スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

3月24日のtwitterセキュリティクラスタ

もうすぐ4月だというのに寒くてたまんないです。

「2011年版10大脅威」が発表され今年のトレンドが紹介ています。それぞれ各人注目するところは違うようですが、個人的には最近仕事で関わることの多いクラウドですかね。
Murashima: IPAが「2011年版10大脅威」発表、1位は人的要因による情報漏えい -INTERNET Watch http://goo.gl/obtIl

bakera: 2011年版の10大脅威、6位には岡崎市立中央図書館の話が入っています。 http://www.ipa.go.jp/security/vuln/10threats2011.html #librahack

ockeghem: 10大脅威に初めて『携帯電話向けウェブサイトのセキュリティ(7位)』が登場しました / 情報処理推進機構:情報セキュリティ:脆弱性対策:2010年版 10大脅威 あぶり出される組織の弱点! http://htn.to/p5sy6c


SSL認証局のComodoがやられてしまい、偽の証明書を発行しちまったみたいです。もう誰も信用できない。ということですね。
Murashima: SSL認証局が偽の証明書を発行、大手サイトに影響の恐れ - ITmedia News http://goo.gl/bTRYn

risa_ozaki: 不正なSSL証明書(「Comodoケース」): SSL証明書は、Webサイトがエンドユーザに自身のアイデンティティを明らかにするために用いられる。証明書ベンダー「Comodo」が今日、同社を通じて9つの… http://bit.ly/fcpnaJ via @FSECUREBLOG

JSECTEAM: セキュリティ アドバイザリ (2524375) を公開し、Comodo 社より発行された 9 つの不正なデジタル証明書の問題に対応する更新プログラムを公開したことをお知らせしました。http://bit.ly/fCL7vy


信用できないということで、ユーザーの入力を信頼するのか否かという、前日の『ヤフーにおけるインプットバリデーション「何も信じるな」 (http://htn.to/4iebs7)』に関連した話題です。

ockeghem: 「ヤフーにおけるインプットバリデーション」 http://htn.to/4iebs7 を絶賛するブクマ等が少なからずある実態に鑑みるに、「サニタイズ言うな」キャンペーンは継続すべきではないかと愚考申し上げる次第でございます

ShiroKappa: .@ockeghem さんに同意。言い様の問題な気もしますが、開発者への啓蒙的背景を持つ以上、言葉尻には気を付けたい。

kogawam: セキュリティとしては本質的ではないと思うけど。「そんなの絶対おかしいよ」「あたしってほんとバカ」を経て「もう何も信じない」と想像すると。 / ヤフーにおけるインプットバリデーション「何も信じるな」 (Yahoo! JAPAN Tech … http://htn.to/vL4hdh


まず、入力を信用しないっていうのはどういうことなのでしょう。という話題。
ockeghem: 「入力値を信用しない」というのは誤解を招きやすいよね。ヤフオクで利用者が5千円で落札するという入力を信用しないとして「本当は5万円じゃないのか」とするわけにはいかない。ユーザの入力は基本的には信用するしかない

tomoki0sanaki: 例が悪いです。難癖つけているとしか思えない。 QT @ockeghem 「入力値を信用しない」というのは誤解を招きやすいよね。ヤフオクで利用者が5千円で落札するという入力を信用しないとして「本当は5万円じゃないのか」とするわけにはいかない。ユーザの入力は基本的には信用するしかない

ockeghem: 僕もね、昔はガイドラインの先頭に「ユーザの入力は信じるな」と書いていた訳よ。でも、「ユーザの入力を信じないとはどういうことか」と突き詰めて考え始めると訳が分からなくなるので書くのをやめた。もっと即物的に書かないと実行できない

ockeghem: ユーザ入力は信用するしかない。問題が生じるのは、(1)ユーザ入力に応じた処理ができないケース(例XSS、SQLインジェクション)、(2)ユーザ入力にしてはいけないものをユーザ入力にしてしまったケース(例ユーザIDの保持)、ではないですかね


そして、バリデーションって何?という話題に。
ockeghem: バリデーションの話題が出て来たとき、「何を基準にバリデーションをするか」が書いてない解説は信用できない。そして、多くの場合基準は書いていない。「厳密なバリデーションを」みたいな曖昧な書き方をしている場合が多い

ockeghem: バリデーションの話題でホワイトリストとかブラックリストが出て来たらたいてい駄目な論だね。バリデーションは要件を基準にするものでホワイトでもブラックでもない。郵便番号欄みたいに数値のみという欄は、*たまたま* ホワイトリストにもなっているだけで、それは結果論

tomoki0sanaki: 激しく同意 QT @ockeghem バリデーションは要件を基準にするものでホワイトでもブラックでもない。

tomoki0sanaki: 私の感想は「入力と出力のどっち!?」です QT @ockeghem いや、読んだ人の誤解を代弁しているわけですよ

ymzkei5: @ockeghem 「ホワイトリスト」の代わりに、「プロアクティブ」が出てくる場合は・・・?(笑

ockeghem: プロアクティブという言葉も文脈次第では良いのですが、駄目な文脈が多いですものねぇ RT @ymzkei5: @ockeghem 「ホワイトリスト」の代わりに、「プロアクティブ」が出てくる場合は・・・?(笑


