- blogs:
- cles::blog
伏せ字をモザイクにするのは危険?
informationleakage PoC
伏せ字のために画像にモザイクをかけている場合がよくありますが、モザイクの内容がどの程度推測可能なのかについて Bishop Fox というセキュリティ会社が警鐘を鳴らしていたのでメモ。
具体的にどの程度推測可能なのかについては、 Unredacter という PoC を GitHub で公開しています。
実際に試してみるとモザイク化前の文字列が英文の場合は結構な精度で特定されてしまいます文字列の伏せ字はモザイク化ではなく、黒塗り(もしくは、白塗り)にすべきですね。
Never Use Text Pixelation To Redact Sensitive Information | Bishop Fox
Today, we’re focusing on one such technique – pixelation – and will show you why it’s a no-good, bad, insecure, surefire way to get your sensitive data leaked. To show you why, I wrote a tool called Unredacter that takes redacted pixelized text and reverses it back into its unredacted form. There’s plenty of real-world examples of this in the wild to redact sensitive information, but I won’t name names here. Watch my video for a quick recap of the importance of NEVER using pixelation to redact text, as well as how I unredact Jumpseclabs's Challenge in real-time.
このエントリへのTrackbackにはこのURLが必要です→https://blog.cles.jp/item/13075
古いエントリについてはコメント制御しているため、即時に反映されないことがあります。
コメントは承認後の表示となります。
OpenIDでログインすると、即時に公開されます。
OpenID を使ってログインすることができます。
2 . Solr-rubyで複数のドキュメントを一括Post(33282)
3 . Word で数式がグレーアウトされていて挿入できないときは(31895)
4 . リモートデスクトップで Alt + PrtSc と同じことをするには(24736)
5 . Visual Studio 2017/2019 で scanf() がエラー(C4996)になるときは(24385)
