YONEUCHI, Takashi | Flatt Security
@lmt_swallow
Followers
3,937
Following
623
Media
190
Statuses
56,092
取締役 CTO @flatt_security , a part of @GMOGroup | en: @y0n3uchy | 著書『Webブラウザセキュリティ』ほか
Tokyo-to, Japan
Joined November 2010
Don't wanna be here?
Send us removal request.
Explore trending content on Musk Viewer
台風10号
• 236705 Tweets
Oasis
• 217033 Tweets
Michael
• 172501 Tweets
台風の進路
• 141167 Tweets
श्री कृष्ण
• 117298 Tweets
Racing
• 108420 Tweets
Angela
• 60024 Tweets
Noel
• 40726 Tweets
Fortaleza
• 33648 Tweets
Allan
• 31780 Tweets
#KrishnaJanmashtami
• 25237 Tweets
कन्हैया लाल
• 20598 Tweets
Millonarios
• 20175 Tweets
Angélica
• 18066 Tweets
Wesley
• 17981 Tweets
Bragantino
• 15783 Tweets
#สี่ล้านสามไปต่อกับซีพฤกษ์
• 15663 Tweets
Q29 U STEAL MY HEART
• 14238 Tweets
Seabra
• 14225 Tweets
Xuxa
• 14027 Tweets
Luiz Araújo
• 14019 Tweets
#JACKANDJOKERQ29
• 13621 Tweets
Ramiro
• 13074 Tweets
オアシス再結成
• 11338 Tweets
セキュリティ屋の仕事はモノや組織をセキュアにすることであって、それはモノへの適切な理解と、人との適切にコミュニケーションと、自らの積極的なエンジニアリングなしには成し得ない、というのが個人的な考えです。とりわけ監査や解析は手段であって目的ではない。ましてや糾弾は手段ですらない。
3
281
856
本を書きました🎉 複雑な Web ブラウザのセキュリティ機構を正しく理解するための、Web アプリケーション開発者に向けた一冊です。来る 2021/1/5 に発売開始予定ですので、乞うご期待 :-)
11
193
685
CPU 実験でやった余興「Linux が動作する RISC-V CPU を自作する」の詳細をブログにまとめました。よかったらご一読ください。みなさま、よい CPU 自作ライフを。| "Linux が動作する RISC-V CPU を自作した (2019 年度 CPU 実験 余興)" -
3
233
637
最近学科の実験で同級生と一緒に作っている自作 RISC-V コアの上で xv6 (小さな OS) が動いた。めでたい。
3
116
589
ゼエゼエ(意訳: セキュリティ・キャンプの講義「ちいさな Web ブラウザを作ろう」の事前課題資料を作っています。ここから三週間くらいの間、随時更新しては更新情報をこのツイートのスレッドにぶら下げるので、気になっている方はこのツイを時折眺めてください🙇)
4
107
519
セキュリティ・キャンプの宣伝活動の一環として、本日お茶の水女子大学で「正規表現とセキュリティ」というタイトルのショートトークをさせてもらいました。その時に使ったスライドを公開したので、興味のある方はぜひご���ください〜
1
126
408
seccamp で題材にする予定のミニ自作 Web ブラウザがそれっぽくなってきた。教育用なので機能は最小限だけども。現状 HTML のサブセットのパース・描画、JS の実行、JS から DOM を操作するための小さな DOM API などを積んでいます。
セキュリティ・キャンプ全国大会 2021 オンラインの詳細が公開されました!今年僕は『ちいさな Web ブラウザを作ってみよう』という講義をやります。B トラックの応募課題にもそれっぽい設問があるので、ぜひ取り組んでみてください。
#seccamp
2
44
157
1
72
318
昨年末に予告していた拙著『Webブラウザセキュリティ ― Webアプリケーションの安全性を支える仕組みを整理する』、先ほど発売開始されました!どうぞご一読ください〜!
2
80
294
2021年度の未踏ターゲット事業に採択されました🎉 具体的には9ヶ月間「古典・量子ハイブリッドな高機能プログラミング言語の設計及び処理系の開発」というPJを学部時代の同級生二人とやります。彼らは僕にない専門性をもってる超優秀人間なので共同作業がとても楽しみ。
3
47
261
これはとても大事な話なんですが、若者を対象に、拙著『Webブラウザセキュリティ ― Webアプリケーションの安全性を支える仕組みを整理する』をプレゼントする企画をやります。応募の締切は【1/17 (日) 23:59 JST 】です。どしどしご応募ください!
