5月14～15日のtwitterセキュリティクラスタ

もう5月も半ばです。早いなあ。

Cookieやhiddenなどクライアントにデータを持たせる場合のセキュリティについて。さすがに自分で実装するのは危険な香りですね。

kinyuka: Cookieやhiddenにデータを格納する場合の暗号化についての記述はありますか？ #wasbook

ockeghem: @kinyuka 暗号化してCookieやHiddenに格納することは推奨していませんね。P208に「パディングオラクル攻撃とMS10-070」というコラムが失敗例として乗せてあり、暗にですが「MSでさえ失敗するんだから素人は手を出すな」というニュアンスです #wasbook

kinyuka: ところであの本はｼﾛｳﾄ向けなんですっけ？ #wasbook

ockeghem: 元々は「入門者向け」として企画されましたw RT @kinyuka: ところであの本はｼﾛｳﾄ向けなんですっけ？ #wasbook

kinyuka: なるほど了解です。それならフレームワーク等で(hidden/Cookieの）暗号化の仕組みが用意されているわけではないので、記述しなくて正解かもしれませんね。 RT @ockeghem: 元々は「入門者向け」として企画されましたw #wasbook

ockeghem: @kinyuka ASP.NETのビューステートのように、アプリケーション開発者が意識せずに使えるものなら良いと思いますが、開発者が意識して暗号化するのは、罠が多くて大変だと思いますね

bakera: @kinyuka 参考までにお訊きしたいのですが、Cookieやhiddenに格納したデータを暗号化したいというのは、どのような場面でしょうか。暗号化が必要になるような情報をCookieやhiddenに格納しなければならない局面が思いつかなかったもので……。

kinyuka: @bakera サーバ側でセッションオブジェクトを持たず、全部クライアント側になげちゃうという発想のときです。RoRなんかはそうみたいですよ。（暗号化はオプションかも？）

kinyuka: ですね。RT @ockeghem: @kinyuka ASP.NETのビューステートのように、アプリケーション開発者が意識せずに使えるものなら良いと思いますが、開発者が意識して暗号化するのは、罠が多くて大変だと思いますね

tomoki0sanaki: JavaServlet側のオブジェクトをシリアライズ化してブラウザに持たせるような設計にしてしまった場合とか。セッション管理しなくてもいいのでサーバ側のメモリ負荷は削減。 QT @bakera @kinyuka Cookieやhiddenに格納したデータを暗号化したい

tomoki0sanaki: 適切かどうかは別として、最近ちょくちょくそんなWebアプリと遭遇しています・・・orz QT @tomoki0sanaki @bakera @kinyuka JavaServlet側のオブジェクトをシリアライズ化してブラウザに持たせる

kinyuka: まさにそれです。耐障害性などを考慮した場合、サーバ側の設計がむちゃくちゃ楽になります（サーバ複数台の場合）RT @tomoki0sanaki: JavaServlet側のオブジェクトをシリアライズ化してブラウザに持たせるような設計にしてしまった場合とか。セッション管理しなく

bakera: @kinyuka なるほど。RoRはセッションを持っていますが、confirm画面ではhiddenに出す形が基本だったはずで、そうするとユーザが入力したパスワードがhiddenに出る場合がありますね。

kinyuka: RoRの細かい点はわからないですが、キモはサーバ側でセッションオブジェクトを（複数のアプリケーションサーバ間で）共有したりする必要がなく、容易にスケールアウトできるという点ですね。RT @bakera: @kinyuka なるほど。RoRはセッションを持っていますが、

tomoki0sanaki: POSTデータが半端なくデカいのが気持ち悪いですが・・・ QT @tomoki0sanaki @bakera @kinyuka 最近ちょくちょくそんなWebアプリと遭遇しています

kinyuka: ha ha ha ヽ(´ー`)ノRT @tomoki0sanaki: POSTデータが半端なくデカいのが気持ち悪いですが・・・ QT @tomoki0sanaki @bakera @kinyuka 最近ちょくちょくそんなWebアプリと遭遇しています

bakera: @tomoki0sanaki @kinyuka そういうやつはたまに見ますが、デシリアライズすると名前空間から開発会社の名前が分かったり、いろいろ興味深いことがありますね。

tomoki0sanaki: 結構、一般的な設計方法なんですかね!? あまり見かけない設計方法だと思っていたんですけど、最近ちょくちょく見かけるようになりましたが・・・ QT @kinyuka まさにそれです。耐障害性などを考慮した場合、サーバ側の設計がむちゃくちゃ楽になります

bakera: @tomoki0sanaki @kinyuka どこかの官公庁で、.aspxなページの表示がいやに重いのでソースを見たら、数メガの ViewState が入っていたという経験をしたことがあります。:-)

tomoki0sanaki: はい。楽しいですが、改ざん方法の体系化ができていないので、まだ改ざんしたシリアライズオブジェクトを渡して顧客を驚かせるところまでは至っていないですorz QT @bakera @kinyuka デシリアライズすると名前空間から開発会社の名前が分かったり、

tomoki0sanaki: (^^) ... どこかのショッピングサイトはそういうつくりのPCサイトをそのまま携帯サイトに移管して、診断作業が半年ずれ込んだことがありました。・・・ QT @bakera @kinyuka 数メガの ViewState

tomoki0sanaki: シリアライズのセキュリティに関しては、「IPA ISEC のセキュアプログラミング講座ver1 "3.3シリアル化と情報漏洩" http://bit.ly/k507Pp」があります。って暗号化しましよう。って主旨ですが。

