スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

11月29日のtwitterセキュリティクラスタ

今日で11月も終わりなんですね。あっという間にすぎていきました。

今話題のKinectを使った認証について。×box持ってないですがKinectほしいです。
EijiYoshida: kinectでポーズ認証とかできないかな。グルジェフ・ムーヴメンツで認証してみたいw

EijiYoshida: でも、kinectでポーズ認証が有効だとポーズ推測されんのか。仕事でも客先でポーズ推測したくないなw

EijiYoshida: 推測されないように8種類以上の複雑なポーズを設定してくださいとか報告書に書きたくないし

sonodam: @EijiYoshida 組み体操っぽくするとおもしろそう(笑)。おもしろいって(笑)。

expl01t: 見られても他が真似できないという点では,超絶系のピアノ曲演奏とかも個人認証に使えると信じてる. 関連:http://twitter.com/EijiYoshida/status/9331199054979072



まっちゃ139と445が開催されるみたいですね。次も行きたいなあとは思ってますが仕事がどうなんだか。
haruyama: 12/11(土)講演します. 『「パスワードの話 」 ( 株式会社ECナビ 春山征吾さん)』 #matcha445 http://bit.ly/hQ0WPp 第14回 まっちゃ445勉強会 - まっちゃ445勉強会


ripjyr: 第21回まっちゃ139勉強会は、2010年12月18日(土曜日)に開催!>募集はあと数時間まってね。 http://bit.ly/21th-matcha139



あと気になったことはこのあたり。

lac_security: 【緊急提言】『情報管理 八策』へのご意見ありがとうございます。twitterでもご意見を募集しております。「#8saku」タグを付加し、ツイートをお願い致します。(^ま) #8saku


a4lg: もしかしてだけど、IE7 とかの保護モードって、IE がクラッシュした後無効になっちゃう?

a4lg: まぁいいや、Windows 版 IE における DEP と保護モードの実装はどこか壊れていることは確定的に明らかなので、特にレポートを修正する必要もない。


hasegawayosuke: OpenOffice で file:// なhtmlでXSSさせて、そこからJava Appletでlocal fileを盗むのか。 http://slidesha.re/fxz9NZ


NobMiwa: ビックカメラに、「ふたつめのパスワードは別のIDのものか?または、間違えたのか?」と問い合わせている、ID問い合わせフォームでは生年月日とメアドでIDをメールで送ってくる仕様なので、同じメアドにふたつIDがふられることはない、はず、他人のパスワードだったんでしょうか??

NobMiwa: ビックカメラに「ふたつ送ってきたパスワードのふたつめでログインできない理由は何か?」と問い合わせたら「ご自分でお調べ下さい」と返ってきた


HiromitsuTakagi: 今日の読売新聞朝刊→「…MDISは…岡崎市から障害の相談を受けた際には『システムに原因はない』と回答。このため図書館は警察に被害届を出していた。MDISは『保守担当者がシステムをよく理解していなかった』として、逮捕された男性への謝罪の意を表明する方針。」 #librahack


hasegawayosuke: new JavaScript obfuscater "JSF*ck" released! write JavaScript with only "[]()!+" http://utf-8.jp/public/jsfuck.html

hasegawayosuke: 今度のJavaScript難読化は 「[]()!+」 の6文字種だけ。http://utf-8.jp/public/jsfuck.html IEは動かない。

スポンサーサイト

テーマ : セキュリティ
ジャンル : コンピュータ

11月27~28日のtwitterセキュリティクラスタ

週末はNetAgent Security Contest 2010が開催されていたようです。私は仕事で問題すら見ていないのですが、問題も回答者も相当レベルが高いようで、すごいですね。参加してせめて1問くらいは解きたかったなあ。
netagent_jp: NetAgent Security Contest 2010 開催中です。興味のある問題だけを解くという楽しみ方もできますので、ぜひご参加ください。 http://bit.ly/gfvDOu #NASecContest2010

kusano_k: 解けたーーーーーーーー!!!!!!!!! #NASecContest2010

netagent_jp: ksn様、優勝おめでとうございます! #NASecContest2010

netagent_jp: 2位はjagoon様、3位はtly様となりました。おめでとうございます! #NASecContest2010

kusano_k: 正直あまり正攻法で解いていない。Level1はPCの時計を弄った。Level2はPKで検索。Level4はエンディアンに気付かなくてluminさんのヒントと合わせて無理矢理読んだ。Level6はアンパックせずにねこまんま57号でメモリ書き換え。 #NASecContest2010

kusano_k: Level5でhoukoku.zipがイメージ中に残っていたのは想定解法なのだろうか? てっきりhoukoku.zipを使ってxyz.zipのパスワードをクラックして、a.txtかkaigi?.jpgあたりにパスワードが書いてあると思っていた。 #NASecContest2010

jagoon2: 徹夜して何とか2位に入れました。今回はLevel 5, 8 の背景知識を持っていたお陰で救われたものの、今までgdbを使ってデバッグ作業をしたことが無かったのが痛かった。 #NASecContest2010



librahackまとめサイトの共有ファイルが故意か事故か知りませんが、誰かに消された模様。これが岡崎市の図書館だったら間違いなく通報されて逮捕されてますね。
Vipper_The_NEET: タグ付け忘れた。27日19時05分に共有フォルダ全消しした子,いたら正直に出てきなさい('A`)おじさん怒らないから #librahack

Vipper_The_NEET: バックアップくらい普通に取ってるわな。っつことで復旧作業中ってかコピー中。 #librahack

Vipper_The_NEET: じゃー,長いから端折って一行だけ晒すか。 user-147230086061.kinet-tv.ne.jp - - [27/Nov/2010:19:07:17 +0900] "DELETE /public/(中略).pdf HTTP/1.1" #librahack

Vipper_The_NEET: まとめを何日かかけて読んで,共有にアクセスして,ほとんど読まずに全消ししたあなた!お手紙待っています!! #librahack



あと気になったことはこのあたり。

tetsutalow: #librahack サイバー攻撃えん罪も…図書館システム不具合 : 社会 : YOMIURI ONLINE(読売新聞) http://t.co/CptmkZ1 via @yomiuri_online


ntsuji: 技術者に向かって「技術はもういい。ヒューマンスキルだ。」なんて言うのは失礼ですよ!ボクが言われたわけではなく、聞いた話ですが、腹が立ちました。


Murashima: [総論]今のID管理では不安あり、認証システム見直しは必至 - 最善のユーザー認証を考える:ITpro http://goo.gl/g3glf


kaito834: Microsoft Network Monitor 3.4(http://is.gd/hTH5K)を Windows 7 で動作させてみると、無線 LAN NIC の動作モードを monitor モードに変更できた。この情報は http://is.gd/hTHdk で知った。

テーマ : セキュリティ
ジャンル : コンピュータ

11月26日のtwitterセキュリティクラスタ

今日はブラウザー勉強会やネットエージェントのコンテストやShibuya.lispなどイベントがたくさんですが、ぼくは裏でひっそりと開催されるインストールマニアックスのイベントに参加しますよ。


hebikuzure: #BrowserWS 明日の「第2回ブラウザー勉強会」 http://bws.hebikuzure.com/ 定員に余裕があるので当日参加歓迎です。午前は10:30 から、午後は13:00から、京急蒲田でやってます。懇親会もありますよ~。



yasulib: 明日の14時? 「NetAgent Security Contest 2010」全8問。出題範囲はソフト解析、フォレンジック、暗号、Web等 #NASecContest2010 http://www.netagent-blog.jp/archives/51504459.html

lumin: 明日の公式タグはこれだ #NASecContest2010

kusano_k: 明日か。ドキドキワクワクテカテカ(0゚・∀・) NetAgent Security Contest 2010 開催のお知らせ http://www.netagent-blog.jp/archives/51498926.html #NASecContest2010



記号プログラミングのTipsを発表するイベントの開催が決定したようです。
hasegawayosuke: みんなで記号プログラミングしようぜ! http://atnd.org/events/10340


ikepyon: 変態が25人も集まるのだろうか? http://atnd.org/events/10340


hasegawayosuke: 記号プログラミングAdvent Calendar、開催決定ですか。困ったなw http://atnd.org/events/10340



Safariの脆弱性ですが、報告者が忘れるほど前から報告されてたんですね。
hasegawayosuke: SafariのURL詐称、IPAへの届け出らしいので報告者の人は中身説明して欲しいな。 http://jvn.jp/jp/JVN46026251/

masa141421356: @hasegawayosuke 自分が報告したバグだったらしいけど内容覚えてない http://jvn.jp/jp/JVN46026251/


そしてChromeにも脆弱性が。
JVN: Google Chrome における情報漏えいの脆弱性 http://jvn.jp/jp/JVN36765384/



1Q84の海賊版が売られてる話。販売してるところしか結局得しないよなあ。
piyokango: 1Q84が3冊セットで230円で売ってたからありえないだろうーと思ってたら案の定海賊版だった。Appleストアでもそこまでは見てないんだなぁ。

piyokango: しかしこれ見た目で全然わからないし、何も知らない人は普通に買ってしまいそう。現に売れ筋トップ25に入ってるし。。

piyokango: 海賊版として複製されたものと認識したらその時点で罰則が適用されそうですね。 http://bit.ly/g9SMWP RT @sada_h: apple storeで海賊版買うと何かに罰せられるのかな?海賊版と認識して買うか、によっても違うのかな。うーむ。