1
119
227
昨日弊社メンバーが書いてくれた GitHub Organization 運用の Tips 集が公開されてました。チームでさくっと読みあわせ & 実践できるような内容なので、GitHub を使っている方はよければ目を通してみてください!
1
45
213
そういえばセキュリティ・キャンプでやった講義 + ハンズオン (4時間) を倍の時間 (8 時間) にして、丁寧に & ゆったりやりたいな、と考えているんですが、興味のある方、いらっしゃったりしませんか 👀
22
30
200
#seccamp
全国大会 2020 の講義「マクロな視点から捉える Web セキュリティ」の資料を公開しました。昨今の技術スタックの変化をふまえて Web セキュリティ領域を概観した後、ソフトウェア間の一貫性の欠如からくる問題と、サイドチャネル攻撃についてを整理しています :-)
2
68
194
米内、CTO業を始めるってよ。今後とも弊社をよろしくお願い致します m(_ _)m
8
26
191
Flatt Security は10 億円の資金調達を実施します。これに伴い GMO インターネットグループに参画いたします。
社名はそのままです。新ミッション「エンジニアの背中を預かる」を胸に、引き続きプロダクトセキュリティ領域にコミットし続けます。よろしくお願いします!
2
24
172
最近 Flatt というセキュリティ系ベンチャーにジョインしました。技術的にも社会的にも色々な挑戦をしていきますので、ご愛願いただけますと幸いです。また現在は事業を加速していくためにもセキュリティエンジニアを募集しています。ぜひ気軽にお声がけください :-)
4
36
162
新しいサービスをリリースしました。まずはここから🐣 / Flatt Security、セキュアコーディング習得を支援するSaaS型eラーニングサービス「Flatt Security Learning Platform」のβ版登録申込を開始。 via
@PRTIMES_JP
2
34
164
セキュリティ・キャンプ 全国大会 2019 で「体系的に学ぶモダン Web セキュリティ」という題の講義をやります。
古典的 XSS や基礎的なブラウザのセキュリティ機構の話からはじめて、XS-Search やタイミング攻撃など、モダンな攻撃とその対策などについて取り扱う予定です。興味あればぜひ!
#seccamp
8
42
154
セキュリティ・キャンプ全国大会 2021 オンラインの詳細が公開されました!今年僕は『ちいさな Web ブラウザを作ってみよう』という講義をやります。B トラックの応募課題にもそれっぽい設問があるので、ぜひ取り組んでみてください。
#seccamp
2
44
157
自作 RISC-V コア上で Linux も動いた。長い戦いだった。余興班各位、約一ヶ月間ありがとうございました🙇
4
35
151
Shibuya.XSS techtalk
#11
で使うスライドを公開します。 XSS の"後"の世界をのぞいてみよう、というのがテーマです。Enjoy! :-)
#shibuyaxss
| "Gimme a bit!" - Exploring Attacks in the "Post-XSS" World
1
44
146
炎上は風物詩であるべきでないし、嘲笑は正義ではない。それに事故を事前に防ぐ仕組みも作れているわけでもなければ、適切な知識を広く啓蒙できているわけでもないのであれば、その時点でセキュリティ屋はすでに後手を取ってるんじゃないですかね。セキュリティ「を」職業としている人としては。
1
45
131
学生証の処理などのために大学に行き、そのついでに卒業シーズンの人間がよくするコスプレをしてきたんですが、案外これ着ると僕みたいな人間でも 4 年間ちゃんと学業に励んできた感が出ることがわかった
10
11
126
Black Hat USA 2019 の Web 系セッションのちょっぴり詳しめの紹介記事を書きました。よかったら読んでみてください :-)
2
40
124
単に誰かの役に立てばいいな〜と思って何かを公開するたびに、とにかくストレスが溜まってそうな方からストレスをぶつけられるの、かなり無だな。人生の先輩各位はこの手のヘイトとどう付き合っているんだ……
4
10
119
0
38
120
本日喋る資料です。LT なので短いですが, CSS によるタグの属性・内部の両方のデータリーク手法に関して話します。 | CSS Injection ++ - 既存手法の概観と対策
3
63
116
2019 年度 CPU 実験の余興として作成した自作 RISC-V コア上で Linux が動作する様子です。この後の学内での発表会で使うためにアップロードしておいたんですが、よかったら皆さんもぜひ。
0
43
113
今日喋るやつです。お手元にスライドが欲しい方は適宜こっちを見ていただければ嬉しいです。 | XSS in the era of *.js - JS ライブラリ時代の XSS (ゼロから始めるセキュリティ入門勉強会
#15
)
2
45
104
時間の計算ができない僕(22 歳)、80min のセミナーで 30 分喋ったタイミングで「気がついたら時間めっちゃ超過してないか?!やべえなオイオイ」となり、高速オタクトークをし、早めに話を切り上げ、最終的に持ち時間を 35 分残して話を終えてしまった。みんなは元気?
