Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
まじめな技術者のためのWEBフィルタリング回避術
Search
Tomohiko Morita
December 04, 2016
Technology
1
990
まじめな技術者のためのWEBフィルタリング回避術
オワスプナイトカンサイ ~OWASPローカルチャプターミーティング in 関西 8th~での発表資料です
Tomohiko Morita
December 04, 2016
Tweet
Share
More Decks by Tomohiko Morita
See All by Tomohiko Morita
(会社ライフ)ハッカーになろう / Let's Become a Corporate-life-hacker
deka_morita
0
950
ガンダム × ネーミング
deka_morita
0
700
クレジットカードを不正利用された話
deka_morita
0
1.5k
ガンダム勉強会@関西アンケート集計
deka_morita
0
790
ガンダム勉強会@サイド2開催にあたって
deka_morita
0
670
物理なポチポチ操作自動化
deka_morita
1
270
Other Decks in Technology
See All in Technology
Product Management Conference -AI時代に進化するPdM-
kojima111
0
260
ソフトウェア エンジニアとしての 姿勢と心構え
recruitengineers
PRO
22
11k
人と組織に偏重したEMへのアンチテーゼ──なぜ、EMに設計力が必要なのか/An antithesis to the overemphasis of people and organizations in EM
dskst
7
770
VPC Latticeのサービスエンドポイント機能を使用した複数VPCアクセス
duelist2020jp
0
340
制約理論(ToC)入門
recruitengineers
PRO
8
3.4k
AI時代に非連続な成長を実現するエンジニアリング戦略
sansantech
PRO
2
760
Kiroと学ぶコンテキストエンジニアリング
oikon48
4
660
Kubernetes における cgroup v2 でのOut-Of-Memory 問題の解決
pfn
PRO
0
400
AWSで推進するデータマネジメント
kawanago
0
200
つくって納得、つかって実感! 大規模言語モデルことはじめ
recruitengineers
PRO
30
11k
Webアクセシビリティ入門
recruitengineers
PRO
3
1.3k
Browser
recruitengineers
PRO
6
1.8k
Featured
See All Featured
Testing 201, or: Great Expectations
jmmastey
45
7.6k
VelocityConf: Rendering Performance Case Studies
addyosmani
332
24k
Stop Working from a Prison Cell
hatefulcrawdad
271
21k
Balancing Empowerment & Direction
lara
3
600
The Illustrated Children's Guide to Kubernetes
chrisshort
48
50k
GraphQLとの向き合い方2022年版
quramy
49
14k
Performance Is Good for Brains [We Love Speed 2024]
tammyeverts
11
1k
Scaling GitHub
holman
463
140k
Designing for Performance
lara
610
69k
RailsConf & Balkan Ruby 2019: The Past, Present, and Future of Rails at GitHub
eileencodes
139
34k
Dealing with People You Can't Stand - Big Design 2015
cassininazir
367
27k
The World Runs on Bad Software
bkeepers
PRO
70
11k
Transcript
まじめな技術者のための WEBフィルタリング 回避術 OWASP オワスプナイト カンサイ in 8th
今日お話しすること ・特に難しい技術の話はしません 特殊なツールは不要な簡単な方法 ・あくまでもまじめな技術者のため 用法・容量を守って 悪用は厳禁
だれ? 森田 智彦 某電機メーカの セキュリティ診断チームで 自社製品の診断業務に従事 組込み機器 サーバ/Webアプリ
WEBフィルタリング http://www.atmarkit.co.jp/ait/articles/1404/02/news002.html
業務を阻害する場合も マニアックな機器を購入したい、スペックが知りたい ⇒クリックしたらオークションサイトであり URLブラックリストで弾かれる セキュリティ診断の情報収集、ツール取得 ⇒怪しげな闇サイトとして カテゴリフィルタリングで弾かれる
どうにかして、回避したい
簡単な方法で! 外部プロキシの利用による フィルタリング回避 社内イントラ 端末 大手検索サービス によるページ翻訳 目的のサイトへ アクセス 社内プロキシ
サーバ
どうすりゃいいの? ・ベンダさん ⇒技術的な観点 ⇒設定的な観点 ・社内情シスさん ⇒業務効率的な観点 まじめな技術者のために
ベンダ対策:部分一致のチェック http://www.jra.go.jp/ https://translate.google.co.jp/translate? sl=bs&tl=ja&js=y&prev=_t&hl=ja&ie=UTF-8 &u=http%3A%2F%2Fwww.jra.go.jp%2F &edit-text=&act=url ⇒URLしか見ていない クエリパラメータも ちゃんとチェックしよう
ベンダ対策:優先度の検討 ホワイトリスト、 ブラックリストで 同じURLが設定された場合は、 ホワイトリストの設定が優先 ⇒ホワイトリストを信用し過ぎ 外部プロキシになりえ るURLはグレー判定
情シス対策:従業員の生産性 業務効率や生産性とのバランスが取れ たセキュリティ対策を実施すべきだ セキュリティ偏重の判断は、業務の現 場に不便さをもたらし、柔軟な発想や 機敏性を損なわせ、イノベーションの 機会を潰してしまう http://ascii.jp/elem/000/001/260/1260611/ CODE BLUE
2016基調講演 「How much security is too much? 」 カルステン・ノール氏
情シス対策:従業員の生産性 業務上、急いで アクセスしなければ ならない場合も多いので・・・ こんなボタンを新設しては いかがでしょうか 上司に通知 上司通知に同意してアクセスする 上司に通知 http://www.owasp.hoge.org/
× ‼ Warning ‼ このページは許可されていません‼ 悪質な場合は上司に報告します。 すべてのログは収拾されており 端末の特定も可能です。 云々、、、 上司に通知 してアクセス 上司の理解と信頼 があれば・・・
ディスカッション? http://www.irasutoya.com/