そして、他に気になったのはこのあたり。

hir0_t: BackTrack 4 R2が出ていたのね。http://www.backtrack-linux.org/backtrack/backtrack-4-r2-download/


yumano: だれも信じてないよね~>公式表明 RT @kurose3: もっとも脆弱性が多いのはApple社。Macに脆弱性がない、ウィルスがない、とはApple社の公式表明。 #internetweek2010


tamiyata: 辻さんによるレポートが公開されてます(PDF)/WindowsカーネルのRtlQueryRegistryValuesにおける権限昇格可能な脆弱性に関する検証レポート - http://bit.ly/gjkFON


ockeghem: 『テストの自動化を推進してきた。だが、コストや習熟の負担が大きく、たびたび挫折。そこで行き着いたのが、Excelを使ったテストツールの開発』<みんなExcelが大好きだ / “テスト軽視”はなくなった。でも… - 記者の眼:ITpro http://htn.to/GeV1Vc


kaito834: レジストラで事件が起こったとしたら考えられる案は二つある。(1)ネームサーバそのものが書き換えられた。(2)DNSキャッシュポイズニングを受けた。(1)なのかな、やっぱり。http://secunia.com/blog/153


bakera: このURLで。 http://www.city.okazaki.aichi.jp/appli/06/wp06_view.asp?hdnBangou=9860 RT @nilnil26: ありゃ、直リンだめか。「競争入札参加資格者の入札参加停止措置を行います」 #librahack


yasulib: アナライジング・マルウェアの発売日って12/22で決まったんだ :D http://blog.f-secure.jp/archives/cat_10012046.html

yasulib: 登録させて頂きました :) 「『アナライジング・マルウェア』出版記念トークイベント」 FAQが面白いw http://atnd.org/events/10310

テーマ : セキュリティ
ジャンル : コンピュータ

11月25日のtwitterセキュリティクラスタ

もう週末ですね。仕事してると一週間が早いです。

WindowsのUACが回避できるという脆弱性が発見されたようです。これは困った問題ですね。
Murashima: Windowsのほぼすべてのバージョンに権限昇格の脆弱性、実証コード公開される -INTERNET Watch http://goo.gl/JkTmU

MasafumiNegishi: RT Privilege escalation 0-day in almost all Windows versions, (Wed, Nov 24th) - http://j.mp/fBoz0J

hasegawayosuke: おおお!UAC回避 RT @MasafumiNegishi: RT Privilege escalation 0-day in almost all Windows versions, (Wed, Nov 24th) - http://j.mp/fBoz0J

a4lg: UAC 回避って何のことかと思ったら、新しい脆弱性のことなのね。

yumano: UAC回避って、これか~!! RT MasafumiNegishi: RT Privilege escalation 0-day in almost all Windows versions, http://j.mp/fBoz0J

hasegawayosuke: 詳細ktkr RT @EdiStrosar: I knew that Code Project site with new Win EoP 0-day will be removed. That's why I saved it: http://bit.ly/euRR3p



昨日取り上げたPerfumeのファンクラブについて続報です。パスワードの刻印って素敵ですね。
yumano: おれ、Perfumeのファンクラブにはいろうかな・・・

too_fuu: 何故今… RT @yumano: おれ、Perfumeのファンクラブにはいろうかな・・・

yumano: @too_fuu PTAのセキュリティがダメダメと聞いて(キリっ

mtakeshi: わあ取りあげていただいた! ちなみにPTA会員証にはIDとパスワードが「刻印」されてまして、さらに修正ができないという強烈な仕様でした(新会員賞からは消えましたが)。「あの」アミューズがやってます/twitterセキュリティネタまとめ http://t.co/j1xVFIq



朝日新聞に載った有名人の勇士Q(Brave Warrior Q)氏は大人気になったようです。そろそろファンが近所をうろうろしてるかもしれません。公安かもしれませんが。
ucq: さすが新聞である。社会的影響力ぱねぇw

ucq: って、はてダとの連携のせいかw アクセス数が前日比10000%wwwww 元々少ないだけです、はい。



それは言わないで… でももうすぐVM Roleが出るのでこれならデプロイ不用な気がします
piyokango: クラウド時代にはスピードが要求されますって言ってるけど、AzureのDeploy+Runの時間はどうにかなりませんか。


ねえ、もう…
ganchan1965: 樋口さん。「正直詳しいことはよくわからないんですが、Windowsがクラウド上にあるのは凄いことなようです」。いいのか、そんなこと言って。個人的には好感がもてていいと思うけど。 #msc2010



勉強会から大人の社会見学グループにスピンオフ発展しそうな勢いです。
ripjyr: Trendmicroのラボ見学会をまたやってもいいよーって言ってくれました。来年1月くらいかな?

ripjyr: なんと、IBM SOC見学会を来年にもう一度開催してもらえそうです!>#matcha445



あと気になったことはこのあたり。

kjmkjm: 「Secunia がハクられた」件 http://goo.gl/xJ6DS


Murashima: BitLocker + EFS で暗号化しておくしかないかも 国際空港で「PCや携帯の押収」が増加:対抗策は | WIRED VISION http://goo.gl/cAjuv


a4lg: 今回の Hackers' Dream …優勝できるかどうかは定かではないが、少なくとも良いところまで行けるという確信がある。

a4lg: PacSec で会った韓国勢から、韓国におけるハッカーシーンを垣間見てみたいというのもあるし、賞品の MacBook Air に釣られたというのも。



yasulib: おっ!カミンスキー氏のPhreebird Suiteの紹介 「DNSSEC応用の一例「Phreebird Suite」の紹介」 山口さん http://www.netagent-blog.jp/archives/51504111.html

テーマ : セキュリティ
ジャンル : コンピュータ

11月24日のtwitterセキュリティクラスタ

さすがに4連休明けはセキュリティクラスタには元気がないようでした。

そして、引き続きビックカメラ祭りです。ひろみちゅ先生と同じようなことを思ったのは秘密です。
HiromitsuTakagi: ビックカメラ.com で買い物したことはあったが、ユーザ登録せずにゲストで単発購入してた。抜かりなかったのはいいが、祭りに参加できない。

t_okada: 平文メールで送られてきたパスワードなんて気持ち悪いので、さっそく変更しようと biccamera.com にログインしたが、なんとパスワードは(当分の間)変更できないのだそうだ。ならば私も(当分の間)ビックカメラでは買わないことにしよう。

mtakeshi: 多分セキュリティクラスタは、P.T.A.(Perfumeファンクラブ)におけるパスワードの扱い聞いたら卒倒するんじゃないかと思った。



結局まっちゃさんの日記はプライベートのままですか。そうですか。
ymzkei5: あれ? >まっちゃだいふくの日記★とれんどふりーく★ この日記は、プライベートモードに設定されています。



そんな事件にもめげず勉強会というかSOC見学お疲れさまです。行ってみたかったなあ。
ripjyr: まっちゃ445勉強会 特別編 IBM SOC見学会で目黒なう / アトレ目黒にイマココ! http://htn.to/vpvjNz



バージョン情報を消すのって、脆弱なバージョンであることを隠すだけの消極的な対策で、自動攻撃にはどうでもいいことだと思うのですがどうなんでしょう。
hir0_t: セキュリティ診断報告書に「Serverヘッダからサーバのバージョン情報が検出されました」と「必要に応じてバージョン情報を隠すようにしてください」しか書かれていないので、対処がバージョン情報を消すことに終始しているって・・・。ばかばかしい。



だんだんパーフェクトじゃなくなってる…
kenji_s: 「パーフェクトPHP」の残念なところ コラムの目次がない #perfectphp

テーマ : セキュリティ
ジャンル : コンピュータ

11月22~23日のtwitterセキュリティクラスタ

ビックカメラ再開だそうですが、ワンタイムでないパスワードを平文で送ってきたそうでいろいろ叩かれてます。
dry2: こういう告知ということは、原因は外部からの不正侵入でIDとパスワードを取られたということか。原因を言わないで再開を行うというところが素晴らしい!良い会社だと思ってたけど、経営者がそうなんだな。 http://www.ryutsuu.biz/it/c112222.html

uta46: ビックカメラよりお知らせ「現在ご使用いただいているドットコムのアクセスパスワードについては全て変更させて頂きました」。謝ってるだけかと思ったら下の方に新しいパスワードがあった。重要なことは先に書きなさい。

HiromitsuTakagi: http://twitter.com/#search?q=ビックカメラ

zapa: ビックカメラ.comが勝手にパスワード変更してメールを送りつけてきた! http://zapanet.info/blog/item/2057

dry2: ブログをアップしました。 【玉虫の告知文】ビックカメラドットコム再開のお知らせ → http://am6.jp/gYpDJV



勇士Q氏がDEF CONで優勝したことが今さら朝日新聞に取り上げられたらしいのですが現物読んでないのでどうなのやら。
abwjp: 勇士Q(ucq) 米ハッキング競技で優勝 http://bit.ly/hIw9o9

tessy_jp: www RT @hasegawayosuke: 朝日新聞に @ucq が逮捕された記事が載ってるときいて。

a4lg: @ucq おめでとー、ということで関西版の朝日新聞朝刊買ってくる。

hasegawayosuke: あれかな。「CTF問題が解けたときはスカッとする。」とか、言ってないことが書いてあるのかな。


まとめがあるので詳しいことはこちら


その当時のことはこちら。


まっちゃだいふくさんの日記が規則違反でサスペンドされているそうです。こういうのってなんの規則に抵触してどうすればいいのかわからなくて困ったものですね。
ripjyr: うをっ、はてなから「規約違反じゃお前のBlogを公開禁止にしたZE!理由はわかってんだろうな、もうIDの復活なんてないZE」ってメールがきたが、全く心当たりがなくて困る、