3
18
107
アジア代表チームの Head Captain として参加してきました。全体順位でも表彰台圏内、A&D では昨年度同様1位ということで、悔しさはありつつも胸を撫で下ろしたところです。
僕は来年出場権が無いはずなので、来年は別の形で次の世代のチームに貢献できたらいいな。頑張ります!🫡
ICC (International Cybersecurity Challenge) 2023にて
アジアチームは総合3位を獲得し、A&D CTFでは優勝することができました。
㊗️選手の皆さん、おめでとうございます!🎉🎉
#seccamp
0
40
159
2
13
105
拙著『Webブラウザセキュリティ』の紙版がご購入くださった方のお手元に届きはじめているようです(僕の手元にも今日届いた)。今週末のお供にどうぞ💪
1
16
100
Proxy-Wasm で Envoy をいじって遊ぶ話について書きました。「Envoy などのプロキシの拡張を書こうとして悲しい思いをしたことがある方」や、「これから拡張を書こうとしている方」には多少有益かも。小ネタなんでサクッと読めます。
1
26
93
今日の
#owaspnight
(
#owaspjapan
) で使ったスライドを公開しました。最近思いついた regexp injection を利用して search 対象の文字列を leak するテクニック (blind regexp injection attack と勝手に呼んでいる) について話しました。
2
26
88
セキュリティ・ミニキャンプ in 岡山 2018 の講義「Web セキュリティ入門」で使用した資料を公開しました。演習は XSS Challenge だけ外部公開中となります。Enjoy :-)
#seccamp
0
33
83
書きました。読んでネ
1
12
80
セキュリティ・ミニキャンプ in 岡山
2018 で使用した XSS Challenge を公開しました。XSS 初学者の方向けで, 制約は全体的に緩めです。Enjoy! :-)
#seccamp
3
37
79
無事卒業ということで卒業人間っぽい記事を書いた
1
11
79
『詳解セキュリティコンテスト』という CTF に関する書籍、僕もポエム係として少しだけ製作に参加しました。僕以外の著者陣は現役の CTF プレイヤーたちで、旧ハリネズミ本よりも今に即した原稿になっているなあと感じてます。CTF に入門したい各位は是非〜
0
15
77
📣
#srenext
#srenext_b
の発表「SREを以てセキュリティエンジニアリングを制す」で使った資料をアップロードしました!20 分セッションなのでかなり内容抑えめ & さくっと流し見出来るので、ぜひご覧ください。
1
16
76
フルーツグラノーラに牛乳をかけたつもりが、醤油をかけていた。今日頭が終了している。
3
4
74
先日発売が開始された拙著『Webブラウザセキュリティ ― Webアプリケーションの安全性を支える仕組みを整理する』、想定よりも大きな反響があり、とても嬉しい…!
