スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

3月15日のtwitterセキュリティクラスタ

今度は静岡で地震が起こったりして仕事どころじゃありません。

震災関連で気になったこと。
sakumariko: 義援金を送る先は信頼できる機関にしましょう。義援金フィッシィングなどが出てきているようです。http://bit.ly/i0f8jr

trendmicro_jp: [セキュリティブログ]大震災に便乗したSEOポイズニングを確認。「FAKEAV」へ誘導 http://blog.trendmicro.co.jp/archives/3981

e30jp: わ、JJY停止か。--電波時計の時刻情報を伝える標準電波(JJY)、福島県の送信所が送出を停止 http://ow.ly/4eCXL

mtakahas: Publickeyからの転載です。快くOKしていただいた@jniinoさん、ありがとうございました! → 災害にあったITシステムを操作しなければならない人が知るべきこと - @IT http://t.co/sItvEJF

イソジン飲むとかパニックですね。落ち着きましょう。
_koookie: 「ヨウ素剤の代わりにうがい薬」根拠ない情報 (読売新聞) - Yahoo!ニュース http://t.co/ehSRrDf

miryu: 要約「イソジン有害だから飲んじゃダメ」「昆布食べても効果低」 / 独立行政法人 放射線医学総合研究所 | ヨウ素を含む消毒剤などを飲んではいけません-インターネット等に流れている根拠のない情報に注意- http://htn.to/D1z5Ta


セキュリティ関連では、WebサーバーのOPTIONSコマンドについて。あまり使いませんが、危険なんですかね。
ten_forward: セキュリティ監査で http の OPTIONS が有効になっていて無効化しろ,と言われたのでなんとかしろ,と言われてるが,何がマズいんだろう? まあ,そりゃ色々な機能が有効になってて色々変えるんだったら問題だろうけど... GET, POST, HEAD 程度だけど...

ockeghem: OPTIONSを指摘することは確かにありますが、「参考情報」程度で、「無効化しろ」という診断業者はチェンジした方がよいかと RT @ten_forward: セキュリティ監査で http の OPTIONS が有効になっていて無効化しろ,と言われたのでなんとかしろ,と言われてる…

bakera: @ockeghem @ten_forward ピュアな疑問なのですが、OPTIONS が有効だとまずい事って具体的に何があるのでしょうか。

hebikuzure: 外部に暴露される情報はなるべく少ない方が良いという事かなあ QT @bakera: それ、まずいですか? RT @hebikuzure: 受け付けるメソッドが公開されるから、という事なのでは??? QT @ockeghem @ten_forward (snip)

bakera: @ockeghem ありがとうございます。そうですよね。

vulcain: .@hebikuzure @ockeghem @ten_forward たしかにOPTIONSメソッド使ってWebDAV使えるか確認するフェーズがあった気がするので、OPTIONS止めると「ファイルアクセス出来ねぇ」という声は上がったりしますね。

hebikuzure: . @vulcain @ockeghem @ten_forward その通りです。WebDAV が使えなくなるので、WebDAV を使いたいサイトでは OPTIONS は止めない方が無難です。(実際にどうなるかは WebDAV クライアントの実装にもよるみたいですが)

vulcain: .@hebikuzure @bakera @ockeghem @ten_forward OPTIONS自体は何も不味い要素はないと思うのですよ。他のメソッドの運用やエラーページのBugによる脆弱性とか暴いてから問題視してくれって言いたい。

ockeghem: @bakera PUTやDELETEが使えるかどうかがわかることを気にしているのだと思いますが、PUTやDELETEをいきなり実行してみればよいことなので、実害はないと思います

ten_forward: @ockeghem ああ,業者自体は「無効化しろ」ではなく「これ自体は問題ありませんが,無駄な機能は無効にしたほうが良いでしょう」みたいな書き方でした.それをおそらくお客さんが全部きちっとつぶしたいと思ったのでしょうね.そういう意味では業者の説明不足じゃないかなあ...

ten_forward: @vulcain @ockeghem 微妙な書き方でしたが,特に必要でなければ無効にした方が良いでしょう,みたいなニュアンスでしたね.いや,特に必要じゃないんですけど.^^;


他に気になったことはこのあたり。
ockeghem: 「体系的に学ぶ 安全なWebアプリケーションの作り方」の在庫状況と今後の見通し - ockeghem(徳丸浩)の日記 http://htn.to/3GJCgS


tdaitoku: CAINE Live CD - NewLight computer forensics digital forensics http://www.caine-live.net/


fumitake1969: iPad 2もうジェイルブレイクされる(動画)(GIZMODO) http://goo.gl/ltDf9


cnet_japan: 「Windows」のMHTMLの脆弱性、ハッカーの標的に--マイクロソフトが警告 http://bit.ly/gDF76X


stonecold316hel: こんな時にFlashとAcrobatのセキュリティアップデートの案内が来ても困る>3月21日(アメリカ時間)

スポンサーサイト

テーマ : セキュリティ
ジャンル : コンピュータ

コメントの投稿

非公開コメント

プロフィール

bogus

Author:bogus
FC2ブログへようこそ!

最新記事
最新コメント
最新トラックバック
月別アーカイブ
カテゴリ
検索フォーム
RSSリンクの表示
リンク
ブロとも申請フォーム

この人とブロともになる

QRコード
QR
カレンダー
10-2017
SUN MON TUE WED THU FRI SAT
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30 31 - - - -

09   11

上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。