2017/06/09 21:34:21
ockeghem
資料公開しました #securityux
2017/06/09 23:32:55
criticabug
AndroidアプリUSBデバッグ禁止も。オン時に動作しない仕様を「アプリ改ざん防止などのセキュリティのため」と説明されたけど意味ない
2017/06/10 07:32:10
typex2
出展がNISTとかでないと意味なし。
2017/06/10 09:24:19
fumisan
都市伝説なんてあるんだ
2017/06/10 10:03:28
garage-kid
62
2017/06/10 10:08:07
skam666
“セキュリティの都市伝説さまざま – パスワードのマスク表示 – IDまたはパスワードが違います – パスワードの有効期間 – autocompleteの停止 – 戻るボタンの問題”
2017/06/10 10:19:59
csouls
セキュリティ対策効果が低く、利便性を大きく落としている事例について、もっと議論が進むといいな
2017/06/10 11:11:36
tmtms
この前 autocomplete=off をつけろって言われんで、「最近だともう意味なくない?」って言ったら「古いブラウザを使ってる場合もあるので」って言われた。なんじゃそりゃ。そっちの方が脆弱だろ。
2017/06/10 11:16:48
FirstMate
「メールの添付ファイルのパスワードを別のメールで送信する」という謎のおまじないについても触れてくれ
2017/06/10 11:27:03
djwdjw
弊社のように明らかに過剰なセキュリティ対策を促す結婚式場のオプション販促みたいなお仕事でメシ食ってる人たちもいるので何とも言えない
2017/06/10 11:48:06
abababababababa
会社によってまちまちよなぁ。セキュリティの常識は、理屈のわからないおまじないが縦に継承されることが多いから、会社によって常識が大きく違うことが多く、転職するたびにビックリしてました。資料じっくりよみま
2017/06/10 11:59:52
taketack
資料ほしい
2017/06/10 12:22:28
karupanerura
良い
2017/06/10 12:33:28
tohnishi
氏の『Webセキュリティ教室』を読んだ時にも思ったことだが、セキュリティは最新動向を日々チェックして自分の知識を更新し続けなければならんから、しんどい。
2017/06/10 12:33:50
fellfield
「パスワードを隠すのをやめよう」っていうと、そもそも入力したパスワードが表示されないLinuxはどうなのだろうか…?
2017/06/10 12:38:18
chaz_21
パスワード隠してしかもコピペも許さない仕様には殺意覚えてる
2017/06/10 12:45:29
cloudliner_tweets
「セキュリティのため、autocomple=offにせよという 伝説があった • ブラウザの進化により、本当に伝説になった」
2017/06/10 12:47:04
derby
「戻る」をちゃんと設計してるサイト初めて見た。
2017/06/10 12:52:06
vanbraam
個人的には大体全部同意."戻る"禁止の理由にセキュリティをあげる例を見たのは初めてだが
2017/06/10 13:36:49
peketamin
某クラウド大手の脆弱性診断でautocompleat=offを付けろと診断されてフーンって顔になった
2017/06/10 13:49:12
shngmsw
あんまり関係ないけど某お役所機構のサイトで名称検索するのにコピペできない仕様で驚愕した
2017/06/10 13:55:00
tengo1985
パスワードの変更で、モバイルの場合は二回目のペーストを許さないサイト、アプリがある。パスワードマネージャーの自動生成パスワードとの相性が最悪だから即刻やめてほしい。
2017/06/10 13:56:43
kirifue
とても参考になります。セキュリティ対策は日進月歩なので、追いつくのが 大変ですが。 #開発
2017/06/10 14:22:13
HHR
徳丸先生
2017/06/10 14:23:20
s99e209
リリース前のフィードバッグでautocompleteをオフにしてください、っていうは未だに言われる。最新ブラウザの状況に合わせて判断するようにしたいですな。
2017/06/10 14:29:33
aurijpn
サービス提供側のアリバイ作りのためのユーザー側が不便被ってる感はあるかな。
2017/06/10 14:48:31
cco
流石の良いまとめ 。システムによっては古いブラウザやソフトウェアに対応しているが、それ自体が脆弱性だと認識して欲しい。
2017/06/10 14:56:10
atm_09_td
以前の常識が、今の非常識になったりするから、継続して学習しておかないとな。
2017/06/10 14:56:39
meru_akimbo
“ 1 ”
2017/06/10 16:03:43
lazex
ムダに不便になってるのが多すぎるよね。なくなっていってくれればいいけど。