その他気になったところはこのあたり。

BlackHatEvents: Free Webcast Dec 16: Attacking with HTML5 w/ Lavakumar Kuppan http://bit.ly/hjy3p8


masa141421356: HTTPヘッダインジェクションじゃないHTTPレスポンス分割の資料を公開用に書き直し中。視点を開発者寄りにしてどうすれば安全に実装出来るかに重点を置く予定。 #secusoba


ockeghem: 『U+2028のコードポイントを持つ文字ではなく、JavaScriptの数値参照で書かれた状態の "\u2028" を置換している…本来置換する必要がないにもかかわらず』<@kazuhoにコンサルしてもらうべき / twitterのXS… http://htn.to/ixXqSJ


sonodam: リブラハックツイートって変なヤツホイホイなんかな。


hasegawayosuke: Barracuda も脆弱性見つけると報奨金もらえる。セキュリティエンジニアが趣味で食べていける世の中になってきましたね。 http://www.barracudalabs.com/bugbounty/


hasegawayosuke: XSS厨的にはこれは嬉しい。 RT @mozhacks: window.alert()/.confirm()/.prompt() prompts are now tab-modal and no more window-modal: http://bugzil.la/59314


ockeghem: 『セッション付きURLを利用している限り、セッションIDの漏えいの可能性を0にすることは難しい。ただしセッションIDの漏えいとセッションハイジャックの可能性を下げることは可能』<同意 / セッションID付きURLが Bot にインデック… http://htn.to/7bt6uv


lac_security: 川口洋のつぶやき 第44回 11/22/2010 「あなたのサーバ、踏み台にされていませんか?」 (^ま) http://www.youtube.com/watch?v=mP8gu2__T0k


ntsuji: 結論はどうあれセキュリティの専門家なら使うという観点からセキュリティを語ってほしかったですよ。 フェイスブックの爆発的増殖力が突きつける難題! 「我々はプライバシーの制御を失う覚悟はあるのか」ダイヤモンド・オンライン - http://bit.ly/dCZyVa


sonodam: おーブラックハットその後が福岡で12月18日なんか。キャンプ報告会とかぶっとる。負けないように報告会は仕分けられちゃいました的緊急討論会でもやって盛り上げるかなw。

yhitme: こういうこと避けるための網羅的カレンダーってないんですかね。RT @sonodam: おーブラックハットその後が福岡で12月18日なんか。キャンプ報告会とかぶっとる。負けないように報告会は仕分けられちゃいました的緊急討論会でもやって盛り上げるかなw。




テーマ : セキュリティ
ジャンル : コンピュータ

11月19~21日のtwitterセキュリティクラスタ

連休の人も多いのかもしれませんが、今日は平日ですよね。


週末には恐怖イベント(胃袋的に)セキュそばが開催された模様です。
tessy_jp: 今年も2名の死亡者が #secusoba http://yfrog.com/mvkjjej

kazy0021: 2名じゃない3名です♪ > @tessy_jp 今年も2名の死亡者が #secusoba

rip_: やはり、そばは生半可な覚悟じゃ行けないw @tessy_jp 今年も2名の死亡者が #secusoba http://yfrog.com/mvkjjej



ひろみちゅ先生の個人情報が漏えいしたらしいですよ。
HiromitsuTakagi: ちょwwwwwwwwwwwwwwwwwwwwwwwww http://ykasagi.blog.ocn.ne.jp/blog/2010/10/post_d7f6.html

HiromitsuTakagi: 情報漏洩wwwww 出身市町村は明かしたことないぞwwwww まあいいけど。しかしえらい時代になったもんだな。



早く公開されないかなあ。
connect24h: インストールマニアックス予選始まってた。この連休中に、Asureのポインタ調べて公開するか。#2010OpenDay



あと気になったことはこのあたり。

connect24h: ネットエージェント、国際テロ情報の流出資料所有者数を公表 | ネット | マイコミジャーナル http://bit.ly/aTlBB9


kjmkjm: 安全なコードを作成するためのガイドライン http://msdn.microsoft.com/ja-jp/library/ms182020.aspx #2010OpenDay


kjmkjm: VS2010ではコード分析を実行しやすくなった。コード分析機能でSQLインジェクション脆弱性を発見する事例。規則セットは「Microsoftセキュリティ規則」 #2010OpenDay


HiromitsuTakagi: 無料放送中 警視庁公安部資料の拡散はいかにして起きたか 高木浩光氏(産業技術総合研究所主任研究員)インタビュー http://www.videonews.com/interviews/001999/001605.php

HiromitsuTakagi: 一方、こっちの方々は全く違う見立て。→ マル激トーク・オン・ディマンド 第501回 内部情報流出の時代 ゲスト:菅原出氏(国際政治アナリスト) http://www.videonews.com/on-demand/491500/001604.php


ockeghem: わかりやすいまとめ。私も2月以降にこのテーマについて書きたい / SoftBank SSL仕様変更への対処まとめ | 株式会社シンメトリック公式ブログ - 携帯開発から生まれる技術情報 http://htn.to/S94dR3


bulkneets: #fxdevcon 会場の中にはhtml5で可能になる新しいブラクラ、新しいグリッチにしか興味が無い方がいらっしゃいます


tessy_jp: @kuroneko_stacy Googleアカウントに紐付いてSPAM送るSNS系サービス?> Togetter - 「【スパム情報】「shoppybag」に関するつぶやきまとめ(第一報)」http://bit.ly/98FPjU


jr9qnj: 腐ったミルク対策。。。ニュースサイトや go.jpドメインがIE6を見捨てるとか、からかなぁ? #kitpro


piyokango: instagram パスワード平文で送ってるのか。。他のアプリも似たような実装しているの多そうだなぁ。http://bit.ly/abBMoS


connect24h: Microsoftが脆弱性悪用防止ツールを更新――Googleからの問題指摘を受け - ITmedia エンタープライズ http://ow.ly/3clQw


kumagi: http://www.ybm.co.jp/orca/2kuwasii/kuwasii_18.html 衝撃の新事実。PostgreSQLはCOBOLで実装されていた!! ってこんなツッコミどころ満載な情報発信してて大丈夫か日本医師会。


テーマ : セキュリティ
ジャンル : コンピュータ

11月18日のtwitterセキュリティクラスタ

明日から本格的にインストールマニアックスの中の人としてTLに張り付くことになります。参加者の方、よろしくお願いします。そうでない方も生暖かく見守ってくださいませ。


IPAが結構な仕分けに遭ったようです。これから脆弱性報告は個別にやれとか、どっか民間企業に通報するとかになるとやだなあ。
47staff: B-26 (独)情報処理推進機構の事業、結論です。セキュリティ対策は見直し。一層のコスト縮減、独法がやる意義について疑問が上がりました。信頼性向上は民間実施。既に民間が担っているようです。 #shiwake

47staff: B-26 (独)情報処理推進機構の事業、結論のつづきです。人材育成(資格試験)は民間実施となりました。人材育成(試験以外)も民間実施。試験以上に、民間で十分との声。オープン・クラウドは廃止。緊急性はない、業界でやること、との意見。 #shiwake


キャンプも先行き真っ暗ですね。オープンで高度な人材育成って民間でちゃんとやってるところあるのでしょうか。
yasulib: 「セキュリティ&プログラミングキャンプ2010実施報告会」に参加させて頂きます。よろしくお願いします :D #spcamp http://www.ipa.go.jp/jinzai/camp/2010debrief/index.html



またまたtwitterのXSSがあったらしいです。Tシャツあげてほしいです。
bulkneets: さえずりサービスのバグ(セキュリティに関わる)14時間前に返信きてるけど直らない。私は素早い対応とTシャツを求めます。

kinugawamasato: .@bulkneetsさんが発見したTwitterのXSS直ったっぽい http://gyazo.com/eb346226f26b001d84c9cab398bdc2d0.png

kinugawamasato: 昨日の夜の時点ではまだ新規にスクリプト投稿できたので僕からも修正の催促と@bulkneetsにTシャツをあげてほしいとメールしました



あと気になったことはこのあたり。

yarai1978: オライリー・ジャパン新刊・近刊情報に「アナライジング・マルウェア」が掲載されました。 http://tinyurl.com/2mo2rr


ockeghem: 『unserialize したオブジェクトの __destruct() がよばれてしまう…__destruct() でファイルにデータをかきこむ…そのファイルが汚染され』 / PHP5.3 __destruct() and unseri… http://htn.to/de4itK


tokuhirom: っていうか、ユーザーからの入力に unserialize() をそのままかけると DoS の脆弱性になるよ。


moongift: “女性はセキュリティ企業では働いていない” ウケたw RT 「セキュリティ企業がウイルスを作成」?--Pandaが“都市伝説”を解説 - CNET Japan http://is.gd/hjVyu


plus7: やった!偽Firefoxアップデートサイト見つけた!!! http://gyazo.com/89ad48fe5b583870a3bd81aa53769720.png


kaito834: 「Firesheep」を使っていろいろと試した結果をはてダに書くか悩んだけど、やっぱりメモがてら書き残すことにした。HTTPセッションハイジャックの危険性を実証するツールとはいえ、汎用性があり悪用できるものだから、チュートリアル的な内容、カスタムルールについては書かない


hasegawayosuke: 愛甲さんから「その問題は心が折れるのでやめてください」というダメだし。作り直しなり。(;´Д`)


