5月9日のtwitterセキュリティクラスタ

ゴールデンウィーク明けはさすがに忙しいのか、TLの進行も遅れ気味です。

AJAXセキュリティ本の執筆について。このタイミングだと企画を通すのは簡単だと思いますので、この3人のうちの誰かのご執筆を期待しております。

ockeghem: Ajaxセキュリティの執筆が難しいのは、Ajaxの開発、セキュリティ、文章執筆の３つの能力を兼ね備えた人がほとんどいなくて、数少ない能力のある人が本を書く暇（あるいはモチベーション）がないからだと思います。僕が思いつく書けそうな人は、セキュリティ屋というより開発畑の人だし

bulkneets: Ajaxセキュリティの執筆が難しいのは何か放っておくと知らぬ間に新しく出来るようになることがガンガン増えるからじゃないかな

hasegawayosuke: Ajaxセキュリティの執筆が難しいのは、新しくできることがガンガン増えると同時に、昨日まで通用した攻撃とbkまみれの防御が、ある日全く意味がなくなることも多いから、ってのもあるんじゃないかな。

手法の詳細が気になります。

hasegawayosuke: 非常にめずらしいパターンのXSS。かつ壮大。ページの一部を破壊じゃなく、あらかじめ外部ドメインに用意しておいたHTMLをがっつり差し込み可能。

hasegawayosuke: found XSS in beautyoftheweb.com, reported. very rare pattern and interesting.

そしてまたまたソニーがらみのXSSが見つけられています。ロゴを任天堂に差し替えられるにはちと面倒かもしれませんが。

AndMyXSS: search.sonypictures.co.uk - #XSS vulnerability http://j.mp/jklMU1

名無しさんとか通りすがりとかっぽいAnonymousですが、たまにメンバー同士が仲間割れしてますね。

expl01t: ttp://anonops.net/ がハクられてますね．// AnonOps is an international communication platform frequented by Anonymous to conduct operations.

MasafumiNegishi: またもや Anonymous内部の仲間割れ。あげくのはてに個人情報を晒すといういつものパターン。 http://message.anonops.in/

MasafumiNegishi: 仲間割れですな RT @expl01t: ttp://anonops.net/ がハクられてますね．

expl01t: @MasafumiNegishi あら．内部分裂でしたか．

その他に気になったことはこのあたり。

kitagawa_takuji: いつも情報が早いSo-netセキュリティ通信だがPSNの件はスルー　http://www.so-net.ne.jp/security/

miyamae: (blog)パスワードをハッシュ化していないサイトの例 http://bitarts.jp/blog/archives/003859.html

i9R4un1: 【告知】第7回のせきゅぽろを5月28日（土）に開催します。今回はLACの取締役CTO（最高技術責任者）である西本逸郎さんが講師です。イケメソがセレクトするスイーツもあるよ！ http://secpolo.techtalk.jp/7thworkshop　　　#secpolo

uta46: ハッシュタグ #secumoja にしたんでした。今週水曜日第2回セキュもじゃ。参加資格はセキュリティが好きか嫌いかどちらでもないか。RT @ryojikanai: セキュリティもんじゃやるよ http://atnd.org/events/15260

firefox_j: 米当局がMozillaに「検閲回避」アドオンの削除を要請、しかしそれこそ検閲では？とやんわり拒否される - P2Pとかその辺のお話 http://bit.ly/mktBLK #firefox

ntsuji: 匿名化ツール Tor の Firefox アドオンが休止、Tor 統合ブラウザを提供へ - http://engt.co/kWA0U1 ブラウザをあんまり増やしたくないのでFoxyProxyとかで繋げばいいかなぁと。

takesako: RFC5322に適合したメールアドレスの中には、SQLインジェクション攻撃が可能なアドレスがあり得ます→例：'or'1'='1'#@… http://bit.ly/lh8zkU / 僕が「ホワイトリスト」を採用しなかった訳 - @ockeghem(徳丸浩)の日記

ockeghem: 普段メールアドレスはテキストで公開しないのだけど、このメールアドレスは、公開するとspamが来るのか興味があってテキストで公開したw 'or'1'='1'#@tokumaru.org http://htn.to/zFDyPC

hasegawayosuke: http://ameblo.jp/dj-cosmo/entry-10886036013.html 「日本人ハッカーのYosuke HASEGAWAさんを潰したい人はここから捜査依頼するといい。」