2017/06/10 16:39:49
t-tanaka
パスワードのマスクは絶対必要。多くのブラウザでは記臆されたパスワードが自動入力される。ログイン画面だしただけでパスワード公開とか怖すぎるにもほどがある。
2017/06/10 17:29:55
nisisinjuku
リテラシーの最下層を基準に考えるのと、作業効率を著しく低下させない。コレくらいが落としどころっすかね。
2017/06/10 18:10:07
lifeisadog
本来postじゃないのにpostで遷移させる銀行系のサイトは頭おかしいなといつも思う
2017/06/10 18:31:50
mohri
なるほど
2017/06/10 18:32:55
blp1526
ネット配信中に、配信を止めたと思い込んでしまっている場合のためなどにも、パスワードのマスク表示は必要だと思う
2017/06/10 18:33:23
veleno
都市伝説ってもっともらしい嘘くらいの意味合いだと思ってたんだけど、意味全然違くない? この人が有用性を見いだせないもしくはコスパあわないものにケチつけてんだけじゃん
2017/06/10 18:40:58
sekaiiti
「メールの添付ファイルのパスワードを別のメールで送信する」の謎プロトコルはセキュリティとしては意味ないけど、宛先誤送信時の漏洩リスクは下げられる。自動的にパスワード送るシステムとか使うと意味ないけど。
2017/06/10 19:54:51
kaiton
よく読もう
2017/06/10 20:06:40
whoge
わかってはいるけど、外圧がめんどくさすぎてね。暗号化ファイル・パスワード別送なんかもGWのマルウェア検知が流行っている今リスクでしかないので全部落としたいけど根拠不明な常識となってしまっているし
2017/06/10 20:20:04
ghostbass
共有PCだったらautocomplete=offの方が…とちょっと考えたけどそれってPCのログイン自体が共有されてるってことだよね。ダメだね。離席時画面ロックは必須だね。
2017/06/10 20:55:38
fashi
ブラウザで戻るの禁止なサイトは二重処理を抑止する機能がないからみたいなダサい理由もある気がする
2017/06/10 21:24:30
dazz_2001
パスワードの定期的な更新は必要かな。スタッフの入れ替わりとか、部署移動とかあった人が、不必要にアクセスできないようにする為には有効かな。ただ、毎月は行き過ぎ。半年毎ぐらいで充分
2017/06/10 22:24:23
umaemong
パスワード保存の一律禁止はホント滅んで欲しい。「認証プロキシのIDとパスワードをブラウザに保存するの禁止」っていうアホみたいな「セキュリティ対策」してる企業があるらしい。滅べ。
2017/06/11 05:25:37
suzuxa
私の勤務先はパスワードの定期更新をやめろという勧告が出てから定期更新を義務化した情弱です。
2017/06/11 06:21:32
maruhoi1
パスワードのマスク表示は普通に必要だと思う、PCの配信などで動画として残った場合とかを考えると。
2017/06/11 07:38:01
chintaro3
そうだね
2017/06/11 12:56:10
hokorobi
autocomplete は、自動入力されないことでフィッシングに気付くきっかになるんじゃないかと思っている。
2017/06/11 16:41:28
pismo
autocompleteの部分は僕の考えと完全に一致していた。ちょっと前に情報セキュリティCASで取り上げたネタだけど。
2017/06/12 10:34:17
stealthinu
autocomplete=offはそもそも最近のブラウザでは出来ないようになってるらしい。セキュリティポリシーはパスワード定期変更の件とかちゃんと時流に合わせて行く必要がある。
2017/06/12 11:32:45
kamemoge
パスワードの話
2017/06/12 15:21:55
tyage
パスワードマスクないと、画面を配信するとかスクリーンショットとったとかで被害大きくなるのでは / 既に指摘されてた
2017/06/12 17:04:42
tkawa
こういうのをちゃんと考えたいと思う一方、個人的にはもうログインを自前で実装するのはできるだけやめていこうと思う
2017/06/12 17:13:42
s_osa
ID またはパスワードが〜 のやつはセキュリティ対策というより、プライバシー対策という印象が強い。
2017/06/12 18:36:39
noonworks
「キー入力が苦手なのでパスワードを簡単なものに設定してしまう」ユーザーは、そもそもパスワード以外の認証方法を使うべきなんだろうなぁ。なかなかいいものがないけど。
2017/06/13 08:59:30
higher_tomorrow
さぼらずに、ちゃんと、自分の頭で考えないとだ。。
2017/06/14 14:56:03
mixvox-j
「だからお前らはセキュリティ屋に騙されるんだよ!」って某セキュリティ業界の重鎮が言っているのを聞いたような事案が結構ある