Ken Kawamoto(ガリのほう)@kenkawakenkenke
国税庁リニューアル、なによりサイト内検索すら付いてきてないのがヤバいな。 pic.twitter.com/qyfG0ICGuT
Retweeted by Hiromitsu Takagi
retweeted at 22:50:16
| Stats | Twitter歴 5,849日(2008-12-23より) |
ツイート数 254,445(43.5件/日) |
2018年03月31日(土)71 tweets
こんなニッチな需要向けのアプリが出ることもすごいし、僕にプロモーション広告が回ってくるのもすごい。なんで僕の持病知ってんのや。 twitter.com/welbyinc/statu…
Retweeted by Hiromitsu Takagi
retweeted at 20:33:05
@moperon @sateco さらにすごいのは保有する全ての口座の振込限度額を0にしておき、振込のたびに振込限度額を変更しろというロック。
Retweeted by Hiromitsu Takagi
retweeted at 20:25:47
つか、まだ生き残ってんのかこれ。
Retweeted by Hiromitsu Takagi
retweeted at 20:25:44
悲報!国税庁のHPがリニューアルで改悪!納税が困難に! swift-sensei.net/kokuze1/
Retweeted by Hiromitsu Takagi
retweeted at 20:17:23
国税庁のリニューアルあり得ない。検索をyahoo にするのはまだいいけどなんで新サイトを読み込ませておかない。個別対応ないとしてもgoogle ならxml ぶっこめばすぐ反応するのに。
Retweeted by Hiromitsu Takagi
retweeted at 20:16:27
国税庁のサイト、https使っているのに混在コンテンツになってる……
Retweeted by Hiromitsu Takagi
retweeted at 20:16:00
国税庁の検索結果のリンクが全部死んででひどいね。サイトリニューアルでURL全滅とかどんなアホが指揮してたんだろうね。。
Retweeted by Hiromitsu Takagi
retweeted at 20:15:39
国税庁アップデート pic.twitter.com/LmdQPgCeM7
Retweeted by Hiromitsu Takagi
retweeted at 20:15:06
Hiromitsu Takagi@HiromitsuTakagi
これはひどい。 custom.search.yahoo.co.jp/search?p=%E7%A… pic.twitter.com/oXO7N8wdRL
posted at 19:50:09
ssl 化もまともにできてないじゃん、って突っ込もうと思ったらロールバックされてた。笑 ちな、サイト内検索しようとしたらこのフォーム、セキュアじゃないよ。って警告出た…ww
Retweeted by Hiromitsu Takagi
retweeted at 19:36:06
国税庁のウェブサイトがリニューアルされたみたい。サイト内検索が powered by yahoo って…大丈夫なんかね。こういうのって民間企業のサービス使わずに自前で実装するものかと思ってた。www.nta.go.jp/information/ot…
Retweeted by Hiromitsu Takagi
retweeted at 19:35:05
税金について調べたくってググる →検索ヒットする。が国税庁HPリニューアルという表示と共に国税庁トップページに飛ばされる →仕方がないので、国税庁トップページの検索窓で再検索する →検索ヒットする。が国税庁HPリニューアルという表示と共にで国税庁トップページに飛ばされる エンドレス・・
Retweeted by Hiromitsu Takagi
retweeted at 19:34:31
おっ国税庁webの新しいやつがオープンですね →トップページ →ほう右上に検索窓にパワードバイヤフーがある →ちょうど類似業種比準価額のチェックをする予定だったのよね →(ポチ)→(検索結果ポチ)→「リニュアルのお知らせ」→国税庁トップページへ→(最初に戻る twitter.com/jo_taka/status…
Retweeted by Hiromitsu Takagi
retweeted at 19:33:50
@NTA_Japan 国税庁ホームページが改悪しました。行政機関の大切な一次情報なのに粗末なブログ風のデザインだし、Google検索しても目的のページにいかずトップ画面しかでない。元に戻してください。非常に困っています。
Retweeted by Hiromitsu Takagi