テーマ : セキュリティ
ジャンル : コンピュータ

11月17日のtwitterセキュリティクラスタ

広く使われているフレームワークCakePHPに任意のコードが実行できる脆弱性があったようで、大騒ぎでした。なお、関連ツイートをざっと見た中に微弱性と虚弱性を確認したのをご報告させていただきます。
co3k: CakePHP の PHP コード実行の脆弱性を使って CakePHP を焦がす | co3k.org http://htn.to/vhDLKd

sdozono: 今、cakephp.jp記事を追加しておきました。こういうのはホント騒がないと。でも、BakeryのRSSもあやしいぞ。アタックを受けたか。http://tinyurl.com/2g9uhpq

kaz_29: やっぱり、キャッシュのライフタイムは関係なくキャッシュが汚染されるような動きをしているように見えます。以下の修正を組み込めば今回の手法は防げそう。 http://bit.ly/bRYGbU #cakephp

rnosuke: 同じく。把握してないものそのまま使うの怖いし RT @shin1x1 SecurityComponentは使いづらいし、中で何やってるかが分かりにくいから最近は使ってない。CSRF対策はそれ専用のコンポーネントを作った。 #cakephp

co3k: フレームワークから提供されている機構がイケてないから独自で CSRF 対策をしちゃうみたいなのが普通になってるって結構すごいことだと思う。ほめてないよ。

co3k: 単に SecurityComponent を使用していないだけ(さっきの早合点をするような状況)だったらアプリによっては CSRF 攻撃に脆弱な可能性があるのでは……

kenji_s: @sugimoto1981 よくわからない脆弱性ですね。なんでそんなものを保存してるのか。Securityコンポーネントに脆弱性というは皮肉ですね。修正は http://ow.ly/3b3XM みたい。CakePHPは前にも任意のコードが実行可能というのありましたね

ockeghem: 『SecurityComponentを使用している場合には、このバージョンへのアップデートをお勧めします』<「お勧めします」では弱いんじゃないの?/表現が変わった(18:46確認) / "【重要】CakePHP 1.3.6 and 1.… http://htn.to/AZqBAm

hidenorigoto: gihyoの10/21の @yohgaki さんの記事に、今回の #CakePHP で見つかったやつと同じ手法が解説されていました→ http://ow.ly/3b9V5

tkykmw: ユーザ入力をそのままunserializeしてるのが問題の本質 http://bit.ly/d8EmTI なんか場当たり的な対策に見えるなあ… http://bit.ly/bDksZk こういう用途では改竄防止にMAC使うべきじゃなかろうか。 #cakephp

tsupo: CSRF対策のはずが、新たな脆弱性を作り込んでしまってるのか / CakePHP の PHP コード実行の脆弱性を使って CakePHP を焦がす | co3k.org http://htn.to/fcujGW

tsupo: 「SecurityComponentの実装に問題があり、結果、外部から任意のコードを実行させることができるという深刻な内容」 / CakePHPのSecurityComponentに深刻なセキュリティホールが見つかりました - Shin… http://htn.to/UgyBHw

kinyuka: セキュリティ強化の目的で適用したソフトウェアのせいで脆弱になるのはほんとツライよね。すごくありがちなんだけど(;´Д`)わら

vochkun: Zend「CakePHPがやられたようだな…」CodeIgniter「ククク…奴はPHP四天王の中で最も脆弱…」Symfony「セキュリティ対策に穴があるとはフレームワークの面汚しよ…」えすにゃん「やめて私のために争わないで!」



あと気になったことはこのあたり。

jpcert: Adobe Acrobat/Readerのアップデートを!脆弱性を使用した攻撃を確認しています。^YK https://www.jpcert.or.jp/at/2010/at100031.txt


lac_security: 特集コンテンツ!!! 【緊急提言】 『情報管理 八策』 を出させていただきました。意見公募として、皆様からのご意見をお待ち申し上げております。 (^ま) http://www.lac.co.jp/hassaku/index.html

テーマ : セキュリティ
ジャンル : コンピュータ

11月16日のtwitterセキュリティクラスタ

外出する日に限って雨ですよ。雪まで降り出しそうな雰囲気で心身ともに寒いですね。

LACを名乗った架空請求のメールが飛び交ってるらしいです。それっぽい3文字の会社名を名乗るのはよく見ることなので、たぶん出した方はなんにも考えてないような気はしますが、かぶった方は大変なんだなあと。
dry2: 株式会社LACというところから架空請求のメールが出ているらしい。

ymzkei5: 語ってどうするwww 「語る」→「騙る」ですね。>■当社を語った架空請求にご注意ください | LAC http://www.lac.co.jp/news/post.html

dry2: 当社を騙っていると何故言えるのだろうか?「当社を騙った架空請求にご注意ください」 http://www.lac.co.jp/news/news20101116.html

ymzkei5: 確かに! “当社に似た会社名の架空請求にご注意ください”くらいですね。 RT @dry2: 当社を騙っていると何故言えるのだろうか?「当社を騙った架空請求にご注意ください」 http://www.lac.co.jp/news/news20101116.html

ockeghem: わざとじゃないかな。架空請求は誤字が多いから(違 RT @ymzkei5: 語ってどうするwww 「語る」→「騙る」ですね。>■当社を語った架空請求にご注意ください | LAC http://www.lac.co.jp/news/post.html

ockeghem: LACさんを騙るメールの内容が気になる。何の対価を請求したのだろう?

ymzkei5: こうなったw>■株式会社LACを名乗る架空請求にご注意ください | LAC http://www.lac.co.jp/news/news20101116.html  ←相変わらず変なところに半角スペースはいってるなぁ。。(^-^;



GUIはLunuxの方でもかなり使えなかった気がするのですが改善されたのでしょうか。
vulcain: w3afのWindows版GUIはかなり鬼門だなぁ



今回は半笑いじゃなかったですね。
laccotv: 川口洋のつぶやき 第43回?「 安全なUSBメモリの開き方を学ぶ」を公開しました。 http://www.youtube.com/watch?v=9aepjgHby74 今回はConfickerの感染原因に多いUSBメモリーなどの安全な開き方をお教えします。なるほど!



あと気になったことはこのあたり。

yumano: 九州旅行のチャンス!! RT @yhitme: ブラックハットジャパンその後 九州編 http://ow.ly/3aliX 2010年12月18日(土)13:00~16:30 http://www.f-kc.jp/ 参加費 500円


ockeghem: 『多くのWAFは、ブラック・リスト(シグネチャ)を使うことがトレンドとなっています(3ページ目)』<従来ホワイトリストを喧伝していたWAFベンダーが認めだしたことが重要ですね / 第1回 Webアプリケーション・セキュリティ | Thi… http://htn.to/gHMkmW


risa_ozaki: 世界の都市、ゾンビランキング: 第三者に乗っ取られ、不正操作されてしまう状況にあるコンピュータ(ゾンビ)の状況をMcAfeeが調査した。 http://www.itmedia.co.jp/enterprise/articles/1011/15/news038.html


yumano: PacSec2010 の資料がでているね > Exploring the x64 http://www.fourteenforty.jp/research/research_papers.htm


hasegawayosuke: 非ログイン状態で https://twitter.com/login を何度かリロードしてるとおかしな応答がたまに帰ってきますね。 si0, si1 とかをURLに含むやつ。


hebikuzure: 第2回ブラウザー勉強会 11/27 開催について、遅くなりましたが今晩中に参加募集を開始する予定です。 http://bws.hebikuzure.com/  #BrowserWS


テーマ : セキュリティ
ジャンル : コンピュータ

11月15日のtwitterセキュリティクラスタ

今さらながら8円携帯に興味津々です。Androidも使ってみたいしねー。

まずはWebからのCSV吐き出しというか、IE6 の Content-Dispositionについて。
tokuhirom: 昔、なんとかエージェントの人に脆弱性を指摘されたので、金床本ではどうしろってかいてあったっけなーっておもって家にとりにかえったことがあったんだけど、「どうしようもないです」ってかいてあったようなことがあった。IE6 の Content-Disposition 関係の件。

tokuhirom: csv を httpd からだすときに、Content-Disposition: つけてても表示されてしまう IE6 のバージョンがあるという問題は、IE6 の問題であってウェブアプリケーションの脆弱性ではない!といっていいとおもう。

tokuhirom: IE6 の user-agent だったらダウンロードさせない、でFA か。

tokuhirom: いまだったらそうするなー。

hasegawayosuke: @tokuhirom IE[6-8]

tokuhirom: @hasegawayosuke あれ、content-disposition つけとけばたいがいのバージョンだったらだいじょうぶだとおもってました ><

hasegawayosuke: Webアプリケーションの出力としてCSVを吐きだすと、IEのMIME無視によるXSSだけでなく、他のブラウザでもJSとして読み込めてしまう(ので中身が盗み見される)問題がありますからね。

tokuhirom: 結局のところ「csv をつかうな」でFAなのかな。。

tokuhirom: excel にくわせるためなら、csv じゃなくて HTML でだす、でもいいんだけど、ツールにくわせるときとかだと微妙だよなー。。

tokuhirom: @hasegawayosuke よみこまれるという問題にたいする対策としては、URL にワンタイムトークンをふくむ、などで対策すればいいんでしょうか

hasegawayosuke: @tokuhirom いいとは思いますが、APIの結果としてCSVを吐いてるのだとすると、URLが毎回変わるのは使いにくそうですね。

hasegawayosuke: "/*", "value", "value",..., "*/" というCSVを吐くバッドノウハウ。



そんなことが言われている腐ったミルクことIE6ですがまだまだゾンビのように生き残ってくるようです。
gakkiy: ie6...な ん て 事 を し て く れ る ん だ / Win7でIE6を動かす--シマンテック、同社仮想化技術のメリットを強調 - CNET Japan http://htn.to/D1kGLR



USBブートのセキュリティ系ディストリビューション詰め合わせのKatanaがバージョンアップです。
THEdarknet: Katana v2 (y0jimb0) ? Portable Multi-Boot Security Suite: Katana is a portable multi-boot security suite which b... http://bit.ly/b7LtEb

ntsuji: マルチブートな「Katana」の2.0のコードネームが「y0j!mb0」(用心棒)でかっこいい件。 http://bit.ly/1WrnyD



年末商戦なのに大変ですね。
datahouseinfo: ビックカメラドットコム、会員IDとポイントの不正使用が発覚したそうです(MADより) http://j.mp/9D0HnE

ockeghem: 『ポイントを不正使用されたのは約20人』<手口はなんでしょうね / ビックカメラのネット通販でポイント不正使用、被害20人  :日本経済新聞 http://htn.to/nRSXrB



「HTMLのscriptタグ内に出力されるJavaScriptのエスケープ処理に起因するXSSがとても多い件について」に追記がありました。勉強になりますね。
bulkneets: エスケープの適用順序に起因する問題を追記した http://bit.ly/cU11tM

bulkneets: 自社サービスに問題がないことの確証が得られてから書くつもりでしたが、いつになるか分からないので自社サービスを棚に上げて書いています!! http://bit.ly/cU11tM



