スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

1月5日のtwitterセキュリティクラスタ

仕事も始まったばかりでそれほど忙しくないのか、楽しそうな話で盛り上がっていました。美人とITってあまり結びつかないのですが、美人Linuxもあるのであんまり考えないことにします。
k_morihisa: 美人なんとかというWebサービスが流行っているのだろうか? 美人株価(SBIホールディングス) http://sbif.jp/bijin/bijin.cgi?code=0000

sen_u: ウチも美人セキュリティニュースなどをリリースすべきか。w RT @shin3: SBI Holdings 美人株価をリリース http://bit.ly/eTt6eA

cchanabo: 美女で釣ってるあたりが、すでにセキュアではない気もするのだが。。。 RT @ymzkei5: http://bit.ly/gOADvN RT @sen_u: ウチも美人セキュリティニュースなどをリリースすべきか。w

ChoichiHasegawa: 実はイケメンセキュリティも狙ってたりしますが・・・。 RT @sen_u 美人セキュリティに続々と反響が。www

katsuny3: よし新しいの考えた!美女IPアドレス → v4全部の美女65025人の写真を使って、お客様にIPアドレスを通知するサービス RT @sen_u: ウチも美人セキュリティニュースRT @shin3: 美人株価をリリース http://bit.ly/eTt6eA

ntsuji: well known port girlなんてどうでしょうw RT @sen_u: すごい人数が必要に。RT @katsuny3: よし新しいの考えた!美女IPアドレス → v4全部の美女65025人の写真を使って、お客様にIPアドレスを通知するサービス

ockeghem: well known portなら思い入れも込めやすいですねw @ntsuji: well known port girlなんてどうでしょうw RT @sen_u: すごい人数が必要に。RT @katsuny3: よし新しいの考えた!美女IPアドレス → v4全部の美女…

ntsuji: @mtakahas えぇ?!街に繰り出しちゃうんですか?そして、女性の見た目とサービスで紐づけしちゃうんですか?!

ChoichiHasegawa: となると、FTPやSNMPなどは双子にするとか。 RT @ntsuji .@ykwsm @mtakahas 面白そうですよね。「この人は22だろ?」「いいや。この飾り気のなさは23だ!」とかとかとかw

mtakahas: @ntsuji @ykwsm 気は優しくて力持ちの20番とか、恥ずかしがり屋の22番とか……絵師さん探してきますっ!

ntsuji: proxy系とか扱いに困るポートも… RT @ChoichiHasegawa: となると、FTPやSNMPなどは双子にするとか。 RT @ntsuji .@ykwsm @mtakahas 面白そうですよね。「この人は22だろ?」「いいや。この飾り気のなさは23だ!」とかとかとかw


PDFに偽装したJavaScriptを使ったXSSについて。IEの親切心って本当に過剰ですね。
ockeghem: IE8で動かないと思っていたアップロードファイルのXSSサンプルがIE8でも動く。だが、設定依存のような気がする。

hasegawayosuke: @ockeghem どういうのですか?

ockeghem: @hasegawayosuke PDFに偽装したJavaScriptをダウンロードする時に、アプリケーション側がContent-Type: application/x-pdfと間違えていて、PATHINFOで/a.htmlをつけて呼び出すパターンです。

hasegawayosuke: @ockeghem ああ、なるほど。Content-Type がIEにとって未知の場合はPATH_INFOでファイルタイプが決定されますからね。X-Content-Type-Options: nosniff で防げると思います。

hasegawayosuke: @ockeghem ちなみにURL内の拡張子が*.exeや*.cgiのときはPATH_INFOだけでなくQUERY_STRINGでもファイルタイプの強制が可能です。

ockeghem: @hasegawayosuke ダウンロードの際は(IE8以降の判定はせずに、常に)X-Content-Type-Options: nosniff を指定するとよい、と説明しようと思います

hasegawayosuke: @ockeghem 「ダウンロードの際には」ではなく「HTML以外のコンテンツに対しては」のほうがいいと思います。ダウンロード指令と関係なくXSSできるので。

hasegawayosuke: あるいは、HTMLを含む全コンテンツで(という記述はいらんけど) X-Content-Type-Options: nosniff をつけるように、で。


脆弱性の報告って気を遣いますよね。国内だとIPAに投げれば何とかしてくれるのですが、使ってるサービスは海外のものが多くて困ったものです。
hasegawayosuke: メジャーな海外のサイトのXSS見つけたけど、IPAに投げても不受理になりそう。どうしようかなあ。

Vipper_The_NEET: @hasegawayosuke あーー・・・・・それは無理そうですねえ・・・・・ 直接サイトの管理アドレスにメールするとかしかなさげ。

hasegawayosuke: @Vipper_The_NEET 日本語で書かれたサイトの場合はガイドラインの「主に日本からのアクセスが想定される」に該当しそうですが、今回のは日本人も使ってるけど日本語化されてない、明らかに海外サイトですので。以前は、Twitterでさえも海外サイトであると不受理になりましたし

hasegawayosuke: 脆弱性を見つける以上に、その報告先を見つける手間がかかるようなサイトは、正直言うとスルーしてしまいたい。と思いつつ誕生日なども含めてアカウント情報登録しているサイトなのでマジメに連絡先を探してメールだしたオレ新年から偉い。



年賀状とか新年の挨拶ってミスるとしばらく恥ずかしいことになって困ります。
ymzkei5: 弊社の「サイバー七福神」の年賀ハガキ&シールを見せてもらった。それぞれの神様が、検査・監視・コンサル・研究所・教育・緊急対応・構築に対応している(オデコに「検」と書いてあったりw)のだが、構築の神様だけ手違いで普通の大黒様になってしまっているらしいw

スポンサーサイト

テーマ : セキュリティ
ジャンル : コンピュータ

コメントの投稿

非公開コメント

プロフィール

bogus

Author:bogus
FC2ブログへようこそ!

最新記事
最新コメント
最新トラックバック
月別アーカイブ
カテゴリ
検索フォーム
RSSリンクの表示
リンク
ブロとも申請フォーム

この人とブロともになる

QRコード
QR
カレンダー
08-2017
SUN MON TUE WED THU FRI SAT
- - 1 2 3 4 5
6 7 8 9 10 11 12
13 14 15 16 17 18 19
20 21 22 23 24 25 26
27 28 29 30 31 - -

07   09

上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。