3
14
73
最近ものを書くために、改めて Web セキュリティ周りの日本語文献を拾って読んでを繰り返しているんですが、あるメディアの Web セキュリティ系の記事が検索上位にでて来るたびに鬱になる。誤情報で SEO バトルするの、本当に悪だと思う。
1
8
69
実質の Web の Welcome 問題として(?!)、Option-Cmd-U を出題しました。想定解は
http://nginx/flag.php⁈.jp
みたいな Host/Split 解法で、ローカル IP の Guessing は必要ありません。Guessing しても解けてしまうんですが。申し訳ないです。
#seccon
1
18
68
このまえの
#ldd21sec
において、近年のセキュリティプロダクトが押し出している Developer-First Security というコンセプトについて喋ったんですが、そのときの資料を公開しました〜
0
27
68
手動×高度 Web 診断のFlatt Security、自動 Web 脆弱性診断プロダクトも提供開始しました🎉 Shisho Cloud で CSPM 的に特定したクラウド上の Web アプリケーションに対して、自動クロール/自動診断できます :-)
1
20
67
Security-JAWS 第30回の Session 11 でお話する、AWS x Policy as Code のお話についてのスライドを公開しました。初級セッションなので Policy as Code とはなんぞや?という話と、cfn-guard の紹介をします:
#secjaws
#secjaws30
#jawsug
#secjawsdays
1
24
67
軽い気持ちで HackerNews にキャンプの自作ブラウザの話投げたら思いの外反応があって困惑しているの巻
1
8
66
これはどうでもいい予告なんですが、記憶の外部化ついでに、来週からインプットしたことを(ほぼ)週ごとに 書いて で公開するのをやります、たぶん
2
5
62
頭の整理として書いた
6
9
63
今日で 21 歳になりました。20 歳の間は特に何も成し遂げられなかったので、ここからの一年はより一層精進してオタクしていく所存です。わいわい。
6
1
59
この前報告した Chrome の (些細な) バグに reward がついたので、リングフィットアドベンチャーでも買おうかという気分になっている。運動不足だし。
4
1
60
この前 OWASP Night で喋った小ネタ的な手法 (Blind Regular Expression Injection Attack)、諸事情あってブログ記事にもしました。よかったら読んでまさかりください。| "A Rough Idea of Blind Regular Expression Injection Attack" -
1
21
61
また一つ歳をとって 23 歳になりました。四捨五入したら 0 歳です
7
4
61
近しい友人への報告なんですが、大学院には行かないことにしました。次回作にご期待ください。
3
0
58
弊社の eラーニングサービスが GA 🎉昨夏の β リリースから改善を重ねてました。今春既に新卒研修でも利用されています。
Flatt Security、セキュアコーディングのeラーニング「KENRO」を正式リリース。サイバーエージェント新卒研修での大規模導入も決定 via
@PRTIMES_JP
2
14
58
U-NOTE 様に取り上げていただきました。今自分がセキュリティ領域にコミットしている経緯や、自分が大事にしている判断軸などについて話しています。ご興味あればぜひ〜
0
13
57
弊社が密かに進めていたクラウドセキュリティプロダクト「Shisho Cloud」が本日 GA を迎えました🎉 特徴は以下の通りです:
🆕 日英対応 / Flatt 謹製の詳細な診断レポート
🆕 プログラマブルなリスク検知の仕組み(全検査を Rego コードでカスタマイズ可能 + CI/CD も可能)
1
23
57
誕生日です。ようやく 20 歳になりました! 成人です。
中学生の頃から”つばめ”と交友を持っていた人もいると思うと驚き…😇 今後ともみなさまよろしくお願いいたします。
ちなみに次のリンクは欲しいものリストで、キレートレモンを送るのに便利です(?)
5
3
54
これは多くの技術者にとってすご〜〜〜〜く大事な話なのですが、一部機能のみβ版公開していた弊社プロダクト「Shisho Cloud」を、ソフトウェアサプライチェーンの保護のためのサービスとして大幅にアップデートします & 事前登録の受付を開始しました。気軽にご登録ください!
3
16
55
弊社 (
@flatt_security
) は約2億円の資金調達を実施しました!プレスリリースはこちらです:
——
Flatt Securityが2億円を資金調達。開発とセキュリティの分断を解消する「B2Dセキュリティ」を軸に海外を含めた多面展開を加速
2
7
55
去年の seccamp 講義のマテリアルを公開しました。
もうこれをオンサイトの勉強会で使うことはないと思うので、環境が生きてるうちにお楽しみください!
#seccamp
セキュリティ・キャンプ ブログを更新しました。おうちでキャンプ: 2019 年全国大会「体系的に学ぶモダン Web セキュリティ」 講義の内容をアップデートしたものを企画グループの米内さん
@lmt_swallow
が公開してくれました!
#seccamp
0
49
142
2
13
54
今年のセキュリティ・キャンプでも講義をやります!お題は『マクロな視点から捉える Web セキュリティ: Web インフラストラクチャを利用した攻撃とサイドチャネル攻撃の実践と評価』です。オンラインの講義にはなりますが、新たな出会いを楽しみにしています。
#seccamp
2
17
53
僕が上野さんに初めてお世話になったのは 2012 年のセキュリティ・キャンプ全国大会。僕の原点となった場所です。あれから 8 年、このような形でご一緒できることになるだなんて!驚きと嬉しさが隠せません。
今後とも弊社をよろしくお願い致します :-)
1
5
53
セキュリティ (に興味のある) エンジニア各位、暇だったら年末年始オンラインで話しませんか!
