徳丸 浩

起業するのに、タブレットを買うか、PCを買うかで迷っています。アドバイスいただけたら助かります。よろしくお願いします

「iPhoneのメモリがいっぱいです」という広告についてのポストを拝見しました。この広告にはiOSの設定アプリのアイコンが使用されていますが、これはAppleの著作権を侵害することにはならないのでしょうか？

APIを利用したシステムでは、認証が成功したときに払い出されたJWTをブラウザのローカルストレージやセッションストレージに保存し、次回以降のリクエストではAuthorizationヘッダでJWTを送信するような実装がよく見られるかと思います。

このような実装のシステムにおいて、以下のようなCORSの設定不備は悪用できる脆弱性となり得ますでしょうか？

Access-Control-Allow-OriginにOriginの値が反射 + Access-Control-Allow-Credentials: true

よくある説明ではCookieにセッションIDやJWTが格納されているものが多く、そのようなケースでの悪用方法は理解できているのですが、Authorizationヘッダで認証情報をやり取りしている場合にCORSの設定不備があるとどのような影響があるか教えていただきたいです。

ブラウザのセキュリティについて質問です。

FirefoxはChromiumと比べ、ソースコードの量が少なくレンダリングエンジンには一部Rustで書かれたServoのシステムが組み込まれているたよりセキュリティが高いと聞きました。

これは本当なのでしょうか？

WEBアプリに対するタイミング攻撃はまだ健在でしょうか？

中国の入試では試験会場で電波を妨害・遮断するようですが、TOEIC不正事件で使われた極小イヤホンにスマートグラスとローカルAIを組み合わせて外部と通信せず超近距離でのみ無線通信するような不正にも有効なのでしょうか

ふと思ったのですが、認証システムの視点から見るとパスキーは単要素認証という認識で間違いないでしょうか？それともパスキーを保存しているデバイス側の認証要素があるから多要素認証と取るべきでしょうか？

パスキー自体は単要素認証であっても脆弱だという認識はありません。脆弱な鍵をたくさん使うより強固な鍵を1つ使っている方が安全であることには異論はないです

ウェブサイト上にメールアドレスを記載する際に、メールアドレスをHTML上にそのまま書かずに「fooアットマークexample.com」のように書いたり、CSSやJSで何かしら加工して表示する人がいますが、そうする目的に対するより適切な方法、ベストプラクティスはあるのでしょうか？また、私は昔から加工なしで掲載していて特に困ることがないので、加工したい人の動機がわかりません。どういう心理があるのでしょうか。

自分のメールアドレスが漏洩したと分かった場合、どうするのが良いのでしょうか。迷惑メールが増加してフィッシングに引っ掛かってしまうのではないか、同じメールアドレスで登録している他のサイトにまで危険が及ぶのではないかという漠然とした不安があります。また、セキュリティのリスクとは別に、自分のメールアドレスがばれているというのは直観的に少し気持ち悪く感じてしまいます。手間がかかりますが、漏洩のたびに新しいアドレスへ全部移行したほうがよいのでしょうか。ある程度は仕方ないと割り切って使い続けるべきなのか、そもそもメールアドレスの漏洩は、どこまで深刻に捉えるべきなのか判断に迷っています。適度な対処法や、普段からできる予防のための対策などがもしあれば、アドバイスをいただけると嬉しいです。

Nessusを使用しているとSSL/TLSに関する脆弱性がよく検出されます。脆弱性レベルが高いので目を引きますが、個人的にSSL/TLSを悪用されることはあまりないのではと感じます。徳丸さん的にはいかがでしょうか。