勉強会でハンズオンは楽しそうですね。行ってみたいけど九州…

prettyelmo_: 「Hack in the Cafe Fukuoka #7 ～徳丸本でハンズオンしてみました～」をトゥギャりました。 http://togetter.com/li/135656

ockeghem: 『【徳丸本】からは、「3章　WEBセキュリティの基礎」～「4章　Webアプリケーションの機能別に見るセキュリティバグ」を一通りやりました』<活用いただき嬉しいです! / ＩCＴマニア:昨日の勉強会 Hack in the Cafe #7… http://htn.to/8qYD7x

すごくわかりやすかったのでオススメです。

_nat: なんか、すごい勢いでRTされてる。数時間で110突破(^-^)/ RT @_nat: 非技術者のためのOAuth認証(?)とOpenIDの違い入門 http://t.co/ruezGYo via @_nat

その他に気になったことはこのあたり。

kitagawa_takuji: WAFベンダーのバラクーダさんがSQLインジェクションでやられた件、漏れたパスワードはソルト付きハッシュと報告していましたが　http://goo.gl/C1pR3　Acunetixさんの分析によりソルト無しであることがわかりました。http://goo.gl/0EOSp

ockeghem: ハッシュ保存（ソルトなし）されたパスワードの解読の実例として興味深いvia @kitagawa_takuji / Barracuda Networks Victims of an SQL Injection Attack | Acune… http://htn.to/SFyyFs

kitagawa_takuji: BT5　Nessusが入った代わりにOpenVASが外れたのか

ripjyr: L2とセキュリティとか、なんて胸アツ！！！面白そうすぎる・・・＞I'm reading now: 第１０回勉強会 - 京SEC http://bit.ly/mgqSx0

connect24h: ホワイトハウスがサイバーセキュリティ対策案を議会に提出 - ニュース：ITpro http://bit.ly/mSK0f5

kitagawa_takuji: 【日経】ソニー、未熟だったハッカー対策　１億件超の情報流出 ソフトの弱点放置　http://goo.gl/R3O3y

kitagawa_takuji: 今話題の　sslstip 0.9 がリリース　http://www.thoughtcrime.org/software/sslstrip/

ockeghem: 『障害の内容は、ディスクアクセスの大幅な遅延が起きるというもの』<本当にそうだったのですね。疑ってスミマセン / Web&モバイルマーケティングEXPO 3日目 / WebARENA CLOUD9 のお話 | 水無月ばけらのえび日記 http://htn.to/U68Mqd

kitagawa_takuji: ソニー攻撃、クラウド利用　ハッカー、アマゾンから不正侵入 (1/2ページ) - SankeiBiz（サンケイビズ） http://t.co/i83BbN7 via @SankeiBiz_jp　＜どこの関係者？決めつけたようなタイトルでいいの？

cchanabo: 【自分用メモ】ソニー攻撃、クラウド利用　ハッカー、アマゾンから不正侵入 (1/2ページ) - SankeiBiz（サンケイビズ） http://t.co/mlLRfZj 隣の部屋のやつが犯罪者だという理由で俺も巻き込まれて差し押さえに…orzという話がでてきそうな案件

itsec_jp: [Bot] #ITSec_JP スクウェア・エニックスで大規模情報漏えい、メールアドレスなど2万5000人分以上（ニュース） http://goo.gl/fb/Wwop5

security_info: クラウドとオンプレミスの共存／混在環境におけるセキュリティ ...: クラウドとオンプレミスの共存／混在環境におけるセキュリティ [ #cbajp ]. Posted on 2011/05/16 by cloudnewsj|... http://bit.ly/iEWFnv

kitagawa_takuji: 個人情報大量流出　ソニーをサイバー攻撃？　謎の集団「アノニマス」の正体 - Infoseek ニュース http://t.co/4em9Yk0 via @Infoseeknews

ntsuji: チュニジアのハッカーチーム(?)絶賛大暴れ中？（改ざんページへは自己責任でw） https://www.facebook.com/pages/Sniper-Hackers/151415438259028

＜宣伝＞
Windows AzureにWebアプリをひたすらインストールするコンテスト、インストールマニアックス5の参加申し込みは今日までです！ 気になる人はとりあえずご応募ください。参加賞は1万5000円のAmazonギフト券ですよ！
http://maniax.jp/
＜/宣伝＞