Lazy Diary @ Hatena Blog

PowerShell / Java / miscellaneous things about software development, Tips & Gochas. CC BY-SA 4.0/Apache License 2.0

身分証明書に西暦生年月日は必要か&マイナンバーカードのローマ字氏名の話

Secure Liaisonで、「海外で身分証明書が必要なときに日本の運転免許証は生年月日が和暦だから使えない」という話があったので確認してみた。 open.spotify.com NIST SP800-63Aの4. Identity Assurance Level Requirementsでは「身元確認を達成するのに必要…

確実に公的資格と言えそうな資格の一覧

神奈川県の本人確認書類のページに、旅券法施行規則第二条二号ロ相当の書類として「発行者が公の機関ではないが、公的資格を証明する写真付きのもの」という記載がある。 www.pref.kanagawa.jp ここで気になるのが、じゃぁ公的資格って具体的に何よ?*1とい…

旅券取得時の本人確認書類の都道府県ごとの違い

日本国旅券はNIST SP800-63Aで言う強度Superiorのエビデンスに相当します。ところで、旅券を取得するときに危険物取扱者免状を本人確認書類として使えるかは都道府県ごとに異なります。 satob.hatenablog.com 危険物取扱者免状以外にも、旅券法施行規則第二…

Googleスプレッドシートを公開するときの制約事項

Googleスプレッドシート(Google Sheets)では、作成したスプレッドシートを[ファイル]-[ウェブに公開]で公開できる。 support.google.com この場合、ドキュメントには記載がないが、以下のような制約事項があった。 [ファイル]-[ウェブに公開]で[PDFドキュ…

セキュリティ診断ツールの結果をどう信じるか

Webアプリケーション向けセキュリティ診断ツールの一部は、トークンありの場合となしの場合でレスポンスが変わらない場合に「CSRF脆弱性あり」と判断する。ただ動作としてはキャプチャ/リプレイツールなので、場合によってはトークンありの場合でもアプリが…

ChromeでHTML中の任意の場所にジャンプするリンク

長いHTMLの途中の見出しにジャンプするリンクを作りたい でも見出しにid属性がついていない という場合、HTMLのURLの末尾に「#:~:text=」に続けてリンクしたい文字列を指定すると、指定した文字列がハイライトされた状態で、フォーカスもその文字列にあてら…

官公署発行の顔写真付きの本人確認書類のうち旅券法施行規則別表第二にないもの

横浜市のサイトの「Q&A番号:154891」に面白い内容があった。電子証明書申請*1の際に使える本人確認書類として、旅券法施行規則別表第二に記載のない証明書を挙げている*2。 qa.city.yokohama.lg.jp 旅券法に記載のないのは「在留カード」「特別永住者証明書…

SecListsのユーザ名リストの由来

システムの運用担当者のユーザ名、ちょっかい出されそうな名前になってないよね?ということを確認する際に便利なのがOWASP SecLists。owasp.orgただ、どのファイル名が何に由来するものなのか書かれた資料がなかったので調べてみた。 # Path Origin Origina…

身分証明と本人確認と身元確認と身元識別と本人認証の違い

NIST SP800-63および63Aの「Identity proofing」に対応する語として、IPAでは「身元識別*1」、JIPDECでは「本人確認*2」の語をあてている*3。 じゃあ「身分証明」「本人確認」「身元確認」「身元識別」「本人認証」ってどれも同じ意味なの?というと、どうも…

旅券法施行規則から見る危険物取扱者免状のエビデンスとしての有効性

危険物取扱者免状は知事名で発行される公文書であり、かつ氏名・生年月日・顔写真が印字されていることから、本人確認書類として使おうとするケースも多いように見うけられます。一方、発行時の個人情報は自己申告でreal-life identityの確認も行われないと…

ChromeでアクセスしてるサイトのIPアドレスを知りたい

やりたいこと Chromeでアクセスしているサイトのサーバ名でなくIPアドレスが知りたい。たとえばアクセス先のサイトをホストしているのがAWSなのか、Azureなのか、はたまた自社サーバなのかを知りたい。nslookupで引こうと思ったけど、設定がマズいのかなぜか…

HSTSのmax-ageの推奨値が資料によってバラバラ

HTTP Strict Transport Security (HSTS)では、HSTSの結果をキャッシュする期間(max-age)をパラメータで指定できる。ただし、このmax-ageの推奨値は資料によってバラバラ。 hstspreload.org (ブラウザのHSTS preload listの管理元*1) Mozilla Web Securit…

行政等が発行する各種身分証明書の「写真」のエビデンス強度

行政等が発行する各種身分証明書自体のエビデンス強度はこんな感じでした。 satob.hatenablog.com一方、昨今ではオンライン手続きが拡充され、eKYCを含めオンラインでの身分証明が求められるケースも多くなりました。 犯罪による収益の移転防止に関する法律…

RHLS試験における本人確認の強度

Red Hat Learning Subscriptionによる試験の受験申込時には、運転免許証 or パスポート or 顔写真付きの社員証+健康保険証が画像データとして要求されます。練習問題として、この本人確認がSP 800-63AのどのIALに当たるか調べてみました。 www.jipdec.or.jp…

監査証跡の記録をビジネスロジックとして実装する理由

多くのRDBMSでは、それぞれ監査証跡を記録する機能を備えている*1*2*3。一方で、RDBMSの監査証跡機能を利用せず、ビジネスロジックとして証跡を取得する(監査証跡を機能要件として定める)ケースもある。そこで、RDBMSの監査証跡機能を利用しない・できない…