retweeted at 19:33:16
衝撃的な事実が発覚!! 国税庁ホームページが本日をもってリニューアル。 と、ここまではいいのだが、 このホームページは検索機能ゼロになっている。 トップページ右上のヤフー検索のところで例えば「青色申告」と入力して検索しても、トップページに逆戻り(><)www.nta.go.jp/index.htm
Retweeted by Hiromitsu Takagi
retweeted at 19:32:59
非公開
retweeted at xx:xx:xx
非公開
retweeted at xx:xx:xx
国税庁HPのリニューアルで、何かを検索しても全部これでトップページに飛ばされ、新しいサイトでイチから探さないといけないというゴミっぷり… pic.twitter.com/yV8wGsNMEe
Retweeted by Hiromitsu Takagi
retweeted at 19:23:56
かといって、今でも「古いNASにアクセス出来ない場合はLAN Manager認証レベルを変更してNTLM認証を有効にして下さい」というような記事が溢れている状態だから、これを更に強化したり、既定で無効にするのもなかなか難しんだろうね。
Retweeted by Hiromitsu Takagi
retweeted at 11:48:50
LM認証、NTLM認証、NTLMv2認証とチャレンジ・レスポンスなのは同じだが、レスポンスを作成する方式が強化されている。ただ、NTLMv2認証の登場はNT4.0SP4からで約20年前(既定値でNTLMv2認証のみ使用する様になったのはVista以降)。現在のGPUクラスタを使った解析に対しては当然脆弱な状態。
Retweeted by Hiromitsu Takagi
retweeted at 11:48:32
「昔のWindowsでは、LAN上にハッシュ化されたパスワードを流していた」というのは何時のことだろうか?Win95時代のLM認証でもチャレンジレスポンスで直接ハッシュが流れることはなかったし、それはその後のNTLM認証や、Win7/10で使われているNTLMv2認証でも同じ。
Retweeted by Hiromitsu Takagi
retweeted at 11:00:00
@masanorkからのパスワードの定期変更に意味はあると考えますか?という質問 jp.quora.com/%E3%83%91%E3%8…
Retweeted by Hiromitsu Takagi
retweeted at 10:59:55
Hiromitsu Takagi@HiromitsuTakagi
券売機は4桁の数字で構わなくて、Webでは数字だけとか4字で許すとかじゃダメなのは、後者はリバースブルートフォース攻撃に脆弱であるのに対し、券売機に対してはそのような攻撃を仕掛けることができないからである。 このことが理解されていないと、どう設計していいか迷走してしまうわけだ。
Retweeted by Hiromitsu Takagi
retweeted at 10:40:30
Hiromitsu Takagi@HiromitsuTakagi
そもそも、スマートEXのパスワードと券売機に入力させるものとは別に設定するように設計すればよかった話だ。つまり、Webでは任意の文字種で64字まで許すログインパスワード(256字でも無制限でもよい)とし、券売機での本人確認用は数字のPINの設定を求めるようにすればよかった。
Retweeted by Hiromitsu Takagi
retweeted at 10:40:24
Hiromitsu Takagi@HiromitsuTakagi
むしろ、券売機に入力する場合についてすら、8文字より、20字や30字の方が入力が楽とも言える。 なぜなら、8文字の場合は大文字小文字数字記号を使わないと脆弱であり、入力モードの切り替えを要するのに対し、30字あれば小文字だけや数字だけでも同程度の強度を得られるからだ。
Retweeted by Hiromitsu Takagi
retweeted at 10:39:47
Hiromitsu Takagi@HiromitsuTakagi
ZAL穴のリンク先はそこよりも、こっちの方だった。 togetter.com/li/625093
Retweeted by Hiromitsu Takagi
retweeted at 10:39:15
Hiromitsu Takagi@HiromitsuTakagi
スマートEXのログインパスワードが、4文字〜8文字と、4文字でも許されているのは、「券売機で入力できないじゃないか」という内部の誰かの声によって、4桁数字も許すことにしたのだろう。だが、そういうユーザが多くなれば、リバースブルートフォース攻撃による金銭被害が確実に出てくるだろう。
Retweeted by Hiromitsu Takagi
