スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

11月6~7日のtwitterセキュリティクラスタ

週末はAVTokyo2010が開催されました。Ust中継もあったので、タイムラインは大盛り上がりでした。ということでtogetterでまとめておきました。




そして残念ながら三峯徹のトークライブはありませんでした。
yumano: さすがにそれはないww RT @tkito AVTokyoであるのかと勘違いしてすごくびっくりした。 RT @yumano: 三峯徹のトークライブがあるのか!!!凄えぇぇ!!!



そして日曜日はWCJ2010 Tech Talkが開催されたようです。Webアプリの脆弱性対策についての話が出ていたのでメモ。

Tietew: 今時 register_globals なんて使っているアプリなんて……ごめんなさい引き継いだアプリが使ってますorzorz #wcj2010

hirofumitouhei: グローバル変数を「避けるべき一般的な脆弱性」と言い切りましたか。たしかに避けるべきで脆弱性のもとになるとは思うのだけど…原文を見たい。この部分、原文とは意味合いが違うのではないかと思う。 #wcj2010

Tietew: @hirofumitouhei グローバル変数ではなくて、register_globals ですね。これは機能そのものが脆弱性と言ってもいいので、訳文の問題でしょう。 #wcj2010

Tietew: XSSの誤解: ×入力値をエスケープ ○出力時にエスケープ #wcj2010

h12o: #wcj2010 $dbr->select(...); というのがMediaWikiにあるのね。あるものは使おう。

Tietew: SQLインジェクションに対する正解:常にプレースホルダを使え #wcj2010

h12o: #wcj2010 CSRFを防ぐには、Html::hidden('token', $wgUser->editToken()); ...; if(!$wgUser->matchEditToken( $token )) { # refuse edit } ... なるほど!?

h12o: #wcj2010 「すべての入力をサニタイズ」? うーん。入力も出力もチェックしないと…(XSSやCSRFは出力の扱い方の問題で、SQLインジェクションは入力の扱い方の問題ではないかと?)

Tietew: @h12o SQLインジェクションも、プログラムにとっては「SQLを出力している」ので、すべて出力の問題です。 #wcj2010

h12o: ああ、確かにそうですね。 RT @tietew: @h12o SQLインジェクションも、プログラムにとっては「SQLを出力している」ので、すべて出力の問題です。 #wcj2010

h12o: #wcj2010 SQLインジェクションを防ぐにはコードからSQLを直接発行しないのが一番…

Tietew: 入力のチェックは検証 (validation) だけにしたほうがよい #wcj2010



あと気になったことはこのあたり。

Vipper_The_NEET: ものすごく大雑把に言えば情報セキュリティってのは情報の入り口と出口をコントロールすることで,暗号とか情報保護策とかそういうのは「出口を管理する」っていう施策でしかないわけだから,出口を管理してなかったらどんな強い暗号や厳しいルールも役に立たないんだよ。 #librahack

Vipper_The_NEET: 出口ってのは物理的接触とか,データのコピー先とか,伝送路での盗聴とか,そういう横穴を含めてのこと。それらをちゃんと管理するためには情報のライフサイクルをちゃんと知らなきゃだめで,かつ,防衛策をしっかり適用しなきゃだめ。MDISはそこらへんが全然できてない。 #librahack

Vipper_The_NEET: セキュリティ屋的な視点から見ると,MELIL案件は「非IT系だけどITサービスを提供している組織に周知すべき事柄」「一般利用者に周知すべき事柄」「SIerの心得」「IT系事件事故の調査捜査方法」等々,考えるポイントが多いなあ。うん。 #librahack



cchanabo: 【自分用メモ】まるちゃんブログ:情報漏えいとその対策について http://maruyama-mitsuhiko.cocolog-nifty.com/security/2010/11/post-6ac2.html 監査のところもうちょい突っ込んで欲しいなーと思う今日この頃。



ikutana: sudo defaults write com.apple.systempreferences TMShowUnsupportedNetworkVolume 1 これで、ネットワーク上のボリュームも見られるようになるらしい。smbだと無理かも。

ikutana: ふむ。MacのHFSPlusボリュームをafp共有している状態なら、コマンド一個でTime Machineとして使えるのか。

スポンサーサイト

テーマ : セキュリティ
ジャンル : コンピュータ

コメントの投稿

非公開コメント

プロフィール

bogus

Author:bogus
FC2ブログへようこそ!

最新記事
最新コメント
最新トラックバック
月別アーカイブ
カテゴリ
検索フォーム
RSSリンクの表示
リンク
ブロとも申請フォーム

この人とブロともになる

QRコード
QR
カレンダー
09-2017
SUN MON TUE WED THU FRI SAT
- - - - - 1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30

08   10

上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。