順天堂医院の裁判は賠償命令となりましたね。医療に限らずITなどでもインフォームド・コンセントは重要でしょうか？

Googleなどの検索エンジンが使用者の検索語句を収集しているのは、プライバシーの観点から見て危険ですか？

富裕層の個人資産を把握するため、個人情報を国が管理するのには、賛成ですか？

データセキュリティ法の迷走と言う本を読み、自分がセキュリティの専門家になるしかないと思った高校生です。

大学は情報系を志望するつもりです。

そこからどのようにしたらこの国の個人情報保護法の方針を転換させることができますでしょうか？

私としてはシステムの設計時に多要素認証の必須化、平文保持の禁止、保持する個人情報の最小化などを義務付けてやりたいです。

torというソフトウェアの功罪について教えてください

当局からの検閲を逃れることとダークウェブを取り締まること、どちらが優先されるべきですか？

セッションCookieとはどういう意味でしょうか？

これまでセッションCookieという言葉を使ったことはほとんどなかったのですが、なんとなくセッション限りのCookieという認識をしていました。

デベロッパーツールでCookieを見るとExpires列にsessionてあるので、そのようにイメージしていました。

しかし、同僚が「セッションCookieに有効期限がついていて、、、」といった具合にセッションIDとして表現していることに違和感を感じました。

Xで検索してみるとセッションCookieをセッションIDという意味合いで利用されている方がおり、私はセッションCookieの意味を間違えていたのか、正しいのか、どちらか決まっていないものなのか、わからなくてムズムズしています。

AIに聞いてみると、セッション限りのCookieだという説明がある記事を見つけてくるのですが、一方でセッションクッキーという言葉はRFCに明確に定義されてないとも言われます。

また、徳丸本にもセッションCookie、session cookieといった単語は見つからないので、やっぱり定義やどちらかの意味として明確に使われているといったことはないようにも思えます。

なにか決まりがあったら教えていただけると幸いです。

ゴミ箱から削除したファイルでも復元できてしまうと聞いたことがあるのですが、パスワードマネージャーからエクスポートしたファイルなどは今までゴミ箱に入れて削除するだけでした。重要なファイルはゴミ箱から削除するだけではよくないのでしょうか？推奨される削除方法を教えていただけると嬉しいです。

ublock originなどのコンテンツブロッカーはご利用されていますか？

Web診断をしていて最近思ったことがあります。最近SMSによるフィッシングもあるためSMSを用いた二段階認証ではなく、パスキーを使用して二段階認証しましょうみたいな風潮が少しずつ見えてきている気がしますが、診断対象のサイトがSMSによる二段階認証を実装されている場合、フィッシングのリスクがあるとして報告書で指摘したほうがいいのか、それともSMSとは言え不正ログインのリスクは緩和できるので指摘しないほうがいいのか、徳丸さんの見解も差し支えなければお伺いしてみたいです。

最近、パスキーの導入が進んでいるように感じますが、多くの企業では依然としてパスワード認証も併用しており、セキュリティ上の脆弱性が解消されていないケースも見受けられます。

このように「パスワードと併用する形」でパスキーを導入する理由は何なのでしょうか？

• 利便性向上を主目的として導入しているのでしょうか？

• それとも、将来的なパスワード廃止に向けた「過渡期」の対応として、現時点ではやむを得ず併用しているのでしょうか？

企業がこのような形でパスキーを導入する背景や意図について教えてください。

海外と日本を比べると、日本だけ脆弱性に関して公にしたがらないような雰囲気を感じるのは何故でしょうか。

日本語での脆弱性writeupが少ない気がするのもこれが起因しているのでしょうか。

「安全なウェブアプリケーションの作り方【第二版】」を学習しているのですが、自分の知識不足により、理解するのに時間がかかってしまいます。そこで知識を補うためによくチャットGPT使っているのですが（一、三、四、六章まで学習しました！）たまに合っているのか心配になります。徳丸先生はチャットGPTを使用してセキュリティ学習を進めるのをどう思うわれますか？こういった学習方法がいいなどありましたら、よろしければアドバイスお願い致します。

本人確認などセキュリティガチガチの社会は被後見人や入院患者などに現行と比べて不利益をもたらさざるを得ないですか？そうだとしてもそれが本来の形でセキュリティをゆるくする以外の方法で解決すべき課題ですか？

中国がLLMのオープンソース化を進めている現状について徳丸先生はどのようにお考えですか？