話題はなんでも⭕です。例:
📝 セキュリティ施策の壁打ちをしたい
📝 Flatt の話を聞きたい
📝 新卒就活の相談に乗ってほしい
📝 雑談相手がほしい
以下で即予定調整できます:
3
11
52
現在 Black Hat の Web 周りの発表を中心に参加レポートを執筆中です。お楽しみに。
アメリカはラスベガスで開催されていたBlack Hat USA 2019 & DEFCON 27 に弊社からは
@lmt_swallow
が参加しておりました!
レポート記事を近日中に公開しますのでお楽しみに!
0
4
14
1
8
52
ACSC お疲れさまでした。5 億年ぶりに CTF 出た。もしかすると Finals (ICC) 圏内ってやつ?
3
5
49
今年一つ目の CVE が降ってきた
Today's Chrome release includes a fix for a security issue I reported last year (CVE-2020-6400). Yay!
1
14
90
1
3
49
社内でこの og:image が僕に似ていると話題に
1
4
51
今日結果が出たのですが、今年度も前期分の学費は全額免除でした。本当によかった。これでまた半年は大学で学問に励めそうだ。
2
1
49
もっとも、ぼくはセキュリティ屋としてのキャリアが長いわけではないし、ここで述べたようなことは理想論なのかもと感じる瞬間もありますが、最近はこういう考え方の元仕事をしています。という話です。
0
15
46
.
@smallkirby
さんのメルカリインターンの成果『サプライチェーンセキュリティにおける脅威と対策の再評価』すごい。この領域の実プロダクトチームに向けた整理という位置付けでも、ありうる今後の思索という意味でも素敵な記事!
1
13
49
オンラインブック「ちいさな Web ブラウザを作ろう」の第 1 章「前提を整理する」を公開しました。第 2 章以降で取り組むことを整理する章です。
#seccamp
#browserbook
1
19
47
自分の最近発表したやつを PortSwigger の The Daily Swig が記事にしてくれた!わいわい。
Blind regex injection: Theoretical exploit offers new means of forcing web apps to spill secrets
1
15
36
1
4
46
2/28 の最終発表会で利用したスライドも公開しました。ブログは (半分僕の回顧録な分) 長いし、ポエム要素もあるので、こっちのほうが手短でいいかもしれません。
0
16
46
今夏のセキュリティ・キャンプ全国大会2022オンラインで「Webセキュリティクラス」を開講します!プロダクトを作る・守ることに関して第一線で活躍中の講師陣との 5 日間を通して、Web 系のモノを安全に作るための知識・経験を得ていただけます。ご応募お待ちしております!
1
23
45
週末の某で ↓ にご言及いただけて嬉しかった!まだ読んでない方いらしたら是非:
0
11
46
本件, Twitter 社とのいくつかのやり取りを経て, 復活しました…。お騒がせしました………… :-(
(Japanese) .
@lmt_swallow
が誕生日設定(アカウント作成時は 11 歳だったため)によって凍結されてしまいました😥
今後は .
@y0n3uchy
を使いますので, よろしくお願い致します 😥
(差し支えなければ RT していただけると嬉しく思います)
参考:
1
15
15
7
9
44
2023 年、みんな振り返ってたので振り返ってみた
3
2
44
今日・明日で開催される
#codeblue_jp
ですが、僕も明日 10/30 15:20-15:50 に Track 1 で開かれるパネルディスカッション「我々はなぜCTFを運営するのか?」に参加します。今年はオンライン・無料でご覧いただけるので是非!
#codeblue_jp
0
14
43
「セキュリティ領域で、専門家として、その業務の提供先に価値を出す」ためのソフト/ハードスキルは様々。中には CTF 等の競技を通して磨かれるものもあるし、数多の思考実験や実務で磨かれるものもある。その「実務」で出したい価値次第で、 CTF が役に立つかどうかは変わりますよね。
1
5
43
TSG CTF 2021 おつかれさまでした。ぼくは新作麺類として udon という問題を出題させてもらいました。Writeup はここ:
1
7
42