逆引き順(reverse index)で文字列をソートする

注意事項 逆順(reverse order)でなく逆引き順(reverse index)であることに注意。また日本語の「逆引き」は、文字列の先頭と末尾を逆にした並び(reverse index)の意味と、意味から単語を探す(reverse lookup)の意味の両方で使われる。ここではreverse…

行政等が発行する各種身分証明書のエビデンス強度

各種の本人確認方法がSP 800-63AのどのIALに当たるか判断する際には、手続きに使用する証明書のエビデンス強度を考える*1必要があります。ここで、エビデンス強度はSuperior/Strong/Fair/Weakの4段階*2に分けられており、それぞれに要件が定められています。…

性能テストの実施レベル

単に「性能テストを計画してください」とだけ言うと、無風状態でのレスポンスタイム計測だけWBSに入れて「計画に入れました!」とか言われるケースが多いんですよね。IPA 非機能要求グレード *1 の性能品質保証(B.4)では、測定頻度・確認範囲のほかに「ス…

ウィンドウ右下のサイズ変更用エリアの名前

Windowsのメモ帳のステータスバー右下なんかに表示されてるコレの名前、ドキュメントによって呼び名が違う。 MFCのAPIリファレンスだと "gripper" と呼ばれている。Prof-UISでもgripperと呼んでいる。 .NETのAPIリファレンスだと "sizing grip" と呼ばれてい…

タイムスタンプを変えずにテキストファイル中の文字列を置換する

howmで大量に作ったファイル中のWiki風リンク[[foo]]を[[bar]]に変えたいとかの場合。howmのテキストファイルが保存されているディレクトリにcdして以下のように実行する。 find . -xdev -type f -exec sed -i.bak 's/\[\[foo\]\]/\[\[bar\]\]/g' {} \; -exe…

(ISC)²年会費(AMF:Annual Maintenance Fee)の支払いタイミングと課税・非課税

CISSPの認定を受けるには、CISSP試験合格後、Endorsement(推薦書)を提出し、それが受理された後に(ISC)²へ年会費(AMF:Annual Maintenance Fee)を支払う必要がある。 (ISC)² Japanのサイトには「支払い: 認定開始日が一番早い認定の更新時*1」と記載があ…

grep(1)にPassThru相当のオプションはない ほか

sh(1)のパイプの中で左辺のコマンドの戻り値を${PIPESTATUS[0]}で参照することはできない。 grep(1)でマッチの結果にかかわらず、すべての行を標準出力へ出力することはできない。 tee(1)でパイプの入力を複数のファイルディスクリプタに複製して出力するこ…

sshのauthorized_keysのcommandでパイプは使えるか

authorized_keysのcommand=オプションにパイプを含むコマンドを指定できるか実験。 command="find /home/satob -maxdepth 1 -name '*.sh' | xargs grep '#!'" ssh-ed25519 AAAAC3Nz... pipe@example.com 実行してみたらこんな感じ。問題なく実行できた。結局…

rbashでディレクトリトラバーサルは防げない

satob.hatenablog.com で挙げた # cat authorized_keys command="ls /$SSH_ORIGINAL_COMMAND" ssh-rsa AAAAB.... $ ssh root@xxx.xxx.xxx.xxx -i ~/.ssh/com "tmp;hostname" ls: /tmp;hostname: No such file or directory みたいなケースで$SSH_ORIGINAL_CO…

OSSの脆弱性への対応が検討できないケースに関する考察

システムで利用しているOSSに脆弱性が見つかったときの対応が検討できないの、なんでだろう?という気もするんだけど、 問:ある業務アプリケーションに組み込んでいたOSSに含まれていた既知の脆弱性を悪用され、情報セキュリティ事故が発生した。同様の事故…

ProcessBuilder freezes when you try to run a .bat containing PowerShell scripts

Background By using the .bat file from here, you can run a PowerShell script by just click the .bat file. reosablo.hatenablog.jp Problem When you are trying to run the .bat file from Java ProcessBuilder class like this, the .bat file will …

Eclipseの操作自動化プロジェクトの淘汰っぷりが凄い

Eclipseで、このプロジェクトのコンテキストメニューからこのプラグインのこの機能を実行して、実行構成で定義したこの処理を実行して……という作業をマクロ化したいんだけど(そしてよくありそうな話だと思うんだけど)、プロジェクトが産まれては消えている…

外部プロセスとしてシェルスクリプトを起動する方法

任意の処理系から外部プロセスとしてシェルスクリプトを起動したい場合、大きく以下の2つの方法が考えられます。 (1) shの引数にシェルスクリプトを指定する /bin/sh foobar.sh のように、shの引数にシェルスクリプトを指定して起動する。 shに与えるパラメ…

シェルスクリプトに渡す引数をサニタイズ

シェルスクリプトに渡した引数を、スクリプト中で単純に$@で参照すると、OSコマンドインジェクションを招くおそれがある。 $ cat sanitize4.sh #!/bin/bash ash -s <

Equivalent of native2ascii and native2ascii -reverse in CyberChef

CyberChef Unescape string is equivalent to native2ascii -reverse. CyberChef Escape string is almost equivalent to native2ascii. Escape level should be "Special chars". native2ascii never escape Escape single quotes, double quotes, or backt…