retweeted at 10:38:07
JALが自称2段階認証()で再びZAL穴と話題に - Togetterまとめ togetter.com/li/701570 JALユーザだけどさ・・・。こういうのは2段階認証って言わないんですよ。。だからJALじゃなくてZAL(ザル)って言われるんだよ
Retweeted by Hiromitsu Takagi
retweeted at 10:18:36
あと、サイトがめっちゃ素人臭がするしPINが4桁固定なのでリバースブルートフォースできる「ZAL穴」状態、ってことか
Retweeted by Hiromitsu Takagi
retweeted at 10:15:45
非公開
retweeted at xx:xx:xx
ANAの機内Wi-Fiにて、ID/PWでログインした上で、ここにCAPTCHAが設置されている理由が分からない。シンガポール線のみの理由も。 pic.twitter.com/ZrLgkdwFtz
Retweeted by Hiromitsu Takagi
retweeted at 10:06:35
ああいう「大多数が共通に採用していない、ある意味特殊なシステム設計」をしちゃう人たちって、コンシューマーとして自分が利用しているウェブサイトを見ながら、全く何も学ばないんだろうか?
Retweeted by Hiromitsu Takagi
retweeted at 10:02:47
JALもだけど、auもすごいね。 auのID以外にも色々なIDとパスワードがあって、パスワードのポリシーも8文字英数記号、16文字英数のみ、とか全く統一されてない。同じドメイン内でそれがあるから、パスワードマネージャーが役に立たないwww
Retweeted by Hiromitsu Takagi
retweeted at 10:01:08
JALは、 - ログインパスワード - webパスワード - my JAL Card認証コード の3つが必要になってて、どうしてそういう設計にしちゃうかな?っていう状態。パスワードマネージャーを使わない人がどうするって、絶対付箋をモニタに貼るシナリオに「誘導」してて、むしろユーザをリスクに晒してるシステム。
Retweeted by Hiromitsu Takagi
retweeted at 10:00:54
JALは1Passwordも認める脆弱なパスワードポリシーですからね。猛省して欲しい。 pic.twitter.com/ZqfuBRdkSt
Retweeted by Hiromitsu Takagi
retweeted at 10:00:44
ブルートフォースしやすいこと、この上ないパスワードポリシーですよ。 pic.twitter.com/lLrAlbOzYc
Retweeted by Hiromitsu Takagi
retweeted at 09:59:59
パスワードのDBのフィールドがintなんじゃないの?www twitter.com/m43net/status/…
Retweeted by Hiromitsu Takagi
retweeted at 09:59:42
@rioriost 2018年っすよね今年…JALはタイムトラベラーが経営してんのかな
Retweeted by Hiromitsu Takagi
retweeted at 09:59:18
まんまやで。 twitter.com/m43net/status/…
Retweeted by Hiromitsu Takagi
retweeted at 09:59:12
JALってパスワード数字六桁でマジかよって思って以来使ってないんだけど今そのままなんかな
Retweeted by Hiromitsu Takagi
retweeted at 09:59:06
8文字以上は分かるけど、16文字以内ってどういうことなの… / ニュース - ANAがユーザー認証を強化、英数8文字以上のパスワードが設定可能に:ITpro ow.ly/AsTYa
Retweeted by Hiromitsu Takagi
retweeted at 02:08:15
数字4桁から最大パスワード長 16文字に変更か。ゴミだな。32文字くらいにしろよ。 「Webパスワード」開始のお知らせと登録のお願い│ANA SKY MOBILE www.ana.co.jp/sp/topics/noti…
Retweeted by Hiromitsu Takagi
retweeted at 02:08:03
ANAが十数年かかってようやくまともなパスワードを導入。それでも記号不可、16文字までか。
Retweeted by Hiromitsu Takagi
retweeted at 02:07:48
