アカウント名:
パスワード:
Twitterがどうとかはどうでもいい話だが、内部ファイルの持ち出しを厳密に禁じられているような現場だったとして、画像の作成担当であれば一見ただサイトの画像ファイルを更新するように社外秘を画像に入れ込むことでネットを介して堂々と持ち出せるということだよね。
よほど不自然なサイズにならなければ露見することもまずなさそう。
各種画像ファイルから画像に無関係なデータの量を取得して一定量以上なら報告するツール、とかはそんなに難しくないと思う。画像ペイロードに混ぜ込まれると面倒だけど。
簡単に(つまり機械的に)できるならTwitterもそうすればいいだけの話で、これはそうじゃない。
Twitterは投稿画像内の隠しデータ排除とかを目的にしてないので……要らんメタデータは消すしでか過ぎれば縮小もするけど、それは転送量を抑える為で偽装ファイルの阻止は多分意図していない。
twitterに上げられることが新規性なのに、そこを無視したら四半世紀以上前の話になるぞ。
画像に偽装すればぐらいのアイデアはそんなに珍しいものではなくて、普通にセキュリティ管理者の思考には含まれていると思う。多人数に閲覧される画像にデータを埋め込む内部犯の面の皮は中々厚いが、基本的な考え方として、インターネットの接続を許したら、絶対的な悪意のある内部犯の情報漏出をシステムで防ぐのは不可能だろう。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
身近な人の偉大さは半減する -- あるアレゲ人
応用すると (スコア:1)
Twitterがどうとかはどうでもいい話だが、
内部ファイルの持ち出しを厳密に禁じられているような現場だったとして、
画像の作成担当であれば一見ただサイトの画像ファイルを更新するように社外秘を画像に入れ込むことでネットを介して堂々と持ち出せるということだよね。
よほど不自然なサイズにならなければ露見することもまずなさそう。
Re: (スコア:0)
各種画像ファイルから画像に無関係なデータの量を取得して一定量以上なら報告するツール、とかはそんなに難しくないと思う。
画像ペイロードに混ぜ込まれると面倒だけど。
Re: (スコア:0)
簡単に(つまり機械的に)できるならTwitterもそうすればいいだけの話で、これはそうじゃない。
Re: (スコア:0)
Twitterは投稿画像内の隠しデータ排除とかを目的にしてないので……
要らんメタデータは消すしでか過ぎれば縮小もするけど、
それは転送量を抑える為で偽装ファイルの阻止は多分意図していない。
Re: (スコア:0)
twitterに上げられることが新規性なのに、そこを無視したら四半世紀以上前の話になるぞ。
Re: (スコア:0)
画像に偽装すればぐらいのアイデアはそんなに珍しいものではなくて、普通にセキュリティ管理者の思考には含まれていると思う。
多人数に閲覧される画像にデータを埋め込む内部犯の面の皮は中々厚いが、
基本的な考え方として、インターネットの接続を許したら、絶対的な悪意のある内部犯の情報漏出をシステムで防ぐのは不可能だろう。