スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

10月21日のtwitterセキュリティクラスタ

ヒマな日に限って雨ですよ。引きこもりは雨が降ると外に出ないので今日は雨が止んでほしいなあとか思います。


CSRFで強制書き込みよりは強制ログアウトの方が対策取られてるところが少なそうな予感。
ockeghem: ログアウト処理にCSRF対策していないサイトは多いので、ログアウト処理でもきっちりトークン入れとけば「こいつは堅そうだ」と攻撃者が避けて通る…という期待は甘いよね ^^;

tomoki0sanaki: おっ!確かに、見かけないですね QT @ockeghem ログアウト処理にCSRF対策していないサイトは多いので・・・

umq: @ockeghem 「ログアウト処理」に内包される処理(i.e.どんなオブジェクトを廃棄するか)の想定が違うとそのあたりかわってくるのでは。



そして引き続き、パスワードの変更についての議論。そういや昔は/etc/passwdにパスワードが書いてありましたなあ。クラックも簡単でした。
ockeghem: パスワードの定期変更をする理由を探し回った結果、今のところもっとも根拠となるかなと思うのは、「うっかりフィッシングに引っかかった際の保険的対策」…でも、それだと、3ヶ月に一回では少なすぎる。1時間に1回パスワード変更しても完全とは言えないわけだし

tomoki0sanaki: 「一般的にパスワードは8文字」と最初に言った人が、「いつ」なのか、は重要。ムーアの法則では 2倍/年で向上しているから、そろそろ9文字かも知れない...。が、私の知っている限りのISMSコンサルタントはそんな事を夢にも思っていないのが痛い...orz

ikepyon: ISO27001とかにパスワードの定期的変更とかなかったっけ?そこに書かれているから、どこもかしこも右へならえでポリシーに定期的なパスワード変更が書かれているんじゃ?

ikepyon: 誰がどういう理由でパスワードの定期的な変更をISO27001に入れたのかは分からないけど

tomoki0sanaki: パスワードの定期変更は、総当りの攻撃や、辞書攻撃には全く意味がない。なぜなら、攻撃をうける格子空間は変わらないからだ。

tomoki0sanaki: パスワード変更の利点は、「ローカルパスワードクラックが行われている場合」「既にクラックされ成りすましされた場合」だ。・・・というか、これらの前提の時点で既にアウトのような気がする。

tomoki0sanaki: 8文字のパスワードを一ヶ月に一回変更するより、10年間パスワード変更しなくても、127文字のパスワードの方が強度があるはずだ。

tomoki0sanaki: そもそも、誰が「一般的にパスワードは8文字以上」と言ったんだ?!。私の知りうる限りの ISMS系コンサルタントは誰も答えられない。まぁ、薄々あいつだろう、って疑惑はあるんだけどねぇ~...(^_^;)

ikepyon: @tomoki0sanaki 最近は知りませんが、かつては、ISMSのコンサルはISO9000とかのコンサルがなりあがっている人多いですからね。最新技術に追いついて無い人が結構いましたし

katsuny3: 強制的に変更する仕組みなら、「他のサービスと同一のパスワードを使いまわすことを防止する。」って効果もあるんじゃないですかね。 RT @tomoki0sanaki: パスワード変更の利点は、「ローカルパスワードクラックが行われている場合」「既にクラックされ成りすましされた場合」だ。

bakera: @ockeghem 大昔は /etc/passwd にパスワードのハッシュ値が書かれていてそれを誰でも読めた時代があり、ローカルでパスワード解析ができたために定期変更に一定の意味があったのではないでしょうか。今はそんなことはないので原則として無意味、という理解です。

ockeghem: .@bakera 私も同じ考えで、以前ブログに書いたことがあります http://d.hatena.ne.jp/ockeghem/20080226/p1



報道は基本的にわかってないだろうから、本当の情報を知りたいものですって、一応そっちサイドのものが書いたら身も蓋もないですね。
dry2: そういえば、広告サイト改ざんの件、報道されていること以外の事象が起きているように思う。被害が余計に拡大しなければよいが。また、JREには注意しておきましょう。アップできないところも多いので。



自炊してpdfにすれば棚も軽くなると思いますよと、休刊されると生活が苦しくなる私は思いますよ。そういやうちには全巻どころかなぜか2冊あるものがあったりします。
sen_u: それは困るわ。創刊号からの著者より。w RT @secondflash1999: @sen_u 私は増え続ける白夜書房HJ誌が休刊になれ!とどこかの誰か様が聞いたら殴られそうな事を密かに思ってます。創刊号からの読者よりQT: 定期的に本の置き場に・・・。



両方理解してると2倍働かされるからじゃないですか?
yumano: 「問題が多すぎて解決が不能」だと指摘された orz RT @publickey: ブログ書きました: 技術もビジネスも理解する人材「ギーク・スーツ」が日本でなぜ育ちにくいか? 野村総研のまじめな研究 http://bit.ly/aaPw7r



あと気になったのはこのあたり。

lac_security: IPAさんから「脆弱性対策情報データベースJVN iPediaの登録状況 [2010年第3四半期(7月~9月)]」がでています。(^わ) http://www.ipa.go.jp/about/press/20101020.html


ockeghem: 『パッケージに顧客情報が紛れ込む前代未聞の事件』<前代未聞の事件が立て続けに発生する事象は、どう形容したらいいものやら / 利用者逮捕に続き個人情報流出 - 日経コンピュータReport:ITpro http://htn.to/riAugC


security_info: 「TeraPad」におけるセキュリティ上の弱点(脆弱性)の注意喚起: http://bit.ly/c3o5Ym


yarai1978: 『アナライジング・マルウェア』は当初予定よりも若干遅れましたが、何とか年内刊行に間に合いそうです。書店に並ぶまでいましばしお待ちくださいまし。状況は追ってツイートします。


PR_M_Commerce: 情報セキュリティ対策 エムコマースのブログ : 指紋認証豆知識(その1) http://blog.livedoor.jp/mckk00/archives/1320823.html


ikepyon: しかしなぁ、映画やドラマのパスワードって、ちょくちょくユーザーの奥さんや子供の名前とか単語1つの簡単なものが使われてるけど、そんなんだったら、わざわざ危険を冒して盗み出す必要ないよね?w

スポンサーサイト

テーマ : セキュリティ
ジャンル : コンピュータ

コメントの投稿

非公開コメント

プロフィール

bogus

Author:bogus
FC2ブログへようこそ!

最新記事
最新コメント
最新トラックバック
月別アーカイブ
カテゴリ
検索フォーム
RSSリンクの表示
リンク
ブロとも申請フォーム

この人とブロともになる

QRコード
QR
カレンダー
08-2017
SUN MON TUE WED THU FRI SAT
- - 1 2 3 4 5
6 7 8 9 10 11 12
13 14 15 16 17 18 19
20 21 22 23 24 25 26
27 28 29 30 31 - -

07   09

上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。