スクリプトは埋められるは他人のサービスは埋められるはで、ブログサービスって危険だなあと思ってますがどうなんでしょう。
bulkneets: 危険なWebサイト = 認証情報を扱うドメインに他社の提供するブログパーツを貼り付けを許可する

テーマ : セキュリティ
ジャンル : コンピュータ

11月12~14日のtwitterセキュリティクラスタ

ぼんやりしているうちに11月も半分が過ぎていきました。もうすぐ年末ですね。

HTMLのscriptタグ内に出力されるJavaScriptのエスケープ処理に起因するXSSがとても多い件についてというドキュメントが発表されています。勉強になります。
bulkneets: 書いた http://bit.ly/cU11tM

bulkneets: 正しいエスケープ方式の選択が困難なケースの例を追記した http://bit.ly/cU11tM

ockeghem: JavaScriptのエスケープ処理に起因するXSS脆弱性が多いのは同意。hiddenパラメータの参照を推奨。escape_jsが\をエスケープしていないのは単純に脆弱性だよね。MySQLで\をエスケープしないのと同じ / HTMLのs… http://htn.to/KmKb2G

bulkneets: 「ややこしいので避けろ」と社内向けに大分前に書いたのに最近になって書かれたコードでもそういう事例があるのは、多分ややこしい事例のややこしい度合いが理解されていなかったためだ。



日本語が残念なのは置いといて、面白そうなイベントが開催されるようです。
netagent_jp: ネットエージェントでは、セキュリティ技術が互いにスキルを競い合う NetAgent Security Contest 2010 を開催します。ぜひご参加ください! http://bit.ly/cmyJ9C #NASecContest2010

hasegawayosuke: 愛甲さんに「初心者向けの問題作ってね」と言われたので、ちょっと1個考えた。月曜日に実装してみよっと。



売れないんですよ(涙)
ockeghem: この本をほめている人がいるなーと思ったら、@yohgaki さんだった / Amazon.co.jp: Ajaxセキュリティ: Billy Hoffman, Bryan Sullivan, GIJOE, 渡邉 了介: 本 http://htn.to/k6CLS6

yohgaki: @ockeghem Ajaxセキュリティは具体的な対策が書いてないから良く無いという評価でしたよね。私はあれは、あれで価値はあると思いますけどね。あの本に書いてある事を知らない人がかなり多いですからね。

yohgaki: セキュリティ対策本ってダメだしするのは簡単ですから、売れなくてみんな知らない、売れないから書かれない状態が解消されないような気が。Webで適当に検索して不十分な情報で満足というのもあるでしょうけど。



あと気になったのはこのあたり。

mincemaker: ゴーストが面白映画にリメイクされていて笑った。死人のアカウントがそのまま有効だったり変更したパスワードが平文でリマインダメールで配信されてたところよりも、樹木希林無双っぷりが凄かった。



a4lg: ブログ書きました。 ― PacSec 2010 で発表してきました。 : http://j.mp/cHZw2G


wahrheit_t: いや、どうなんだよこれw 「ノートンは押しかけ女房? マカフィーはちょいぽちゃ娘? セキュリティソフトを萌えキャラにしてみた」 http://bit.ly/9cDHYh


sumychicki: 中国、100万台以上の携帯電話が「Zombie」ウイルス感染!? http://www.itmedia.co.jp/news/articles/1011/12/news056.html


hasegawayosuke: DSN Rebinding... http://blog.mindedsecurity.com/2010/10/java-dsn-rebinding-java-same-ip-policy.html


rocaz: 長年の疑問が解けた > 巷に増殖中の「Free Public WiFi」にご注意を - @IT http://bit.ly/9EvHBO



tomoki0sanaki: セキュリティ原理主義者も、暗号以外のセキュリティ技術を知らないような気がする。総合的判断無しに「平文」≪だけ≫でヒステリックに大騒ぎするバカとか・・・

ymzkei5: @tomoki0sanaki IPAには、サイトにHTTPSが使われていない、という届出が来たりするらしいですしね~。(^-^;

テーマ : セキュリティ
ジャンル : コンピュータ

11月11日のtwitterセキュリティクラスタ

昨日はポッキーの日だったようですが、セキュリティクラスタ的には特に盛り上がりもなかったようでした。それよりもPacSecの方が気になりましたが、特にこちらも内容についてのツイートもあまりなく…

tessy_jp: DNS Pharmingとかスマートフォンの話は土曜日にはなかった部分。すべてデモとか入っているのはPOCのコンセプトなのかな。 #pacsec


とか

a4lg: SanDISK と Kingston の USB トークンに脆弱性が発見される。SanDISK のものに関しては CC において、EAL 2 の評価を受けている。 #pacsec

a4lg: すごい脆弱性。認証状態は「トークンに」保持されているべきなのに、実際には「PC側のソフトウェアに」保存されていた! #pacsec

a4lg: しかも、この脆弱性を持ちながら 2 つの正式な認証に合格してしまった。なぜか? #pacsec


等を見るとすごく面白かったんだろうなと思います。

資料に期待しましょう。
tessy_jp: お疲れ様でした。資料は1~2ヶ月くらいでアップ予定。 来年は11/1-3(予定) ? #pacsec



男仮眠好氏が新たなDNSSECのツールを発表したようです。
BlackHatEvents: Kaminsky releases new DNSSEC tool Phreebird suite 1.0 at #BlackHat Abu Dhabi -Coming soon exclusively to www.blackhat.com


_kana: To make DNSSEC easier. RT @_kana: Kaminsky release the new DNSSEC tool http://bit.ly/bQogDO



あと気になったことはこのあたり。結構アップデートがありますね。

sugizuru: Yahoo!JAPANもIE6サポート終了へ http://ht.ly/37RTE セキュリティホール満載で、MS自ら「9年前の腐った牛乳」と認めるIE6を社内標準として利用しながら、「クラウドのセキュリティはいかがなものか」と言われても説得力ない。


lac_security: IPAさんから 「任意のDLL/実行ファイル読み込みに関する脆弱性の注意喚起」がでてますね。(^む) http://www.ipa.go.jp/about/press/20101111.html


nca_gr_jp: 気をつけるのだぁー JAVA Exploit http://bit.ly/clFEiF (い)


asion_m: 「Flash Player」にアクセス制限回避が可能な脆弱性 http://t.co/lEgeHfz via @cnet_japan


expl01t: これ確証持てなかったんですが,やはりそういうupdateだったんですね RT: @zusanzusan au、「暗号の2010年問題」で36機種のソフト更新 http://k-tai.impress.co.jp/docs/news/20101111_406096.html


hir0_t: Nessus 4.4.0がでてますね。前のバージョンが4.2.xだったので、大きな変更が入ったみたいですね。http://blog.tenablesecurity.com/2010/11/nessus-440-released.html


ikepyon: 悪用できないかwktk(違 http://k-tai.impress.co.jp/docs/news/20101110_405975.html


office_acer: ネットストーカーについてまとめたよい文章。 「ネットストーカー」ってどう怖いの?|SHARP Users Net PCスタジオ|ネットライフスタジオ|ネット犯罪を防ぐ:シャープ http://bit.ly/cElMLz


hasegawayosuke: バイナリを顔文字だけで生成するアセンブラ、x86以外のを書いたら世界初になれるよ! http://utf-8.jp/public/sas/


manmarud: 第3回愛媛情報セキュリティ勉強会(セキュリティみかん)は11月20日に開催されます。ご興味のある方是非ご参加下さい。http://bit.ly/sec-mikan-3rd


ripjyr: 今週末の第5回東北情報セキュリティ勉強会@仙台まだ間に合います!講師は@sasata299さん!なお東北情報セキュリティ勉強会は学生の勉強会参加を応援ます! http://bit.ly/THKITS-5th #THK_ITS ぁ、プリンでますよ!


テーマ : セキュリティ
ジャンル : コンピュータ

11月10日のtwitterセキュリティクラスタ


昨日からPacSecが開催されているようです。内容について流されることもないようですので、今からでもあまったチケットとかスポンサー枠とかあればください。
kuroneko_stacy: 今日からPacSecかー。行きたいっTT ぎゅぅ。。。

vulcain: 同じく。。。。 RT @kuroneko_stacy 今日からPacSecかー。行きたいっTT ぎゅぅ。。。

ucq: PacSecの内容気になるなぁー

moton: @tessy のパネルディスカッションが見れたのは #pacsec 2010だけ。

moton: 愛花にも会えた #pacsec 2010秋。



で、PacSecでも流出についての話題で持ちきりなのでしょうね。
kensukenaoe: しばらくセキュリティ系の学会やセミナーで例の尖閣諸島ビデオ流出問題の話が発表の枕で使われるんじゃないかと今日のニュースをみて思った。



で、影に隠れてハム安の人の怪しい流出事件の方も。こっちの方が怖いと思います。
cchanabo: 【自分用メモ】Reading:NHKニュース 文書流出“翌日に7回検索” http://www3.nhk.or.jp/news/html/20101109/k10015131401000.html こっちの流出事件の方がセキュリティ的には深刻な話。



そして、流出関連で今日もlumin社長はテレビ出演だそうです。大忙しですね。
lumin: 本日、7:05頃より、NHKおはよう日本 生中継予定です。 現在リハーサル中。

lumin: 予め、ネタバレFAQ。 某掲示板に実況で書き込みされるので、ここから引用してください。 見えなくできるのはP2Pのことです。詳細は以下URLで http://forensic.netagent.co.jp/winny_kakusan.html

lumin: IPアドレスが345.なのは見た目重視だからです。192.168.xx.xxの場合はTV的に小さいということで #nhk_ohayou

a4lg: お、ネットエージェントの USB 可視化ソフトきた。



徳丸さんのもうすぐ発売される書籍は期待大ですね。わくわく。
ockeghem: パスワードの平文保存が常に駄目というわけではない。同様にパスワードを平文でメール通知しても常に駄目というわけではない。

ockeghem: メールが盗聴されること自体大変なことで、それを上回るリスクが生じないなら、パスワードのメール経由での盗聴は受容できる、という考え方もある。サイトには個人情報くらいしかなくて、メール盗聴でどのみち漏れる場合とか。ただ、そこまで考えてないサイトが大半だとは思う

ockeghem: だけど、パスワードの保存と通知にベストプラクティスがあって、リスク分析のコストよりも安いのであれば、ベストプラクティス(ベターというべきか)を使うのが合理的だよね。今度の本にはそういう内容を書きたい



