Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
まじめな技術者のためのWEBフィルタリング回避術
Search
Tomohiko Morita
December 04, 2016
Technology
1
1.1k
まじめな技術者のためのWEBフィルタリング回避術
オワスプナイトカンサイ ~OWASPローカルチャプターミーティング in 関西 8th~での発表資料です
Tomohiko Morita
December 04, 2016
Tweet
Share
More Decks by Tomohiko Morita
See All by Tomohiko Morita
OWASP Kansai DAY 2025.09: OSINTにふれてみよう
deka_morita
0
290
(会社ライフ)ハッカーになろう / Let's Become a Corporate-life-hacker
deka_morita
0
970
ガンダム × ネーミング
deka_morita
0
720
クレジットカードを不正利用された話
deka_morita
0
1.5k
ガンダム勉強会@関西アンケート集計
deka_morita
0
790
ガンダム勉強会@サイド2開催にあたって
deka_morita
0
680
物理なポチポチ操作自動化
deka_morita
1
280
Other Decks in Technology
See All in Technology
[PR] はじめてのデジタルアイデンティティという本を書きました
ritou
1
800
Bill One 開発エンジニア 紹介資料
sansan33
PRO
4
17k
フルカイテン株式会社 エンジニア向け採用資料
fullkaiten
0
10k
Node vs Deno vs Bun 〜推しランタイムを見つけよう〜
kamekyame
1
420
名刺メーカーDevグループ 紹介資料
sansan33
PRO
0
1k
2025-12-27 Claude CodeでPRレビュー対応を効率化する@機械学習社会実装勉強会第54回
nakamasato
4
1.4k
「違う現場で格闘する二人」——社内コミュニティがつないだトヨタ流アジャイルの実践とその先
shinichitakeuchi
0
300
田舎で20年スクラム(後編):一個人が企業で長期戦アジャイルに挑む意味
chinmo
1
1.4k
コミュニティが持つ「学びと成長の場」としての作用 / RSGT2026
ama_ch
0
220
技術選定、下から見るか?横から見るか?
masakiokuda
0
190
AI に「学ばせ、調べさせ、作らせる」。Auth0 開発を加速させる7つの実践的アプローチ
scova0731
0
220
製造業から学んだ「本質を守り現場に合わせるアジャイル実践」
kamitokusari
0
590
Featured
See All Featured
What's in a price? How to price your products and services
michaelherold
246
13k
How to Get Subject Matter Experts Bought In and Actively Contributing to SEO & PR Initiatives.
livdayseo
0
46
SEO for Brand Visibility & Recognition
aleyda
0
4.2k
[Rails World 2023 - Day 1 Closing Keynote] - The Magic of Rails
eileencodes
38
2.7k
CoffeeScript is Beautiful & I Never Want to Write Plain JavaScript Again
sstephenson
162
16k
jQuery: Nuts, Bolts and Bling
dougneiner
65
8.4k
The B2B funnel & how to create a winning content strategy
katarinadahlin
PRO
0
230
A Modern Web Designer's Workflow
chriscoyier
698
190k
The Spectacular Lies of Maps
axbom
PRO
1
420
Building the Perfect Custom Keyboard
takai
2
670
Keith and Marios Guide to Fast Websites
keithpitt
413
23k
Put a Button on it: Removing Barriers to Going Fast.
kastner
60
4.1k
Transcript
まじめな技術者のための WEBフィルタリング 回避術 OWASP オワスプナイト カンサイ in 8th
今日お話しすること ・特に難しい技術の話はしません 特殊なツールは不要な簡単な方法 ・あくまでもまじめな技術者のため 用法・容量を守って 悪用は厳禁
だれ? 森田 智彦 某電機メーカの セキュリティ診断チームで 自社製品の診断業務に従事 組込み機器 サーバ/Webアプリ
WEBフィルタリング http://www.atmarkit.co.jp/ait/articles/1404/02/news002.html
業務を阻害する場合も マニアックな機器を購入したい、スペックが知りたい ⇒クリックしたらオークションサイトであり URLブラックリストで弾かれる セキュリティ診断の情報収集、ツール取得 ⇒怪しげな闇サイトとして カテゴリフィルタリングで弾かれる
どうにかして、回避したい
簡単な方法で! 外部プロキシの利用による フィルタリング回避 社内イントラ 端末 大手検索サービス によるページ翻訳 目的のサイトへ アクセス 社内プロキシ
サーバ
どうすりゃいいの? ・ベンダさん ⇒技術的な観点 ⇒設定的な観点 ・社内情シスさん ⇒業務効率的な観点 まじめな技術者のために
ベンダ対策:部分一致のチェック http://www.jra.go.jp/ https://translate.google.co.jp/translate? sl=bs&tl=ja&js=y&prev=_t&hl=ja&ie=UTF-8 &u=http%3A%2F%2Fwww.jra.go.jp%2F &edit-text=&act=url ⇒URLしか見ていない クエリパラメータも ちゃんとチェックしよう
ベンダ対策:優先度の検討 ホワイトリスト、 ブラックリストで 同じURLが設定された場合は、 ホワイトリストの設定が優先 ⇒ホワイトリストを信用し過ぎ 外部プロキシになりえ るURLはグレー判定
情シス対策:従業員の生産性 業務効率や生産性とのバランスが取れ たセキュリティ対策を実施すべきだ セキュリティ偏重の判断は、業務の現 場に不便さをもたらし、柔軟な発想や 機敏性を損なわせ、イノベーションの 機会を潰してしまう http://ascii.jp/elem/000/001/260/1260611/ CODE BLUE
2016基調講演 「How much security is too much? 」 カルステン・ノール氏
情シス対策:従業員の生産性 業務上、急いで アクセスしなければ ならない場合も多いので・・・ こんなボタンを新設しては いかがでしょうか 上司に通知 上司通知に同意してアクセスする 上司に通知 http://www.owasp.hoge.org/
× ‼ Warning ‼ このページは許可されていません‼ 悪質な場合は上司に報告します。 すべてのログは収拾されており 端末の特定も可能です。 云々、、、 上司に通知 してアクセス 上司の理解と信頼 があれば・・・
ディスカッション? http://www.irasutoya.com/
deka_morita
ritou
sansan33
fullkaiten
kamekyame
nakamasato
shinichitakeuchi
chinmo
ama_ch
masakiokuda
scova0731
kamitokusari
michaelherold
livdayseo
aleyda
eileencodes
sstephenson
dougneiner
katarinadahlin
chriscoyier
axbom
takai
keithpitt
kastner
