スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

10月19日のtwitterセキュリティクラスタ

昨日は忙しくてネタも少なかったので、すっとばしました。寒かったとか寝坊したからとかじゃないですよ。

Cookieを使ったログイン状態の保持について。セッションIDで保持させるのはじゃやっぱり大変みたいですが、勉強になります。
ockeghem: ログイン状態の保持の実装として、セッションIDのexpiresを指定すればできるかと思ったけど、PHPってセッションタイムアウトをアプリケーション単位でしか設定できないよね。ということは、全ユーザのセッションタイムアウト時間を一週間とかに延ばさないといけない。これはまずいな


ockeghem: まぁ、トークンにしとくか>ログイン状態の保持


umq: @ockeghem えっと、アプリケーション単位なんですか? それはどの辺の設定項目が念頭にあるんでしょうか


ockeghem: @umq session.maxlifetime が念頭にありました…が、これを長くしても、アプリ側でハンドルすればなんとかなりますね。もっといい方法があれば教えてください


umq: @ockeghem session.gc_maxlifetime ですかね、session.gc_* は、ファイルとして保存されているセションオブジェクトの廃棄設定なので、どちらかといえば session.cookie_lifetime でしょうか


ockeghem: @umq session.cookie_lifetime でcookieの寿命は制御できますが、サーバー側を削除してやらないと、セッションタイムアウトの意味があまりないので…


umq: @ockeghem setcookie() で、状況に応じて expire を変えると見た目の永続期間がかわるんじゃないでしょか


umq: @ockeghem するとやはり、ログイン状態の永続は標準のセションオブジェクトとは別に管理した方がいいのかも


ockeghem: @umq cookieは制御可能です。サーバー側を制御したいのです。セッションのデータダンプしてもタイムアウト情報に関する情報は入ってないので、消すときは共通のルールで消されるのだと理解しました。マニュアルには、はっきり書いていませんが


ockeghem: @umq PHPは緩く設定しておいて、アプリ側で細かく設定することは一応可能ですね。今実装を検討中です



「従前」とか書かれてたので、わかりやすくなる期待は薄いっぽいです。
msaitotypeR: IPAさんの窓口を一本化した、ということですね。 RT @MasafumiNegishi RT 情報セキュリティ安心相談窓口を開設 - http://j.mp/cUyZYW



昨日はコンピュータセキュリティシンポジウム2010があったようです。全く追いかけられてませんが面白い講演とかあったんでしょうね。
Akira_Murakami: CSS2010・ MWS2010 初日終了! 皆様お疲れ様でした~ #mws2010 #css2010



近頃ようやく話題のDNSSECですが、.jpドメインもDNSSECに対応してるのですよね。
kenji_rikitake: 多分空振りになったと思うけど,DNSSECの話を #CSS2010 でした.皆さん .jp の署名には対応してくださいね.セキュリティの研究者なら :)

yasulib: DNSSECは普及するだろうか...動向が気になる :) 「最近のDNSSECの動向」 ネットエージェント 山口さん http://www.netagent-blog.jp/

yasulib: ブログのトップへリンクはってしまってた。記事のURL訂正。 ネットエージェントオフィシャルブログ「最近のDNSSECの動向」 山口さん http://www.netagent-blog.jp/archives/51489071.html



ここだけの話、僕もGがなにか今年まで知りませんでしたよ。3.9Gとか中途半端なんだよ。
ntsuji: 知人が3G回線を3ギガ回線って読んでましたよ。

ntsuji: 続き  ボク:「3ギガ回線って何がギガだと思ったんですか?」  知人:「通信速度。無線LANより遅いなーって思って使ってたんだよなー」



僕の関わっていた某はいつも延長していましたが、それは申し込みの数が… あ、誰か来たようなので。
PacSecjp: PacSec2010は早期割引登録を10月23日まで延長中★ 青山ダイアモンドホールにて11月10-11日開催。早期割引なら1日パス\49,875、2日間通しパス\89,250。? http://pacsec.jp/ スポンサーも募集中。



あと気になったことはこんなかんじ。

ntsuji: Javaの脆弱性を狙う攻撃が激増――Microsoftの報告 - ITmedia エンタープライズ - http://bit.ly/cRMr2X



ripjyr: I'm reading now: Sitecore CMS、Windows Azure対応クラウド版を2010年内に日本でも早期導入開始へ - ニュース:ITpro http://itpro.nikkeibp.co.jp/article/NEWS/20101015/352995/



hiropooh: こわいなぁ RT @scipblogbot 偽の Stuxnet 駆除ツールによりコンピュータが空っぽにされる http://bit.ly/bXF9WR



vulcain: 【拡散希望】IBM SOC見学会は10/25ではなく日付変更します。詳細は来月あたりまっちゃ445MLに流れる予定なので乞うご期待 #matcha445



risa_ozaki: 【更新】 エフセキュアが2010年度第3四半期のセキュリティ総括を発表しました ⇒ http://www.f-secure.com/system/fsgalleries/pdf/201010_SecurityWrapUp_FY10Q3_jp.pdf



risa_ozaki: 偽ウイルス対策ソフト、あなたは見分けがつきますか http://itpro.nikkeibp.co.jp/article/COLUMN/20101016/352998/?ST=security



lac_security: コンピュータセキュリティシンポジウム2010(岡山)で当社のマルウエア解析研研究所の金子が「プリズムマップによる可視化を用いたマルウエア動向解析」について発表もなか。(^む) http://www.iwsec.org/mws/2010/program.html#1A1



ymzkei5: “Apacheのモジュールが改ざんされたウェブサイトが確認され、結構厄介” >■エフセキュアブログ : そのApacheのモジュールは本物ですか? http://blog.f-secure.jp/archives/50455216.html



vulcain: 今回のプレスやニュースではWAFという表現がなくなってますね。PCIDSSブームが去った証拠か RT @naoto_matsumoto 「Deep Securityスターターパック」が、150万円となる。 仮想化環境も本格的にビジネスになってきたナウ。


スポンサーサイト

テーマ : セキュリティ
ジャンル : コンピュータ

コメントの投稿

非公開コメント

プロフィール

bogus

Author:bogus
FC2ブログへようこそ!

最新記事
最新コメント
最新トラックバック
月別アーカイブ
カテゴリ
検索フォーム
RSSリンクの表示
リンク
ブロとも申請フォーム

この人とブロともになる

QRコード
QR
カレンダー
09-2017
SUN MON TUE WED THU FRI SAT
- - - - - 1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30

08   10

上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。