Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
まじめな技術者のためのWEBフィルタリング回避術
Search
Tomohiko Morita
December 04, 2016
Technology
1
610
まじめな技術者のためのWEBフィルタリング回避術
オワスプナイトカンサイ ~OWASPローカルチャプターミーティング in 関西 8th~での発表資料です
Tomohiko Morita
December 04, 2016
Tweet
Share
More Decks by Tomohiko Morita
See All by Tomohiko Morita
(会社ライフ)ハッカーになろう / Let's Become a Corporate-life-hacker
deka_morita
0
800
ガンダム × ネーミング
deka_morita
0
500
クレジットカードを不正利用された話
deka_morita
0
1.3k
ガンダム勉強会@関西アンケート集計
deka_morita
0
710
ガンダム勉強会@サイド2開催にあたって
deka_morita
0
580
物理なポチポチ操作自動化
deka_morita
1
230
Other Decks in Technology
See All in Technology
プロンプトエンジニアリングでがんばらない-Agentic Workflow へ-近藤憲児
kenjikondobai
3
810
EMとして2023年度に頑張ったこと / What we did well in FY2023 as a EM
pauli
1
170
元インフラエンジニアに成る / Human Resources to Human Relations
bobtani
4
920
どうするコスト最適化のトレードオフ
tetsuyaooooo
1
530
Reducing Cross-Zone Egress at Spotify with Custom gRPC Load Balancing Recap
koh_naga
0
210
20240418_Google ColabにLLMが搭載されたようなのでPython x データ分析の勉強方法を考えてみる
doradora09
0
140
require(ESM)とECMAScript仕様
uhyo
3
760
[新卒向け研修資料] テスト文字列に「うんこ」と入れるな(2024年版)
infiniteloop_inc
4
16k
KubeConにproposalを送りたい人へのアドバイス
sat
PRO
3
260
Google Cloud の AI を支える裏側のインフラを垣間見る!
maroon1st
0
350
自己改善からチームを動かす! 「セルフエンジニアリングマネージャー」のすゝめ
shoota
6
760
Databricks における 『MLOps』
databricksjapan
2
170
Featured
See All Featured
Design by the Numbers
sachag
274
18k
The Illustrated Children's Guide to Kubernetes
chrisshort
31
46k
The World Runs on Bad Software
bkeepers
PRO
61
6.7k
10 Git Anti Patterns You Should be Aware of
lemiorhan
648
58k
YesSQL, Process and Tooling at Scale
rocio
164
13k
Ruby is Unlike a Banana
tanoku
96
10k
Why Our Code Smells
bkeepers
PRO
331
56k
Bootstrapping a Software Product
garrettdimon
PRO
302
110k
Code Reviewing Like a Champion
maltzj
514
39k
Faster Mobile Websites
deanohume
299
30k
The Straight Up "How To Draw Better" Workshop
denniskardys
227
130k
Navigating Team Friction
lara
178
13k
Transcript
まじめな技術者のための WEBフィルタリング 回避術 OWASP オワスプナイト カンサイ in 8th
今日お話しすること ・特に難しい技術の話はしません 特殊なツールは不要な簡単な方法 ・あくまでもまじめな技術者のため 用法・容量を守って 悪用は厳禁
だれ? 森田 智彦 某電機メーカの セキュリティ診断チームで 自社製品の診断業務に従事 組込み機器 サーバ/Webアプリ
WEBフィルタリング http://www.atmarkit.co.jp/ait/articles/1404/02/news002.html
業務を阻害する場合も マニアックな機器を購入したい、スペックが知りたい ⇒クリックしたらオークションサイトであり URLブラックリストで弾かれる セキュリティ診断の情報収集、ツール取得 ⇒怪しげな闇サイトとして カテゴリフィルタリングで弾かれる
どうにかして、回避したい
簡単な方法で! 外部プロキシの利用による フィルタリング回避 社内イントラ 端末 大手検索サービス によるページ翻訳 目的のサイトへ アクセス 社内プロキシ
サーバ
どうすりゃいいの? ・ベンダさん ⇒技術的な観点 ⇒設定的な観点 ・社内情シスさん ⇒業務効率的な観点 まじめな技術者のために
ベンダ対策:部分一致のチェック http://www.jra.go.jp/ https://translate.google.co.jp/translate? sl=bs&tl=ja&js=y&prev=_t&hl=ja&ie=UTF-8 &u=http%3A%2F%2Fwww.jra.go.jp%2F &edit-text=&act=url ⇒URLしか見ていない クエリパラメータも ちゃんとチェックしよう
ベンダ対策:優先度の検討 ホワイトリスト、 ブラックリストで 同じURLが設定された場合は、 ホワイトリストの設定が優先 ⇒ホワイトリストを信用し過ぎ 外部プロキシになりえ るURLはグレー判定
情シス対策:従業員の生産性 業務効率や生産性とのバランスが取れ たセキュリティ対策を実施すべきだ セキュリティ偏重の判断は、業務の現 場に不便さをもたらし、柔軟な発想や 機敏性を損なわせ、イノベーションの 機会を潰してしまう http://ascii.jp/elem/000/001/260/1260611/ CODE BLUE
2016基調講演 「How much security is too much? 」 カルステン・ノール氏
情シス対策:従業員の生産性 業務上、急いで アクセスしなければ ならない場合も多いので・・・ こんなボタンを新設しては いかがでしょうか 上司に通知 上司通知に同意してアクセスする 上司に通知 http://www.owasp.hoge.org/
× ‼ Warning ‼ このページは許可されていません‼ 悪質な場合は上司に報告します。 すべてのログは収拾されており 端末の特定も可能です。 云々、、、 上司に通知 してアクセス 上司の理解と信頼 があれば・・・
ディスカッション? http://www.irasutoya.com/