あと気になったことはこのあたり。

ripjyr: まっちゃ445勉強会特別編 IBM SOC見学会は、15名枠ですが1時間40分で埋まりました・・・只今キャンセル待ち受付中。>http://matcha445.techtalk.jp/saturday-workshop/matcha445-ibmsoc-tour


sugizuru: Yahoo!JAPANもIE6サポート終了へ http://ht.ly/37RTE セキュリティホール満載で、MS自ら「9年前の腐った牛乳」と認めるIE6を社内標準として利用しながら、「クラウドのセキュリティはいかがなものか」と言われても説得力ない。

テーマ : セキュリティ
ジャンル : コンピュータ

11月9日のtwitterセキュリティクラスタ

AVTokyoが終わってお疲れなのかセキュリティクラスタのTLは落ち着き気味です。
で、今日からPacSecのようです。誰かUstとかしてくれないかなあ。


CTFの問題アーカイブですか。過去問と予想問題があれば傾向と対策が… って受験みたいですが。
sonodam: CTF緩い問題アーカイブシステムが必要かもなあ。#AVTokyo

yoggy: @sonodam CTF勉強会で使ってるWikiじゃだめですか?ちょっと整理した方がいいかもですがw

tessy_jp: チャレンジできるような感じのシステム? RT @yoggy @sonodam CTF勉強会で使ってるWikiじゃだめですか?ちょっと整理した方がいいかもですがw

yoggy: 公開するならProject Eulerみたいなシステムがいいかもとか思ってみたり RT @tessy_jp: チャレンジできるような感じのシステム? RT @yoggy @sonodam CTF勉強会で使ってるWikiじゃだめですか?ちょっと整理した方がいいかもですがw

sonodam: @yoggy ウイルスばらまくのに使われたくないから登録会員制?←だと問題作成パワーが足りない?投稿された問題を評価したい?←した方が良いのか?VMとかどうする?・・・的な公開が良いかなって思うんだけどね。



クイズ・セキュオネアというサイトができたようです。見かけくだらないですが、内容は真面目なセキュリティに関するクイズですので、ヒマな人はやってみましょう。
marinedolf: わーい! 5問中15問正解【結果:マスターセキュオネア】 #secuonaire http://bit.ly/bjplZh

k_morihisa: たまに知らない単語が出てくる.もっと精進せねば. アキラのクイズ・セキュオネア(日立ソリューションズ) http://securityblog.jp/secuonaire/ #secuonaire

masa141421356: ようやく全問正解したけど個人情報を出すべきか迷う。SSLで送信するって応募規約には書いてあるけど Flash が本当にSSLで送信するのかは解析しない限りわかんないよね。 http://securityblog.jp/secuonaire/

masa141421356: もしかしてそこまで解析してから応募しろってこと?

k_morihisa: 情報処理技術者試験の午前試験がこんな出題方式だったらもっと盛り上がる気がする #secuonaire



なんじゃこりゃw
ikepyon: わろたw 絶対関係者が作ったに違いないw http://twitpic.com/359hpi



前回に引き続き今回も半笑いの川口さんです。ですが、今回は画面に注意ってわけではないですね。
lac_security: LACCOTV 川口のつぶやき 42回 Tomcatの管理画面にもご注意を」を公開しました。(^ま) http://www.youtube.com/user/laccotv#p/u/0/42GGB5OcTEM

テーマ : セキュリティ
ジャンル : コンピュータ

11月8日のtwitterセキュリティクラスタ


情報漏えいと言うことで、luminさんがテレビに出演されているようですね。
lumin: 明日は日テレズームインスーパー、フジテレビ とくダネ!で放映されると思います。


nao_pcap: 情報漏洩を防ぐには ・作業中のファイルは完了後に消す・見られる人を限る・通信内容を記録※ただし権限のある人の故意は防げない @lumin さん

Article6: 「権限のある人の故意は防げない」ネットワークセキュリティ会社ネットエージェント代表取締役 杉浦氏のお言葉[カエデ]



そして。ノーコメントw
ockeghem: えっ!? ネットエージェントさんが仕掛けた? (違 RT @ymzkei5: こちらもネットエージェント。>■警視庁公安情報ネット流出は「情報テロ」 仕掛けたのは誰? http://j.mp/bNVrQD



そして、ネットエージェントでは新たな動きが。
hasegawayosuke: x86バイナリを可読なUTF-8文字列のみで書くというのは、3バイト表現ないわゆる全角日本語文字だとコードとして偏りがありすぎて任意のコード書くのはかなり骨が折れそう。なにより、UTF-8 BOMであるEF BB BFの 0xEF はOUT DX,AX なので使えない><



AVTokyoのスピーチのまとめを書かれている人がいるようです。簡潔ですばらしい。
hasegawayosuke: あの早口なのを超まとめてる!すげ。 http://matsutakegohan1.typepad.jp/blog/2010/11/avtokyo2010.html #avtokyo



そして、まだ余韻の醒めない人もいるようで。
yoggy: AVの歌が脳内ループしててやばい。が~んがんハックしてもタダ~♪



Tessyさん来札!あんまりセキュリティの話してるところの印象がないので何を話されるのか気になります。
ripjyr: 第5回東北情報セキュリティ勉強会は11月13日に仙台 東北大学にて開催!@sasata299さんにMongoDBとかHadoopとかNoSQLについてお話をお伺いします!なお東北情報セキュリティ勉強会は学生の勉強会参加を応援ます! http://bit.ly/THKITS-5th

hasegawayosuke: @tessy_jp さんが講師とか超めずらしい機会! RT @smokeymonkey: 【告知】第5回北海道情報セキュリティ勉強会を開催します【2010年12月11日(土)】【チームチドリ:Tessyさんが来札!!】 http://j.mp/dtNOHD



Macってなかなかセキュリティソフトがないのでありがたいですね。
internet_watch: ソフォス、個人向けにMac用セキュリティソフトを無料配布 http://bit.ly/dmSqKY

テーマ : セキュリティ
ジャンル : コンピュータ

11月6~7日のtwitterセキュリティクラスタ

週末はAVTokyo2010が開催されました。Ust中継もあったので、タイムラインは大盛り上がりでした。ということでtogetterでまとめておきました。




そして残念ながら三峯徹のトークライブはありませんでした。
yumano: さすがにそれはないww RT @tkito AVTokyoであるのかと勘違いしてすごくびっくりした。 RT @yumano: 三峯徹のトークライブがあるのか!!!凄えぇぇ!!!



そして日曜日はWCJ2010 Tech Talkが開催されたようです。Webアプリの脆弱性対策についての話が出ていたのでメモ。

Tietew: 今時 register_globals なんて使っているアプリなんて……ごめんなさい引き継いだアプリが使ってますorzorz #wcj2010

hirofumitouhei: グローバル変数を「避けるべき一般的な脆弱性」と言い切りましたか。たしかに避けるべきで脆弱性のもとになるとは思うのだけど…原文を見たい。この部分、原文とは意味合いが違うのではないかと思う。 #wcj2010

Tietew: @hirofumitouhei グローバル変数ではなくて、register_globals ですね。これは機能そのものが脆弱性と言ってもいいので、訳文の問題でしょう。 #wcj2010

Tietew: XSSの誤解: ×入力値をエスケープ ○出力時にエスケープ #wcj2010

h12o: #wcj2010 $dbr->select(...); というのがMediaWikiにあるのね。あるものは使おう。

Tietew: SQLインジェクションに対する正解:常にプレースホルダを使え #wcj2010

h12o: #wcj2010 CSRFを防ぐには、Html::hidden('token', $wgUser->editToken()); ...; if(!$wgUser->matchEditToken( $token )) { # refuse edit } ... なるほど!?

h12o: #wcj2010 「すべての入力をサニタイズ」? うーん。入力も出力もチェックしないと…(XSSやCSRFは出力の扱い方の問題で、SQLインジェクションは入力の扱い方の問題ではないかと?)