JAL JALホームページにおける「Webパスワード」認証の導入について www.jal.co.jp/121/world/wp/i… ●9/29~ Webパスワード ・文字数は、8文字以上、16文字以下 ・アルファベット(大文字・小文字)、数字、記号のうち3種類以上を組み合わせてください。
Retweeted by Hiromitsu Takagi
retweeted at 02:06:41
パスワードが設定できるようになったのはいいけど、なんで今の新規システムで上限16文字制限なんだろう "JALマイレージバンク - 「Webパスワード」登録のご案内" www.jal.co.jp/121/world/wp/i…
Retweeted by Hiromitsu Takagi
retweeted at 02:06:33
JALのウェブサイト、パスワードが8-16文字のアルファベット・数字・記号混じりのものに変更になった。従来のやり方でログインしようとすると、新しいパスワードの設定を促される。 www.jal.co.jp/121/world/wp/i…
Retweeted by Hiromitsu Takagi
retweeted at 02:06:26
最近、ちょっとずつwebサイトのパスワードを長いものに変えているんだけど、16文字程度しか対応していないサイト、結構多いんだよな。30文字くらい行きたいんだけど……
Retweeted by Hiromitsu Takagi
retweeted at 02:05:31
南日本銀行の推奨パスワード変更は1日1回だ。さすがよく分かっている。nangin.jp/corporate/2014…
Retweeted by Hiromitsu Takagi
retweeted at 02:01:39
スゲーの発見した。 「少なくとも1日1回」のパスワード定期変更を推奨する南日本銀行。 nangin.jp/corporate/2014…
Retweeted by Hiromitsu Takagi
retweeted at 01:58:04
Hiromitsu Takagi@HiromitsuTakagi
そういえばJALのログインパスワードどうなったんだっけと思って、見に行ったら、2018年になってもまだこんなことやってるんだね。どんだけバカしか居ないんだろ。 pic.twitter.com/l6q30y4REY
posted at 01:52:03
変更しなくてもよい十分に複雑なパスワードを作ろうにも、長さ制限が厳しいウェブサービス依然あるのがなぁ 12~16文字では足りない #nhk11
Retweeted by Hiromitsu Takagi
retweeted at 01:33:19
@HiromitsuTakagi ミクシィは6~64、dアカウントは8~20ですね
Retweeted by Hiromitsu Takagi
retweeted at 01:25:54
なんでこれパスワード定期変更すれば回避できるって言ってるんだろ? twitter.com/masanork/statu…
Retweeted by Hiromitsu Takagi
retweeted at 01:25:06
例えハッシュを取得されても簡単には解析されないよう。十分長く複雑なパスワードにすることが基本だが、GPU性能も飛躍的に向上している。Webサービスの認証の場合、ストレッチ回数を増やすなどして計算量を増やすことができるが、Windows関連の認証では計算量は固定で変更することは出来ない。
Retweeted by Hiromitsu Takagi
retweeted at 01:22:44
標的型攻撃などでWindows端末が乗っ取られると、DCCを取得して管理者パスワードを解析するのは攻撃者の常套手段。DCCを記録しないように設定することもできるが、ドメイン障害時やノートPCをオフラインで使用する時にログオン出来なくなる。
Retweeted by Hiromitsu Takagi
retweeted at 01:21:54
DCCは既定で過去10ユーザが記録されるので(10回のログインではない)、数年前の管理者ログオンがキャッシュに残っている可能性がある。もし、管理者が定期的にパスワードを変更していれば、DCC悪用のリスクを直近のパスワード変更以降のログオンのみに低減することが出来る。
Retweeted by Hiromitsu Takagi
retweeted at 01:20:58
初期セットアップ時の動作確認で情シス部員がドメイン管理者でログオンしたり、システム管理者やヘルプデスクなどがリモートデスクトップでドメイン管理者でログオンして作業するとDCCが記録される。
Retweeted by Hiromitsu Takagi
retweeted at 01:20:18
レジストリよりDCCを取り出すツールは様々公開されており、取り出したDCCハッシュはJtR、hashcat等のパスワード解析ソフトで解析できる。
