9月1日のtwitterセキュリティクラスタ

新しいiPod nanoと、iPod touch、とiPod shuffleが発表されたようです。特に使い途もないのですが、ほしくなりますね。


そういやUNYUNさんがWindowsの脆弱性突き始めた頃から実行するのは電卓でしたね。なんでだろ。

ntsuji: デスクトップ上にcalc.exeが上がっていると任意のコードを実行したんだーと思ってしまいますよ。

ockeghem: 任意のコードが実行されるって、実は理解されにくいんだけど、「任意というのは電卓のことか」と思われても困りますね～ XSSのalertも似た感じだけど

yumano: それ以外でcalc.exe立ち上げることないし・・・ RT @ntsuji: デスクトップ上にcalc.exeが上がっていると任意のコードを実行したんだーと思ってしまいますよ。

つか検出方法の方が気になりますが。

hasegawayosuke: プライベートブラウジングがリモートから検出可能になると、プライベートブラウジングでは通常の動作をしない、ひねくれたWebアプリが出てくる可能性が。「堂々と見てくれ。ちゃんと履歴に残して、再訪してくれ。」という主張で。

ソーシャルエンジニアリングについて。社会工学っていう訳語と実際にやることの乖離は気になりますよね。

uta46: この講師の仕込んだキーは 2501 かもねというような所から攻めるのがソーシャルエンジニアリングです。 #itkeys

tama_nara: そういわれてみるとソーシャルエンジニアリングについて詳しくは講義していません。これもちゃんと教えないと行けないですよね... RT @uta46: この講師の仕込んだキーは 2501 かもねというような所から攻めるのがソーシャルエンジニアリングです。 #itkeys

uta46: .@tama_nara ソーシャルエンジニアリングを日本語にすると社会工学と書いてあることが多いのですが、社会でも工学でもなく、社交工作くらいの方が適当なのではないかと思っています。 #itkeys

なりすましのやり方が簡潔に解説されています。参考に…　せずに防御に役立てましょう。

tdaitoku: RT 巧妙化する「なりすまし犯罪」、サイバーと伝統的な手口から身を守る方法 http://bit.ly/brCrPo

実装できないかどうかはともかくこれを機会に止めちゃうアカウントが多そうなので、そいつらはリムーブしたいですが探すのも面倒ですし。

mincemaker: Basic認証のTwitter Botしか実装できない人達がサービス終了しているみたいなのでアカウント纏めとか欲しいな。

QuickTimeって使わないのに入れられてることが多いので、こいつは流行りそうですね。

kikuzou: QuickTime 7.6.7 の脆弱性(CVE-2010-1818) ですが、任意のコマンドが実行されることを確認しました。きれいに動くのでヤバそうです。

MasafumiNegishi: RT Backdoor discovered in QuickTime - http://j.mp/d9Ka6x

信頼性とか考えてると短縮URLって危険すぎて使えないですよね。

sugusugu77: twitter で使っている tiny URL のマッピングが信頼性を持って行われていることは、どう保証しているのかな。昨日の議論で、かなり気になった。どうなんだろう。

今のところAmazonからしか買えないのですか。そうですか。流通絞るって大切ですね。

miryu: お、出ましたか / 情報処理推進機構：情報セキュリティ：情報セキュリティ白書2010 http://htn.to/rELYdN

OSのバージョン指定までされて…　XSS廃人限定問題ですね。

hasegawayosuke: XSSチャレンジ…。 ４問目がさっぱりわかんないな。 http://sla.ckers.org/forum/read.php?24,35534,35534#msg-35534