5月22～23日のtwitterセキュリティクラスタ

暑くなったり雨だったり毎日天気がめまぐるしく変わりますね。

結局ソニーは7つの拠点が被害に遭ってるわけですね。さすがっす。ワールドワイドっす。

kKimitomo: #sony 7度目の侵害 Sony BGM ギリシャのサイトが改ざん。SQLInjectonで個人情報も漏れてます。漏れた情報のサンプルなんて公開しなくても… http://bit.ly/kKunID

kitagawa_takuji: ギリシャの改ざんは5/5　インドネシアが5/11　RT @TheHackersNews: #Security #Infosec ? Sony BGM Greece Hack, Complete Details Out ! http://goo.gl/fb/cxN8h

MasafumiNegishi: 起きた順序は違うけど、PSN, SOE, sweepstatkes, PW Reset, Thai, Greek, So-net の7つかな。

そして、バナーなんか隠しても意味ないんじゃね？派が多くなったバナーですが、騒がれないためにも見せないか僕の考えたすごいWebサーバーの名前を見せつけるようにすればいいと思いました。

ockeghem: まぁ、でもPSNの騒動を見るにつけても、バージョン表示隠す最大のメリットは、見つけたシロートが騒ぐのを抑えることじゃないかとあらためて思いますね。OPTIONSとかTRACEも同様

そして、「第42回　PostgreSQL 9.0に見るSQLインジェクション対策」のまとめ」 http://htn.to/f9qNJK にまとまってるプリペアードクエリとエスケープの論争について。生暖かく見守る側としては不愉快にはなりませんが、おおむね同意です。

pmakino: 双方の主張・結論はともに「「原則としてプリペアードクエリを用い、それが適用できない箇所についてはバリデーションなど(当然エスケープも含む)で対処する」といえば良いだけ」で最初から合っていて、その割に… / http://htn.to/5fBQz2

pmakino: …その割に元記事がそうは読み取れない内容になってないから突っ込まれてるのに、@yohgaki が終始「俺の言っていることだけが正しい」という大人げない態度なので傍目に見て不愉快 / http://htn.to/5fBQz2

それに対しての反論。どうにも強く主張しているわりにピントがずれているのが気になりますが、それも近頃話題のガッキー（日垣隆）に似ているなあとか。

yohgaki: プリペードクエリ万能論では欠陥はあるよ、とは何年も前に指摘し済み。欠陥があるのにシツコク私の方法論が間違っている、と吹聴している方が不愉快。吹聴するほうはもっと大人げない RT @pmakino 大人げない態度 http://htn.to/5fBQz2

yohgaki: 議論に負けた側がよくやる人格攻撃にみえますね？かれらのツイート全部見てます？人を馬鹿にしていたのはどちらか明らかですよ :) 大人げないとはそういう事を言うのでは？ RT @pmakino 「俺の言っていることだけが正しい」 / http://htn.to/5fBQz2

yohgaki: 見ても意味がないからtogether読んでないけど「プリペードクエリだけ使ってればOK」論はどうみても誤り。ライブラリ使えばCでメモリ管理は必要ない！と言うのと同類。私の方法論の方がより一般的でより誤りは少ない。動的にクエリを生成する事もORMを使う事も誤りでも何でもない。

yohgaki: @ockeghem そもそもエスケープが必要、と思っていれば私の記事にツッコミを入れる必要なんて全くないのではないですか？

ockeghem: @yohgaki 「プリペアードクエリが万能でない」という主張の効き目がありすぎて、こんどは「プリペアードクエリを使わない方がよい」という誤解が生まれるおそれがあると思ったので突っ込みました。最後まで良く読めばプリペアードクエリを適宜つかえとは書いておられますけどね

yohgaki: @ockeghem 私はパフォーマンスチューニングも趣味なので、プリペアードクエリを使うなとは絶対に言いません。むしろ開発系の話題の時は使うのは簡単なのだからどんどん使うべきです、と言っています。

そういえば私はso-netを使っているのでした。特にいいこともないのと仕事の都合でIPv6接続したいので、変更にはいい時期ですね。

ockeghem: ソネットさん、5月16日に不正アクセスがあって、5月19日にアナウンスされているので、それをトリガーにパスワード変更するので十分なはず。「定期的に」の頻度が書かれてないけど、3ヶ月に一度と仮定すると、半年くらい発覚しないケースを想定? http://htn.to/bxuXxj

haruyama: @bakera so-netへの攻撃は, so-netには関係ないサービスでid/passのリストが漏れて, そのリストを利用したものじゃないかと推測しています. 根拠はないですけど.

>bakera: @haruyama なるほど、それはあり得ますね。全く同じパスワードを使い回ししていたアカウントだけが被害を受けたと。

31日ですか。定員30人なので申し込むなら早めにしないといけないですね。

ntsuji: 第1回　アイティメディア チャリティイベント パスワードの定期変更という“不自然なルール”+ α http://bit.ly/kWr1Gl 某キーロガー対策の脆弱性のお話の資料も追加しました。時間に余裕がありそうなのでそのお話もしたいと思います。

見たら直ってました。

kinugawamasato: オープンリダイレクタがとんでもないところに http://www.iana.org/%5C%5Cgoogle.com

ハッカービールですか。見かけたら買ってみよう。

kuroneko_stacy: 旦那様はハッカー。(奥様は魔女風に。) http://lockerz.com/s/103758429

その他に気になったことはこのあたり。

hasegawayosuke: 「Microsoft .NET Web アプリケーションセキュリティ」って、ガッカリ本じゃなかったっけ。

cubedl: [セキュリティ] / 第1回 悪質化が進むインターネットの攻撃 - 実録！ボットネット撃退最前線：ITpro http://htn.to/pbV7N6

ockeghem: GETメソッドで秘密情報をCGIスクリプトに渡すと、コマンドライン引数を ps -aux などで他プロセスからも参照できる問題の指摘。共用サーバーだと問題 / 驚かない不正アクセス - つれづれなる日記 @ maoo.jp http://htn.to/Fth4M5

sophosjpmktg: 【SEOポイズニング事例】ソフォス北米支社のスタッフが「通貨の交換レート」をgoogleで検索時に遭遇したSEOポイズニング。ソフォスラボの専門家によるテクニカルペーパーもご参考に！ http://t.co/u1r9ZHF（英語）

ockeghem: この問題の技術的説明は、徳丸本P164～P171に書いてあります #wasbook / JUGEMお知らせブログ | 【重要】管理者ページセキュリティの修正と強化に関しまして http://htn.to/w13U12