Retweeted by Hiromitsu Takagi
retweeted at 01:20:06
Windows環境では、DCC(Domain Cached Credentials)の問題もある。ドメイン下のWindowsではドメイン・コントローラに接続出来ない場合でもログオン出来るように以前のログオン情報がローカルにキャッシュされている(既定で過去10ユーザを記録)
Retweeted by Hiromitsu Takagi
retweeted at 01:19:40
Vista以降では既定値でNTLMv2認証のみ使用する様になっている。しかし、古いNASにアクセス出来ない場合の対処策として、LAN Manager認証レベルを変更してLM/NTLMを使用可能にさせる解説記事が大量にある。LM認証やNTLM認証の場合はより高速に解析出来る。
Retweeted by Hiromitsu Takagi
retweeted at 01:19:20
NTLMv2認証のチャレンジ/レスポンスは、ADやSAMに保存されるNTLMハッシュとは別物。JtRやHashCatではNetNTLMv2と呼ばれる。NTLMv2になって以前のLM認証やNTLM認証よりはマシになったが、それでも8文字程度のパスワードなら高速なGPUを使用すれば短時間でクラック可能。
Retweeted by Hiromitsu Takagi
retweeted at 01:18:19
Windows7/10でも非ドメインのファイルサーバやNASにアクセスする時はNTLMv2認証が使われる。ハッシュそのものではないがLAN上にチャレンジ/レスポンスが流れるのでこれをキャプチャすればJtRやHashCatなどのパスワード解析ソフトでクラック可能。
Retweeted by Hiromitsu Takagi
retweeted at 01:17:08
パスワードの定期変更に意味はあると考えますか? jp.quora.com/%E3%83%91%E3%8… 『例えば昔のWindowsでは、LAN上にハッシュ化されたパスワードを流したり、認証関係の情報をマルウェアによって簡単に抜き取られるリスクがありました。』
Retweeted by Hiromitsu Takagi
retweeted at 01:17:04
Hiromitsu Takagi@HiromitsuTakagi
ミクシィはパスワード何文字まで使えるのかな? ドコモのdアカウントは? twitter.com/hiromitsutakag…
posted at 01:11:09
Hiromitsu Takagi@HiromitsuTakagi
東京新聞30日朝刊「ミクシィは「定期的にパスワードの変更を」と呼び掛けていたが、来月初めに修正する予定。担当者は「(定期的変更は)有効でないことが周知されてきたため」と説明……NTTドコモも…「dアカウント」のパスワードを定期変更するよう規約で定めているが、「変更するか検討している」」
posted at 01:02:41
パスワード定期変更「不変」 「東京」朝刊18.03.30【26面】 そもそも〝定期変更〟していた方がはたしてどれほどいたのか、という疑問。 それよりも〝使い回す〟方が問題のように思う。 pic.twitter.com/5GIucMy4Rn
Retweeted by Hiromitsu Takagi
retweeted at 00:56:19
Masanori Kusunoki / 楠 正憲@masanork
パスワードの定期変更は要らないという言説は、サービス設計者に対する規範としては正しいのですが、サービス利用者としてはケースバイケースで、そこを解説しました / “パスワードの定期変更に意味はあると考えますか?に対する楠 正憲 (…” htn.to/46pVvQ
Retweeted by Hiromitsu Takagi
retweeted at 00:36:32
何の足しにもならないようなことしか言ってないような… twitter.com/nilnil26/statu…
Retweeted by Hiromitsu Takagi
retweeted at 00:17:36
これは小学生の作文www twitter.com/nilnil26/statu…
Retweeted by Hiromitsu Takagi
retweeted at 00:15:01
@nilnil26 個人情報保護委員会事務局とあろう者が、ECサイトや会員用サイトに対して、「OSやソフトウェアを常に最新の状態」「ウイルス定義ファイルを常に最新の状態」で事足れりと読める周知をするとは何事? ガイドライン(通則編)8を読んで出し直せ。 www.ppc.go.jp/files/pdf/guid…
Retweeted by Hiromitsu Takagi
retweeted at 00:13:20