そして、バリデーションとセキュリティは関係なくね?という話に。
tomoki0sanaki: これって、解説書レベルで基準は明示できないのでは!?現場で基準は違ってくるだろうし・・・ QT @ockeghem バリデーションの話題が出て来たとき、「何を基準にバリデーションをするか」が書いてない解説は信用できない。

tomoki0sanaki: 例えば、都道府県の入力箇所。都道府県ごとに定義された ID があればいいけど、ないとか、都道府県コードから、さらに市町村コードまで用意されていて、それらが紐づいている場面と市町村はフリーフォーマットだったり、と現場の状況で変わるのでは。

tomoki0sanaki: 例えば、商品コードとサイズ(場面によっては、色とか)が紐づいていたら、それら紐づいていない組み合わせは、入力されても拒絶しないとダメだろうし・・・色は限定できるけど、サイズは(例えば布の切り売り) X から Y 間で連続的だったり・・・

tomoki0sanaki: 個人的には、バリデーションは、セキュリティよりも、ユーザビリティの向上が主目的だと思うんだ。(間違った入力して、最後の最後で、「やっぱダメ」って利用者にとっては辛いからね)

tomoki0sanaki: なので、バリデーション言ってるのに、XSS とか SQL Injection って「?????」な感じ

ockeghem: ですね RT @tomoki0sanaki: なので、バリデーション言ってるのに、XSS とか SQL Injection って「?????」な感じ。

ockeghem: いや、「基準は要件です」と一言書いてくれれば文句ないのだけど、その一言が書いていない RT @tomoki0sanaki: これって、解説書レベルで基準は明示できないのでは!?現場で基準は違ってくるだろうし・・・ QT @ockeghem 「何を基準にバリデーションをするか」

tomoki0sanaki: 合点 QT @ockeghem いや、「基準は要件です」と一言書いてくれれば文句ないのだけど、その一言が書いていない

ockeghem: なぜ「入力値バリデーションの基準はアプリケーション要件です」と書かないかというと、考えられる理由は二つ。(1)書く側が分かっていないから。(2)基準が要件と書くと「じゃセキュリティ対策じゃないじゃん」と真実がばれるから


セキュリティと放射性物質扱って全然関係ないと思ったけど、意外な使い途があるのですね。
ikutana: 情報セキュリティ、暗号の研究者だけど、研究で放射性物質扱ったことがある。使ったのはアメリシウム。はじめて超ウラン元素を見たよ。とは言えパッケージに入ってたので直接見たわけじゃない。


ikutana: ちなみに、アメリシウムの崩壊期間をクロックで数えて乱数発生するのね。崩壊期間は指数分布するから、それを変換して二値乱数にする。単純に指数分布を分割して割り当てる方法だとNIST SP800-22に通らないので工夫しなきゃいけなかった。修士の頃に学部生の卒研指導してたよ


その他に気になったことはこのあたり。
tokoroten: SHA1 padding attack - yasulib memo http://htn.to/hS4uEV


lac_security: (^む)  RT @laccotv: 川口洋のつぶやき 第60回?「【緊急】Flash Player、Adobe Acrobat、Adobe Readerをアップデートしよう】を公開しました。 http://www.youtube.com/watch?v=eaYediEy-T8


laccotv: ラック、サイバー産業スパイによる被害実態調査レポートを公開 ~サイバースパイ活動「APT」をコンピュータセキュリティ研究所レポートで注意喚起~ http://www.lac.co.jp/news/press20110323.html


sophosjpmktg: 【サイバー犯罪】英: Zynga Poker のゲームサーバーに不正にアクセスし、ゲーム内で使用するチップを4000億枚盗み出し、破格値で売り稼いでいた29歳の男に2年の懲役刑 http://bit.ly/e8TAB7


risa_ozaki: 「CVE-2011-0609」を使用した攻撃: 標的に悪意あるファイルを開かせようと、攻撃者たちが日本の状況を利用している。これらのケースは、Flashエクスプロイトを伴うExcel添付ファイルを使用し… http://bit.ly/e6oAVv via @FSECUREBLOG


hasegawayosuke: ウイルスバスターはいまこそ節電のためにパターンアップデートの頻度を抑えるべき。


lac_security: (^ま)ラック、「災害発生時の事業継続に私たちがおこなうべきこと」を公開しました。ガイドの公開とともに、スマートフォン向けの緊急通知アプリを提供しています。http://www.lac.co.jp/news/press20110324.html


_joviann_: Chinese hackers paid to paralyzing Korean sites http://bit.ly/i1yccg /via @DFMag #hacking #news


tiliaceus: Kotaku| 元ハッカーがMMOの脆弱性を悪用どころか修正に協力、開発元は大感激 http://bit.ly/fUUDTE #ktkjp


dankogai: 電源はAC< @zakuro563: こんにちWAN ありがTCP こんばんWEP さようなLAN 魔法の言葉で楽しいネットワークがPPPoE


スポンサーサイト

テーマ : セキュリティ
ジャンル : コンピュータ

コメントの投稿

非公開コメント

プロフィール

bogus

Author:bogus
FC2ブログへようこそ!

最新記事
最新コメント
最新トラックバック
月別アーカイブ
カテゴリ
検索フォーム
RSSリンクの表示
リンク
ブロとも申請フォーム

この人とブロともになる

QRコード
QR
カレンダー
08-2017
SUN MON TUE WED THU FRI SAT
- - 1 2 3 4 5
6 7 8 9 10 11 12
13 14 15 16 17 18 19
20 21 22 23 24 25 26
27 28 29 30 31 - -

07   09

上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。