スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

4月16日のtwitterセキュリティクラスタ

今日はハッカージャパンの飲み会に参加させていただくため、早めの更新です。名だたるスーパーハカーの人たちを遠巻きに眺めたいと思いますが、カメラを向けると採石場に連れて行かれそうなので、実況なんかはしませんよ。


定期的にパスワードは変更しましょうって言われていますが、そんなに効果がないということがわかったらしいです。変えすぎて自分が忘れることが多くてこまりますね。
tkmc: 『「頻繁なパスワード変更はサイバー攻撃に対してどれだけ効果的か」を調査したが、効果がないことが示されたという。』 http://bit.ly/aye3r2
ryugyosoft: というかむしろ、頻繁なパスワード変更により、パスワードを忘れてオンラインバンクにログインできずロックされて銀行まで再発行手続き(一週間)に行かされた俺。それ以降不用意に変更するものではないと思った。
ryugyosoft: というかむしろ、頻繁なパスワード変更により、パスワードを忘れてオンラインバンクにログインできずロックされて銀行まで再発行手続き(一週間)に行かされた俺。それ以降不用意に変更するものではないと思った。
ryugyosoft: そもそも1.オンラインバンク系のパスワードはSSL通信されて容易に解読できるものではない 2.解読したところでその被害者は俺だけではない 3.変更したところでキーロガーを用いて盗み出したものであればそれもすぐにハッキングされる。
ryugyosoft: というわけで頻繁にパスワードを変えるだけ時間の無駄というを俺は覚えた。
ryugyosoft: むしろキーロガーの侵入を防ぐ駆除ソフトとか、無線LANの暗号化の強化とか、他人に教えたりパスワードをどっかに書いたりしない方が、よっぽとパスワード流出の防止策になるとおもう。


今週はAdobe Readerいろいろ怖いですなあ。
gleentea: AcrobatReaderの新しいアップデータは要注意かも?更新実行時に管理者権限要求 ->詳細クリック->管理者権限でブラウザ起動。閉じずにそのまま使用継続した場合管理者権限のままブラウジングすることに。


JSONのXSSについてです。勉強になります。そして、期待しております+(0゚・∀・) + ワクテカ +
ockeghem: はせがわさんがつぶやいていたJSONのXSS、こうすればできるかもというのを思い付いたが、前提条件がきつすぎてやる気が出ない件
hasegawayosuke: @ockeghem: JSONでXSSは(1)Content-Type:がApplication/jsonのようにIEが知らないものである、(2)URLに任意の PATH_INFOをつけても動く、JSON内で <> がエスケープされていない、という3条件で可能です。(続く)
hasegawayosuke: @ockeghem: (続き) (2)に関しては例えば"*.php/a.html"のようにアクセスするとIEはHTMLとみなすので。加えて元のPATH_INFO末尾が *.cgi、*.exe、*/ な場合は QUERY_STRING に "&a.html" を付加することでもOK
hasegawayosuke: (続き) PATH_INFO magic は「拡張子ではなく、内容によって…」の設定に関わらず作用する。IE8ではServer側でX-Content-Type-Options: nosniffを吐き出すと防げる。
hasegawayosuke: 非HTMLコンテンツを利用したXSSはJSONに限らずatom/rssなどでも可能。 Adobe Readerがない環境相手だとPDFでもできるかも知れない(未確認)。
ockeghem: @hasegawayosuke ありがとうございます。そこはできそうかなと思っていたのですが、クロスドメインでリクエストを投げる方法を検討していました



セキュリティ対策を「うざい」と思っている人に。確かにしたからといって儲かるわけではないですからね。
bugbird: セキュリティ対策を「うざい」と思っている人に送る言葉「あなたは道路を横断する時に左右確認しますよね? それってあなたのいうところの「うざい」じゃないんですか?」
bugbird: 道路を渡りたいなら、さっさと渡れば良い。左右の安全確認をするのは、まさにセキュリティ対策なんですけどね
bugbird: 道路を渡る時に左右確認しているあなたが、なぜ ICT の安全対策をないがしろにできるんですか?(つぶらな瞳


新クリックジャッキングツールです。ブラウザーで動かすみたいです。
yumano: Clickjacking tools BHE 2010 の発表だね http://bit.ly/9AmFiT


グループウェアのセキュリティとか誰かがんばってくれないものですかねえ。がんばってるけど表に出してない|出しちゃいけない だけかもしれませんが。
connect24h: ガルーンはクセス権とか中規模以上の組織運用に耐えられない仕様。部がなくなるとか、想定してない。セキュリティに期待してはいけない。あくまで情報共有ツール。個人データバックアップ不可。あくまで、部内情報共有ツールだと思う RT @sugipooh: @HiromitsuTakagi


手抜きしちゃいけないってことですか。そうじゃないって。
slashdotjp: http://bit.ly/bPMH7S #security 巨大ボットネットの運営グループが逮捕されていたらしい


スポンサーサイト

テーマ : セキュリティ
ジャンル : コンピュータ

コメントの投稿

非公開コメント

プロフィール

bogus

Author:bogus
FC2ブログへようこそ!

最新記事
最新コメント
最新トラックバック
月別アーカイブ
カテゴリ
検索フォーム
RSSリンクの表示
リンク
ブロとも申請フォーム

この人とブロともになる

QRコード
QR
カレンダー
08-2017
SUN MON TUE WED THU FRI SAT
- - 1 2 3 4 5
6 7 8 9 10 11 12
13 14 15 16 17 18 19
20 21 22 23 24 25 26
27 28 29 30 31 - -

07   09

上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。