10月20日のtwitterセキュリティクラスタ

カスペルスキーのサイトが改ざんされていたようです。自分とこの改ざんはリアルタイム検出できなかったのでしょうかね。

newsycombinator: Kaspersky's Download Site Hacked http://j.mp/cIsQAZ

ntsuji: 医者の不養生 + α　ですかね。 RT @vulcain: ミイラ取りがミイラは例えが違うかな？ RT @ntsuji なんたる皮肉… Kasperskyのサイト改ざん　ユーザーを偽サイトに転送 http://bit.ly/9QcEm1

kogawam: コード署名を徹底してれば被害出なかったかも／2008年にトレマイのサイトが改竄された事例あり。私はマカフィーサイトのパスワードリマインダ使ったら、平文メールでパスワード送ってきやがった。そんなレベル / Kasperskyのサイト改ざん… http://htn.to/dLr9aU

一昨日から話題のログイン状態の保持とCookieについて。確かにノートPCなんてサスペンドさせるだけで基本的に点けっぱなしですね。

bakera: ちなみに、最近はタブブラウザで開きっぱなしにしているユーザーが多くて、むしろ期限が無い Cookieのほうが生存期間が長い場合があるのではないか、という議論もありますが。

ockeghem: 大垣さんは間違った自動ログインの実装として『セッションIDクッキーの有効期限を長くする』を挙げているけど、トークン方式に比べてなぜリスクが増すのか説明して欲しいです / なぜPHPアプリにセキュリティホールが多いのか?：【スクリプトイン… http://htn.to/p3bSBx

ockeghem: セッションを延ばすとログインされるだけでなく、セッション変数に入っている情報まで見られるということかな? 大差ないような気もするけど、アプリケーションによっては問題になるか

まだまだ勉強会や講演会が開かれます。平日の昼間に行ける人たちってどんな人なんだろうと疑問に感じるのですが、抜け出すヒマのないぼくのいた会社が間違っていたのかもしれません。

ripjyr: I'm reading now: 第９回山陰ITPro勉強会のお知らせ - 山陰ITPro勉強会 http://sitw.techtalk.jp/sitwinfo/info09

ripjyr: 北陸のXSS Challenge登山会は12月4日になる予定だそうだ＞http://bit.ly/b2VXRp

yumano: IIJ TechWeek 11/17-19 豪華メンバーによる講演！行けたら行きたいな。 http://www.iij.ad.jp/news/seminar/2010/techweek.html

川口エヴァンジェリストだったのですね。そして爽快セキュリティ流行ってるのか…

laccotv: 川口洋のつぶやき 第39回 ? 「偽ウイルス対策ソフトを進んでインストールさせるワザ」を公開しました。 http://www.youtube.com/watch?v=WqpUuLUOZOk ※音声が小さいようですので後日修正します。VolUpしてください。すみません。

Akira_Murakami: ＼爽快セキュリティー ／頂きました。川口エバンジェリストへのお土産を託された?(｀_´)ゞ http://twitpic.com/2z8or5

間違ってるのかふざけてるのか知りませんが、公式の報告で「こんにちわ」はないだろうと思いますけど。

jpcert: こんにちわ。Weekly Report 2010-10-20を公開しました。^YK https://www.jpcert.or.jp/wr/2010/wr104001.html

あと気になったことはこのへん。

kinugawamasato: 【理想的なシナリオ】僕「はてダは挿入でtoken盗れるよ！ j.mp/ddnJop 」→はてな民「ええ怖い、はてななんとかして！」→はてな「サササッ！修正しました！」→はてな民「対応早い！さすがはてな！」 【現実】僕「盗れるよ！」→はてな民「なんとかして！」→おわり

masa141421356: Chrome 6 (for Windows)以降はSSL/TLSのモジュールがNSSに変わったのか http://code.google.com/p/chromium/issues/detail?id=28744

rryu2010: #librahack MDISのPマークを認定したJISAはそろそろアップを始めるべきではないだろうか。http://www.jisa.or.jp/privacy/aply/accident.html

Murashima: Microsoft、企業向けクラウドサービス「Office 365」を発表 -INTERNET Watch http://goo.gl/0Q3P

tokoroten: ボットネットをはじめとするサイバー攻撃が複雑化、サイバー攻撃はボーダーレス。　一国だけで対策するのは難しくなってきている。　国際連携が必要。 #CSS2010