-
- いいね!0
Typhon(テポ)✡0121pankration-retrospective
@Typhon666_death
これだけ、日本語化にして、スライドにしてもいいかもね。 owasp.org/images/3/32/To… #owaspjapan
2016-06-13 19:48:32
菅原 俊(192.168.7.21)
@Shun_Sugawara
Webの脆弱性だと証明書未検証によるMITM攻撃とかよくニュースで聞くけど、プライバシーリスクとしては10位でそんなに重要でないのだろうか? #owaspjapan
2016-06-13 19:49:53
h12o
@h12o
#owaspjapan 戻るけど、OWASP ZAPとhubotとslack、それぞれは「連携するもの」として面白そうなんだけど、3つを組み合わせて脆弱性スキャンボットにするというのは、作ってみたという感じなのかなあ。実はメリットがよく分からず。
2016-06-13 19:52:08
h12o
@h12o
#owaspjapan 古いパーソナルデータって、訳の問題かもしれないけれど、本当は「古いかどうか(間違いかどうか)わからないパーソナルデータ」ではないかなと思った。内申書事件が引き合いに出されていたけれど、古い(間違い)だということが伝わっていなかったのが問題なので。
2016-06-13 19:54:09
菅原 俊(192.168.7.21)
@Shun_Sugawara
内部犯に抗するにしても完全に間違わない善人だけで人を集めるのは無理でしょうから、実際には何かあっても完全に漏洩しないとか、漏洩したら即気付くとかがシステムでの対応だろうなー。 #owaspjapan
2016-06-13 19:56:07
TACHIBANA
@ttach1
やはりプライバシーはセキュリティと違って、国ごとに若干考え方が違う気がするな。データオーナーとかCISSPで米国の考え方だもんな #owaspjapan
2016-06-13 19:56:52
伊藤 彰嗣 / Akitsugu Ito
@springmoon6
8 原則を網羅的に選択されている印象。 対策に関するドキュメントは事例も豊富に見えるので、一度丁寧に見直してみたい。 owasp.org/images/0/0a/OW… #owaspjapan
2016-06-13 19:58:21
h12o
@h12o
#owaspjapan またOWASP ZAP APIの脆弱性スキャンボット、CIサーバと一緒のホストにOWASP ZAP APIサーバがあるイメージがあったけど、それってZAPが起動したままのマシンがあるということで、ログインしてスクリーンロックをかける必要があるのかな?
2016-06-13 19:58:40
菅野 哲 (Satoru Kanno)
@satorukanno
Memo: Top 10 Privacy Risks Projects Countermeasures v1.0 を貼っておくよ! #owaspjapan owasp.org/images/0/0a/OW…
2016-06-13 19:58:57
菅原 俊(192.168.7.21)
@Shun_Sugawara
パーソナルデータの保持と破棄でいつ決断するかの損益分岐点を見つけるのは、なかなか有益だろうな。 #owaspjapan
2016-06-13 19:59:00
tsubok🌘🌘DUBLIN
@TSB_KZK
readability-score.com は日本語だと係り受けとかを解析することになるのかな #owaspjapan
2016-06-13 20:00:23
伊藤 彰嗣 / Akitsugu Ito
@springmoon6
セキュリティではなく、プライバシーのチェックリストとして自社サービスに当てはめてみると色々と気づきがありそう。コンプライアンスベースのアプローチでカバーできない部分や、現実のプライバシーリスクに関する意識が欠けているという指摘は共感できる。 #owaspjapan
2016-06-13 20:05:23
菅原 俊(192.168.7.21)
@Shun_Sugawara
脆弱性は技術寄りの話になるので分かるけど、プライバシーについては法律寄りの話になるので専門外なので難しい先入観あるんだよな……。 #owaspjapan
2016-06-13 20:06:02
かお㌠
@ka0com
IPV6のプライバシーエクステンションはこれかな…? s.news.mynavi.jp/series/ipv6/00… #owaspjapan
2016-06-13 20:06:48
菅野 哲 (Satoru Kanno)
@satorukanno
元ネタを確認してて、たまたま目に付いたP10の対策が少し曖昧で中途半端になってるなぁ・・・。勿体ない|ω・`) ショボーーン #owaspjapan owasp.org/images/0/0a/OW…
2016-06-13 20:07:44
伊藤 彰嗣 / Akitsugu Ito
@springmoon6
Q. 複数のサービスを提供する際に、全てに対応できるポリシーを用意せざるを得ないという状況がある。開発者も十分に理解しているとは言えない。どうするのが良いか。 A. スマートフォンイニシアティブの考え方が参考になると思う。基本的にはサービスごとに用意する。 #owaspjapan
2016-06-13 20:08:39
伊藤 彰嗣 / Akitsugu Ito
@springmoon6
A2. ユーザーに理解してもらえる文言を考えることも重要。 セキュリティの監査だけでなく、プライバシーの監査や、前工程でプライバシーを考慮することも重要。 #owaspjapan
2016-06-13 20:10:04
菅原 俊(192.168.7.21)
@Shun_Sugawara
法律に則ってれば満点じゃなくて、社会正義にも則らないと意味がないので、高いモラルが必要で更に難しい。米国企業とかは法律を満足した上で、社会正義の面で捜査機関と争ってたりしますよね。 #owaspjapan
2016-06-13 20:10:10
伊藤 彰嗣 / Akitsugu Ito
@springmoon6
「スマートフォン プライバシー アウトルックII」の公表 soumu.go.jp/menu_news/s-ne… #owaspjapan
2016-06-13 20:11:12