初心者のためのセキュリティ/プライバシー講座 MANIAC HOUSE 沢出水 (@nosawa) http://www.maniac-house.com/ maniachousecom@yahoo.co.jp
警告!! 私は残念ながらセキュリティ技術/プライバシー保護の専門家ではありません。 どうか鵜呑みにしないようにお願いします。 間違いはメイル等でお知らせ下さい。 e-mail : maniachousecom@yahoo.co.jp twitter : @nosawa 今日の私の発言はMANIAC HOUSEの沢出水としてのもので、本業の所属とは無関係です。 (そういう事にしておいて下さい…)
ちょっと質問 プログラマ デザイナ アーティスト マネージャ
ちょっと質問 プロ開発者 アマ開発者(社会人) 学生 その他
ちょっと質問 昨日、高木氏の講演を聴講した EULAをきちんと読んだ事がある ログイン時にアドレスバーを確認している
本日のまとめ 1.情報源を複数持つ 2.googleも万能じゃない 3.ソーシャルクラッキング 4.セキュリティとプライバシーを混同しない 5.プライバシーの概念は変わる
情報源を複数持つ なるべく意見の異なる人 身近な人との意見/情報交流
googleも万能じゃない 参考例 「SQLインジェクション対策」 でGoogle検索して上位15記事を検証した http://d.hatena.ne.jp/ockeghem/20111109/p1 「クロスサイトスクリプティング対策」 http://blog.tokumaru.org/2012/04/google-searching-cross-site.html
ソーシャルクラッキング ケビン・ミトニック『欺術』(2003) アイドル来店時の防犯カメラ画像をTwitterに公開 個人情報の横流し 直近では警察官や携帯代理店の店員の例も
セキュリティとプライバシーを混同しない セキュリティとよくセットで語られるが その概念には全く関連はない それでもプライバシーの問題に対して その概念には全く関連はない セキュリティに不備があっても プライバシー侵害が発生するとは限らない セキュリティに全く問題がなくても プライバシー侵害は起こりうる それでもプライバシーの問題に対して 『セキュリティの強化を』とかいう人が…
ご清聴ありがとうございました MANIAC HOUSE 沢出水 (@nosawa) http://www.maniac-house.com/ maniachousecom@yahoo.co.jp
もともとは… XSS SQLインジェクション 個人情報保護法 DOS攻撃 アカウントハッキング 中間者攻撃 フィッシング 名寄せ
とりあえず一つだけ インジェクション系 入力値を信じない 出力時の適切なエスケープ あらかじめ用意された仕組みを利用する 入力値を信じない 出力時の適切なエスケープ あらかじめ用意された仕組みを利用する ※本質を知ると惑わされない。
高木氏の講演ダイジェスト 情報漏洩対策しましょう 自己情報のコントロールとは 何が個人情報なのか スマホアプリの問題 利用者の行動の分析
高木氏の講演ダイジェスト PSNトロフィー問題 このサービスを利用するとこうなります というのは利用規約に書くべきものではない プライバシーポリシーに中身がない 個人識別性がなければ何をやってもいい という風潮
高木氏の講演ダイジェスト 飛騨市図書館の情報漏洩時の対応 プライバシーマークの公式サイトの解説さえ出鱈目 法律の主旨としては『個人に関する情報』を保護するべき IDのサービス独立性と時間/空間連続性 日本のプライバシー保護に欠けているもの
高木氏の講演ダイジェスト webの歴史とは独自に発展した携帯アプリの歴史に起因 アメリカのプライバシー憲章が時代の流れ なぜオプトインなのか 利用規約に限らずわかりやすい説明が必要 よくわからないSDKを組み込んで使うとその責任を問われかねない 端末IDは使用しない Webに準じた取り扱いを!
ご清聴ありがとうございました MANIAC HOUSE 沢出水 (@nosawa) http://www.maniac-house.com/ maniachousecom@yahoo.co.jp