1月17日のtwitterセキュリティクラスタ

引き続き風邪で基本的に椅子かベッドかコタツでゴロゴロしながら仕事してます…　っていつもといっしょやん！　あ、でもいつもはベッドでってのはないですね。

セキュリティエンジニアって案外よくわからない職種なのですが、検索窓にコードを入力する簡単なお仕事だったりするのでしょうか。

bulkneets: そういえば人事の偉い人に俺が新規開発に集中できるようにセキュリティエンジニアほしい→紹介してよみたいなことを言われたので勝手に募集します、各種言語のレガシーコード読めるとポイント高い、応募したい方はlivedoorか大手サイトの XSS見つけて報告してください。

hasegawayosuke: Livedoorに就職したいひとのためにXSSを探すアルバイト、が成り立つかを考える。

こういう暇つぶしをする人が応募すればいいと思いました。

nao_pcap: 頭痛いから暇つぶしにと思って遊んでたら、alert動くサイトぞくぞく出てきてまた頭痛が･･＞＜

ちょっと気になるので本屋に行ってみるかな…

tomoki0sanaki: 弟子からの指摘。「SoftwareDesign 2011/01月号 P114 の Ajax/JavaScriptハッカー要請講座の CSRF 対策が面白い」と・・・

bakera: 良い意味でですか? それとも……? RT @tomoki0sanaki: 弟子からの指摘。「SoftwareDesign 2011/01月号 P114 の Ajax/JavaScriptハッカー要請講座の CSRF 対策が面白い」と・・・

あと、気になったところはこのあたり。

taguchi: いかに車をハックするか、の子供向けワークショップがロスで開催されたようです - http://bit.ly/fRgMwN

tsuri_jp: JPRS、DNS応答の偽造防止する「DNSSEC」を導入: JPドメインの登録者は、鍵情報をJPRSに登録することが可能となり、DNS応答の偽造によるフィッシングなどを防止できる。 同社では、各国のDNS運用関係者と協力し ... http://bit.ly/fXLfSZ

ockeghem: セキュアプログラミング講座の旧版のevalインジェクションのサンプルが、実は脆弱でない http://www.ipa.go.jp/security/awareness/vendor/programmingv1/a04_02.html 理由は、式を単一引用符で囲っているため

sonodam: これオフレコじゃないよなｗ？＞以前聞いた話だけど、昔流行ったTBSのハッカードラマ、技術監修がせっかくしっかりしたロジックのもとに映像用意してるのに、尺だとか演出だとかの理由でリアリティを構成する大事な要素をがしがしカットされまくったとか。

tomoki0sanaki: CSRF。トークンの生成方法とか、ぶっちゃけどうでもいいかな。だって、診断対象はほとんど CSRF対策していない。あまりに分かりすぎる乱数はアウトとしても、まぁまぁ解読できないような乱数ならそれはそれでアリだと思う。というか、トークンの解読にそんなに時間をかけられないよ。

donz80: 会社携帯宛に来るspamを観察。ところで、この手のspamの送信ドメインは、それは立派に SPFの宣言をしている。で、いくつか追跡していると、デバッグ用なのかSPFレコードにco.jpドメインがincludeされてる。そのドメインを見に行ってみると、「モバイル広告事業」。ふーん…

ie6bot: ｜；ω；`) (´；ω；｀) (´；ω；｀) (´；ω；｀) 全滅だー【レビュー】IE6、IE7、IE8、IE9をクラッシュさせる方法 | エンタープライズ | マイコミジャーナルhttp://bit.ly/he2hVb