Tietew: @h12o SQLインジェクションも、プログラムにとっては「SQLを出力している」ので、すべて出力の問題です。 #wcj2010

h12o: ああ、確かにそうですね。 RT @tietew: @h12o SQLインジェクションも、プログラムにとっては「SQLを出力している」ので、すべて出力の問題です。 #wcj2010

h12o: #wcj2010 SQLインジェクションを防ぐにはコードからSQLを直接発行しないのが一番…

Tietew: 入力のチェックは検証 (validation) だけにしたほうがよい #wcj2010



あと気になったことはこのあたり。

Vipper_The_NEET: ものすごく大雑把に言えば情報セキュリティってのは情報の入り口と出口をコントロールすることで,暗号とか情報保護策とかそういうのは「出口を管理する」っていう施策でしかないわけだから,出口を管理してなかったらどんな強い暗号や厳しいルールも役に立たないんだよ。 #librahack

Vipper_The_NEET: 出口ってのは物理的接触とか,データのコピー先とか,伝送路での盗聴とか,そういう横穴を含めてのこと。それらをちゃんと管理するためには情報のライフサイクルをちゃんと知らなきゃだめで,かつ,防衛策をしっかり適用しなきゃだめ。MDISはそこらへんが全然できてない。 #librahack

Vipper_The_NEET: セキュリティ屋的な視点から見ると,MELIL案件は「非IT系だけどITサービスを提供している組織に周知すべき事柄」「一般利用者に周知すべき事柄」「SIerの心得」「IT系事件事故の調査捜査方法」等々,考えるポイントが多いなあ。うん。 #librahack



cchanabo: 【自分用メモ】まるちゃんブログ:情報漏えいとその対策について http://maruyama-mitsuhiko.cocolog-nifty.com/security/2010/11/post-6ac2.html 監査のところもうちょい突っ込んで欲しいなーと思う今日この頃。



ikutana: sudo defaults write com.apple.systempreferences TMShowUnsupportedNetworkVolume 1 これで、ネットワーク上のボリュームも見られるようになるらしい。smbだと無理かも。

ikutana: ふむ。MacのHFSPlusボリュームをafp共有している状態なら、コマンド一個でTime Machineとして使えるのか。

テーマ : セキュリティ
ジャンル : コンピュータ

11月5日のtwitterセキュリティクラスタ

いよいよ今日はAVTokyoの日です。昼から朝までという長丁場ですので、参加される皆さんは身体を壊さないようにほどほどに楽しみましょう。
avtokyo: 一部Ustream中継行います!19:00~21:10の間、LOFTch( http://www.ustream.tv/user/LOFTch )にて放送予定  #avtokyo

avtokyo: 直前に朗報が入ってきました♪今年は、AVTOKYOになくてはならないあのお方…びっくりゲストがいらっしゃるかも?!みなさまお楽しみに  #avtokyo

yasulib: FiresheepとFireShepherdの合戦が行われるとか。 RT @tessy_jp: 会場は地下ですか携帯も入りますし、無線も用意されています。 暗号化されないけどw RT @dmnlk AVTOKYOはネットどうしよう。PocketWiFi欲しい



あと気になったのはこのあたり。

Vipper_The_NEET: 作業報告とかじゃなくて,こういうトラブル系の報告って,俺の知る限り間違ってるかウソついてるかのどっちかしかないよ。 #librahack


ockeghem: 『栗山町図書館ホームページ公開休止のお知らせ(http://j.mp/a3SEUE )』によると、SSLを使わない画面遷移の存在を「セキュリティ上の不備」としてサイトを閉じたことになる。(1)MDSIに対する不信感が強くなったのだろうという想像と(続く) #librahack


ymzkei5: その論法で行くと、そもそも平文のままで良いんじゃ?ということになりかねない?(でも実際にはSQLインジェクションでデータ抜かれたりするわけなので、ダメ。) RT @tomoki0sanaki: パスワードDBのアクセス権をしっかりしていれば、saltは不要のような気がする。


MasafumiNegishi: RT 【要注意!!】 Mac OSのログインパスワードを突破する方法・・・ - http://j.mp/dfqNTr

connect24h: まぁ、物理接触された時点で負けだわな。中味、普通のUNIXだし。RT @MasafumiNegishi: RT 【要注意!!】 Mac OSのログインパスワードを突破する方法・・・ - http://j.mp/dfqNTr


hasegawayosuke: 「あなたの行動は記録されている ~ライフログ活用ビジネスと消費者への影響~」 http://bit.ly/cn3ANL (PDF) おもしろそうだけど、表面的な話だけになるのかな。


JVN: Adobe Flash に脆弱性 http://jvn.jp/cert/JVNVU298081/

shu_tom: New Blog Post: Adobe Readerのゼロデイ脆弱性を悪用する攻撃を確認(Tokyo SOC Report) http://bit.ly/ceTny1 先日確認されたAdobe Readerの脆弱性に関する国内での攻撃検知状況です

テーマ : セキュリティ
ジャンル : コンピュータ

11月4日のtwitterセキュリティクラスタ

昨日から腰痛の絶賛再発中で困ったものです。AV行けるのかな…

AVTokyo本編の後は朝までAfterPartyの開催が決まったようです。
kuroneko_stacy: いよいよ明後日です!!直前ですが、After party企画したよ!本編参加者ならだれでも参加OKです!ぜひ♪http://ja.avtokyo.org/avtokyo2010

avtokyo: AVTokyo2010 After pary企画しています。 詳細は会場にて http://ja.avtokyo.org/avtokyo2010#news2 #avtokyo

kuroneko_stacy: 今回の宴会は乾杯まで人数わかんないんですけど。という無茶苦茶な要望にOK出してくれたお店に感謝。



そしてPacSecは来週開催。いいないいなー。
PacSecjp: PacSec2010のアジェンダはこちらで一覧公開中→ http://pacsec.jp/agenda.html?language=ja



librahackのパスワード初期化について。そっか、6桁か…
bakera: [メモ] 「システム更新に伴い、すべてのかたのパスワードが生年月日(和暦6桁)に初期化されています。」……!! http://www.lib.yoshida.shizuoka.jp/html/info.html

Vipper_The_NEET: 不正アクセス禁止法に触れないでしょ。IDになっているのは図書館利用者なら知りえる番号で公知。パスワードは生年月日だと管理者から知らされた。符号だから云々ではなく,保護されていない。法で保護されるのは適切に管理された識別符号だけ。 #librahack

Vipper_The_NEET: 6桁の数字で,上二桁は和暦だろ。しかも12月までしかなくて31日までしかなくて。パターン少ないから簡単に割れるぞ。どこまで頭わるいんだ。 #librahack



いつもどおり突っ込まれまくりなのかと思いきや、ほめられててびっくりしたのですが、翻訳だからなのでしょうか。
ockeghem: 大変有用な内容。saltとstretchingを紹介する数少ない記事。ただ、訳者の補足は時々余計。例えば、SHA-1やSHA-256でもレインボーテーブルは作成可能 / なぜPHPアプリにセキュリティホールが多いのか?:第40回 MOP… http://htn.to/RGNrrU

ockeghem: 珍しく某氏の記事(翻訳)を褒めたので、手放しで絶賛しようかとも思ったのだけど、やはり突っ込まずにはいられなかった



本当に情報処理試験で出そうです。
ockeghem: 問題:MD5だけでなく、SHA等任意のハッシュ関数のレインボーテーブルを作成できますが、 SHA-512(512ビット)に対するレインボーテーブルはMD5(128ビット)に比べて、何倍のファイルサイズが必要ですか? 選択肢の中から答えなさい (1)1倍、(2)2倍、(3)4倍

ockeghem: 想定解答は(1)の1倍です。ストレージ上は平文のみの格納になるため。参考:http://j.mp/cLTLYg の左側 RT @ockeghem: 問題:【前略】SHA-512に対するレインボーテーブルはMD5に比べて、何倍のファイルサイズが必要ですか?



なぜかFiresheepを攻撃するツールw 攻撃できるような環境に接続しないことの方が大切だと思うのですが。
MasafumiNegishi: Firesheepを攻撃するツールだって。 http://bit.ly/9EYyon


あと気になったことはこのあたり。

tomoki0sanaki: ちなみに攻撃者の視点で考えると、パスワードハッシュのクラックはシード(パスワード)が復元できなくても良い。衝突する別の値でもよいのです。まぁ、本当のシードが分かった方がいろいろと便利だけど・・・


internet_watch: 「一太郎」シリーズに新たな脆弱性、アップデートモジュール公開 http://bit.ly/aMc6Gp


kjmkjm: [JS10003] 一太郎の脆弱性を悪用した不正なプログラムの実行危険性について http://www.justsystems.com/jp/info/js10003.html #itsec_jp

テーマ : セキュリティ
ジャンル : コンピュータ

11月2~3日のtwitterセキュリティクラスタ

だんだんと土曜日はのAVTokyoに向けての動きが活発になってきました。

ripjyr: I'm reading now: エフセキュアブログ : AVに参加してみませんか? http://bit.ly/acnJ36 「このブログの読者ならAVと聞いてAnti Virusを頭に浮かべると思いますが」いや違うだろ、そっちじゃない方のAVを思いつくだろjk

connect24h: うらやましい。 RT @dmnlk: 参加しまーす( ???) RT @connect24h: エフセキュアブログ : AVに参加してみませんか? http://ow.ly/32YGK

suma90h: AVTokyoって今週末か・・時が経つのは早い。そしてSIProp勉強会とソフトウェア品質保証どっちを取るかまだ決めてなかった ぐぬぬ

yuri_at_earth: @jii3 にAVTOKYOのご案内を出すなど。絶対来てくださいますよね!!!

moton: ハッカージャパンブログ AVTOKYO meets HackerJapan 予備知識 Village編 http://hackerjapan.blog55.fc2.com/blog-entry-137.html #avtokyo



一方高くて行けそうにないPacSecは今日が事前登録の最終日のようです。
PacSecjp: PacSec2010は11月4日23:59まで事前登録受付中。こちらでどうぞ→: 2日通し http://www.e-ticket.net/now/1437/index.html ; 単日 http://www.e-ticket.net/now/1438/index.html



googleも脆弱性を発見した人にお金をくれるようになったみたいです。消えてしまったサービスはバグだらけでしたけど、あんなアルファ版みたいなサービスの脆弱性ではさすがにお金はもらえなかったんでしょうね。
risa_ozaki: バグにもっとお金を: GoogleがOnline Securityブログで、新たな脆弱性報酬プログラムを発表した。この記事には、リサーチャーが脆弱性のテストを実施可能な方法(たとえば基本的に、彼らの… http://bit.ly/9EW3rg via @FSECUREBLOG

hasegawayosuke: Google はWebサイト上の脆弱性を見つけても報酬を出すそうで。昔は「これは人が書いてます」と書かれたテンプレ応答が返ってきただけだったのに。 http://goo.gl/WJXh

hasegawayosuke: CTFとかよりGoogleのWebサイト上の脆弱性探すほうが手っ取り早く賞金稼げそう。



librahackはまた素敵な動きがあったようですね。某所であの会社の人とお話しさせていただきましたが部署が違うから他人事みたいでした。ひどいなあ。
Vipper_The_NEET: 勝手にパスワード初期化とかふつう考えられないんだけど・・・移行期間置いてパスワード変更してもらうのが普通じゃねえのかよ('A`) それか個別に初期設定しなおして郵送するとか #librahack

