BLOGTIMES
« :: »
2022/02/26

伏せ字をモザイクにするのは危険?

  informationleakage  PoC 
このエントリーをはてなブックマークに追加

伏せ字のために画像にモザイクをかけている場合がよくありますが、モザイクの内容がどの程度推測可能なのかについて Bishop Fox というセキュリティ会社が警鐘を鳴らしていたのでメモ。

具体的にどの程度推測可能なのかについては、 Unredacter という PoC を GitHub で公開しています。
実際に試してみるとモザイク化前の文字列が英文の場合は結構な精度で特定されてしまいます文字列の伏せ字はモザイク化ではなく、黒塗り(もしくは、白塗り)にすべきですね。

Never Use Text Pixelation To Redact Sensitive Information | Bishop Fox

Today, we’re focusing on one such technique – pixelation – and will show you why it’s a no-good, bad, insecure, surefire way to get your sensitive data leaked. To show you why, I wrote a tool called Unredacter that takes redacted pixelized text and reverses it back into its unredacted form. There’s plenty of real-world examples of this in the wild to redact sensitive information, but I won’t name names here. Watch my video for a quick recap of the importance of NEVER using pixelation to redact text, as well as how I unredact Jumpseclabs's Challenge in real-time.


    by hsur at 18:59 [5年前][4年前][3年前][2年前][1年前][1年後][2年後] |
    こんな記事もあります 「GitHub Bishop Fox
    2024 年の人気エントリ Top 100
    GitHub が全ての公開リポジトリへのシークレットスキャンを有効に
    Celestica Seastone DX010 という 100GbE スイッチを手にいれた
    Google が AI によるファイル判別ツールをリリース
    2023 年の人気エントリ Top 100
    Cloudflare が HAR File Sanitizer を OSS で公開
    いにしえの MTOS を Docker で蘇らせる
    Yubikey を SSH の公開鍵認証として使う
    TeraTerm の背景色をお手軽に変更できる TTXCommandLineOptKai を TeraTerm5 対応に
    教育用の穴だらけの Web アプリ「BadTodo」
    トラックバックについて
    Trackback URL:
    お気軽にどうぞ。トラックバック前にポリシーをお読みください。[policy]
    このエントリへのTrackbackにはこのURLが必要です→https://blog.cles.jp/item/13075
    Trackbacks
    このエントリにトラックバックはありません
    Comments
    愛のあるツッコミをお気軽にどうぞ。[policy]
    古いエントリについてはコメント制御しているため、即時に反映されないことがあります。
    コメントはありません
    Comments Form

    コメントは承認後の表示となります。
    OpenIDでログインすると、即時に公開されます。

    OpenID を使ってログインすることができます。

    Identity URL: Yahoo! JAPAN IDでログイン

    « :: »
    Copyright © 2004-2023 by CLES All Rights Reserved.