、閾値を超えるログイン認証の失敗が発生した時に、遮断すればよいのです。せっかく示された「不正ログインの成立率」の表は、そのような対策の根拠として活きてくるデータなのに、使われていません。
また、「注意が必要です」というのはどのように注意すればいいのでしょうか。
タグ:
posted at 20:36:56
TAKAGI, Hiromitsu @TakagiHiromitsu
…そのため、「特定のIPアドレスから閾値以上のアカウントへのログイン要求の通信が発生した場合に」遮断するという対策が書かれてしまっています。そんなことをすれば当然、脚註16
の通り「善良な利用者の通信も遮断してしまう可能性があるため注意が必要です。」となるわけです。そうではなく…
タグ:
posted at 20:31:59
TAKAGI, Hiromitsu @TakagiHiromitsu
…むしろ、この表は、次の「特定のIPアドレスからの通信の遮断」を有効とする根拠に使う資料でしょう。リスト型攻撃の成立件数が低いから異常検知が可能なのだということこそを言うべきところです。それなのにそのことは書かれておらず、単に「大量のアクセスが発生した場合」と書かれており、その…
タグ:
posted at 20:25:17
TAKAGI, Hiromitsu @TakagiHiromitsu
…「参考5」のデータは、被害企業A社で試行件数が24,000に対し成立件数が77で成立率は0.32%だったという表なのですが、これは、同一アカウントに対する試行数ではないので、アカウントロックが効果的とする理由にはなっていません。(アカウントロックはこれとは無関係に有効です。)…
タグ:
posted at 20:21:34
TAKAGI, Hiromitsu @TakagiHiromitsu
⑥「アカウントロックアウト」のところの論理もおかしいです。「一定の閾値以上の認証エラーが発生した場合に、そのアカウントを一時停止する措置を講じることも有効」とするその根拠として「リスト型攻撃は成立件数以上の試行が行われているため(参考5参照)」としているのですが、その「参考5」…
タグ:
posted at 20:17:27
TAKAGI, Hiromitsu @TakagiHiromitsu
「複数組み合わせて」というのも典型的によくある安直な記述です。ある対策を挙げつつ、その限界も書いたときに、結局どうすればいいのか、どう整理(前提などを)すればよいか、本人がわからなくなってしまったときに、「複数組み合わせて」と口走ってしまうという事例が多々見られます。
タグ:
posted at 20:12:22
TAKAGI, Hiromitsu @TakagiHiromitsu
たしかに、「二要素認証を導入すれば(あらゆる攻撃を)防げる」に対しては、MITBの脅威があると注記せねばなりませんが、ここでは、「二要素認証を導入すればパスワードリスト型不正ログインを防げる」という話をしているのですから、MITBを持ち出す必要がありません。
タグ:
posted at 20:08:33
TAKAGI, Hiromitsu @TakagiHiromitsu
これは二重に間違っています。
Man-in-the-Browser攻撃(MITB)の被害を防ぐには、この文書にある対策を「複数組み合わせて」も、無限に組み合わせても、防ぐことはできません。
そもそも、パスワードリスト型不正ログインを想定しているときに、MITBは無関係です。
タグ:
posted at 20:06:06
TAKAGI, Hiromitsu @TakagiHiromitsu
⑤こういう記述もあります。「なお、最近では(略)Man in the Browser攻撃がワンタイムパスワードを突破している例もあり、二要素認証を導入していれば必ずしも安全というわけではないケースもあります。本対策集に記載している対策を複数組み合わせて実施していただくことが重要」
タグ:
posted at 20:02:59
TAKAGI, Hiromitsu @TakagiHiromitsu
…パスワードはランダム生成すれば無限に作れますが、「事前に登録した質問事項への回答」をサイト別に作成して定期的に変更せよというのは不可能です。
現実的な対策なのか検討したようには見えません。単に、局所的な論理の辻褄合わせで安易にこういう対策が書かれているようです。
タグ:
posted at 20:00:45
TAKAGI, Hiromitsu @TakagiHiromitsu
④二要素認証の導入のところに「事前に登録した質問事項への回答」方式が挙げられているのですが、そこにも「利用者が使い回しをしている可能性が考えられるため、定期的な変更が必要です。」と書かれており、これには唖然とせざるを得ません。
パスワードはランダム生成すれば無限に作れますが、
タグ:
posted at 19:50:10
非公開
タグ:
posted at xx:xx:xx
非公開
タグ:
posted at xx:xx:xx
非公開
タグ:
posted at xx:xx:xx
ぱいんとさいず@MZDAO//広島合同祭 @pintsize_tks
電の抱き枕がもうすぐ完成(^o^)1/18の俺の嫁in大阪と翌日コミックシティ福岡で出す予定です\(^o^)/春には改も販売予定です! pic.twitter.com/c2IagySkES
タグ:
posted at 00:50:05