Vipper_The_NEET: ・・・・('A`) とりあえず担当者を一列に正座させて説教したい。 #librahack

ockeghem: パスワードリセットの問題点はあるんだけど、全員のパスワードを生年月日にリセットして、しかもその事実を世界中に公開するよりは100倍マシ(せめてなぜメール通知にしなかった?) #librahack



その他気になったのはこのあたり。

kinugawamasato: TwitterのCSRFなおった!任意のユーザーをブロック&スパム報告させることができてた。この件 http://twitter.com/kinugawamasato/status/29046678559



okomeki: Firefoxのパスワード抜きアドオン「Firesheep」を防ぐには? :教えて君.net http://goo.gl/AyXl 公衆無線LANはパスワード危険と(‥ )



MasafumiNegishi: RT 人気ソフトに便乗するピギーバッキングソフト(世界のセキュリティ・ラボから) - http://j.mp/aqAqzk



lac_security: 川口洋のつぶやき 第41回?「意外な盲点 プリンタの管理画面にご注意を」を公開しました。 (^ま) http://www.youtube.com/watch?v=6TS9n4SMMuw



expl01t: 総務省,APECサイバーセキュリティ意識啓発の日」の制定について http://www.soumu.go.jp/menu_news/s-news/02ryutsu03_02000012.html =おしぼりの日=とらふぐの日=インターネットの誕生日(ARPANETで最初の通信)



Murashima: どこかで見たことある顔だと思ったら杉浦さんがNHKのニュースに出ていた


テーマ : セキュリティ
ジャンル : コンピュータ

11月1日のtwitterセキュリティクラスタ

明日休みだと言うことを今日知りました。まあ、別に休めないわけですが。

ISOの邦訳について。かなり残念な状況のようです。仕分けされればいいのに。
miryu: なんでISOの邦訳ってPDFがないの?

cchanabo: +1 RT @miryu: なんでISOの邦訳ってPDFがないの?

MKajimoto: @cchanabo @miryu 各国の標準化団体(日本の場合は日本規格協会)の商売とするため… だから、ISOの委員も最終版のPDFはもらえないとのことです。

cchanabo: @MKajimoto @miryu ものすっごーーーいバカ高いんですよね。止むを得ず印刷物を個人研究費で買った事あります。ただでさえ、個人研究費なんてほとんどないに等しいのに…。

miryu: えと、例えば、http://ow.ly/32jvh に邦訳PDFがないんですよね… RT @mkajimoto: @cchanabo @miryu 各国の標準化団体(日本の場合は日本規格協会)の商売とするため… だから、ISOの委員も最終版のPDFはもらえないとのことです。

MKajimoto: @cchanabo @miryu ホント、むちゃくちゃ高いですよね。原本すら、ISOの委員がもらえないという状況とのことですから、何とも…。 それに認証が絡むと認証団体も、それで儲けようとするし… 腹立たしい。 特に日本の企業は認証好きだから、いいカモです。

Akira_Murakami: @cchanabo @MKajimoto @miryu そのむかし、某企画ほにゃららがだしていた、BS7799のとんでもない日本語訳の紙を八万円で買った事が.....個人で買ったら、中身と対訳の違和感で怒るところであったな~。

cchanabo: @Akira_Murakami @MKajimoto @miryu ああ、正式版とやらの日本語訳はかなり残念。腹が立ちますよ…あれは。だから、世の中ISO化なんてほんと必要最小限にしないとダメですよ。意味ないところに金落とすのって本末転倒だもの。

MKajimoto: @cchanabo @Akira_Murakami @miryu ISOは必要最小限に限ります。そうしないと、どんどん陳腐化する。itSMFの連中がISO20000がITIL v2ベースで、自分たちがv3を普及させる段階から困っていますからね。標準はデファクトで良いと思う。



昨日はIPAのセミナーがあったようです。その中でIPAの「IPAの取り組みからわかるウェブサイトの脆弱性対策の実情」を。他は誰かまとめてないのかなあw
piyokango: 例として、IPAのJVNiPediaへ行われている攻撃回数について。19件/日らしい。

piyokango: 脆弱性が届けられてから修正されるまで長期化しているものが400件近くある。そのうち32件は1000日以上。

piyokango: http://bit.ly/bQ1m5d とか http://bit.ly/bQ1m5d のお話。

piyokango: 脆弱性が確認された場合の対応について。経済産業省の「ソフトウェア等脆弱性関連情報取扱基準」のお話。

piyokango: ここらへんの件数の状況ってどこかにあがってるのかな。

piyokango: Webサイトの脆弱性を取り扱う中で、運営者が見落としがちな要因。連絡先が記載されていない、委託会社任せきり、組織体制不備、フォロー不足など。



そしてJSONの過剰エスケープについてのお話。難しいものですねえ。
ockeghem: .@hasegawayosuke はせがわさん、昨日のJSONの過剰エスケープに対するご指摘ですが、真偽値や数値リテラルの場合の話であって、文字列リテラル中のマイナス記号はエスケープしてもよいという理解であってますか? #atrandomkyoto

hasegawayosuke: @ockeghem あってます。-を放置し+<>のエスケープを推すのは、例えばPerlであれば既存のJSON.pmを使って JSON->new->ascii(1)->encode(...); してからs/[\+<>]/.../g;できるからです。

hasegawayosuke: @ockeghem …というのは、@takesako さんと @bulkneets さんに教えてもらいました。そうでないと自前でJSONエンコーダを実装する必要が出てくるので。

ockeghem: @hasegawayosuke ありがとうございます。JavaScriptだと、"-1.0"が、実は数値ということもありそうで、「-」以外にも「.」もエスケープするとまずい場合がありそうですね



その他気になったことはこのあたり。

tdaitoku: RT 認証制度を活用したセキュリティ対策再チェック:NTTドコモ、電気通信事業者向けセキュリティ基準で国内初の認証取得 http://bit.ly/bW9dOn


lac_security: ベース・セキュリティ・コンソーシアムから「データベースセキュリティガイドライン第2.0版」の英語版が公開されたそうです。(^む) http://www.security-next.com/015942


ripjyr: I'm reading now: 11月20日 IT業界の人とかが麻婆豆腐の作り方を学ぶ会 http://kokucheese.com/event/index/5523/ ちょっwwwハンズオンwwwwwwww


kaito834: Firesheep は Seesion Hijack 対象の Web サービスを追加できるようになっているのか。"Demonstrate HTTP session hijacking attacks from Firefox" というわりには実用性がある気がする。


miryu: クラウドは本当にセキュリティ面で心配なのか? 従来のOn-Premiseと比較して何が心配?とある統計による分析:鈴木いっぺい の 北米IT事情: 雲の向こうに何が見えるか?:ITmedia オルタナテ http://htn.to/q25h4A

テーマ : セキュリティ
ジャンル : コンピュータ

10月30~31日のtwitterセキュリティクラスタ

土曜日に京都で@Randomな勉強会が開催されたようです。@Randomって何年前でしたっけ。
kjmkjm: そろそろ出かけないと。

umq: atrandomkyoto に向かってる人がタイムラインに結構いるなぁ。

mincemaker: 今日はあとらんだむでしたか。いいなあ。

yuta_hanayama: 文字をバイト列のまま評価するのは欧米圏のアプリケーションではありがちな処理ですね。 #atrandomkyoto

j_nakada: JAVAのバージョンが古いとUTF-8非最短形式をつかれるが、諸事情によってバージョンアップできない現場が多いと聞くし怖いね。 #atrandomkyoto

ockeghem: プレゼン資料公開しました #SinSec #atrandomkyoto / 文字コードに起因する脆弱性とその対策(増補版) http://htn.to/aLRKBZ

ripjyr: I'm reading now: @randomな勉強会 - yasulib memo http://d.hatena.ne.jp/yasulib/20101031/1288496118



そして、今月もセミナーや勉強会が続くようです。僕は仕事であんまり動けそうにないのですがAVは参加させていただきますよ。
bugbird: 来週が AV で、その翌々週がセキュそばね。セキュそばの直前が IIJ テクニカルセミナーだ

yasulib: 「BHJその後 九州編」がセプキャンの報告会と12/18で被ってる :(



そして密かにInfoseekのWebが終了したみたいです。僕も買収とかで移動しまくったあげくInfoseekになったサイトがありましたが消えてしまいました。
harusanda: iswebライトの終了について、最も「ひどい!」と思ったのは .htaccess を置けないことだ。パーマネント・リダイレクトができないので、検索エンジンも放置されっぱなし。 ちなみに、たぶん meta によるリフレッシュもできないたと思う。わざとのようにすら思える。



あと気になったことはこのあたり。

uematter: 人によっては深刻www本当かどうか検証したくなるな。。 ★【緊急】Windows7の深刻なバグを発見した件について http://uinyan.com/windows7_critical_bug/


kikuzou: 【注意喚起】大手有名サイトの閲覧で発生したコンピュータウイルス感染について | LAC http://bit.ly/b3tIr8


hackersorg: [XSS Info] Re: HackGame No.1 http://is.gd/gtLik

テーマ : セキュリティ
ジャンル : コンピュータ

プロフィール

bogus

Author:bogus
FC2ブログへようこそ!

最新記事
最新コメント
最新トラックバック
月別アーカイブ
カテゴリ
検索フォーム
RSSリンクの表示
リンク
ブロとも申請フォーム

この人とブロともになる

QRコード
QR
カレンダー
11-2010
SUN MON TUE WED THU FRI SAT
- 1 2 3 4 5 6
7 8 9 10 11 12 13
14 15 16 17 18 19 20
21 22 23 24 25 26 27
28 29 30 - - - -

10   12

上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。