スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

6月9日のtwitterセキュリティクラスタ

@ITの連載「セキュリティクラスタまとめまとめ」が公開されています。http://www.atmarkit.co.jp/fsecurity/rensai/matome2011/06.html
ここのまとめなのでここを読まれている方には今さらな内容なのですが、まあ、気にせず読んでみてくださいませ。

どこか企画に飢えてるITの出版社の人ぜひ!編集しますよw
bakera: ふと、「体系的に学ぶ 安全なWebアプリケーションの作り方」に対抗して、「事例から学ぶ 危険なWebアプリケーションの作り方」というタイトルを思いつきました。内容は脆弱になってしまったアプリケーションの事例集 (アンチパターン)。

office_acer: セットでおすすめされそう QT @bakera: ふと、「体系的に学ぶ 安全なWebアプリケーションの作り方」に対抗して、「事例から学ぶ 危険なWebアプリケーションの作り方」というタイトルを思いつきました。内容は脆弱になってしまったアプリケーションの事例集 (アンチパターン)。

bakera: 単なる言葉遊び的な思い付きなのですが、まじめに取り組むと面白そうな気がしますね。ただ、個人が把握している事例の数には限りがあるので、どうやって事例を集めるのかが鍵になりそう。


そして、こっちの方も興味深かったり。
hasegawayosuke: 「断片的に学ぶ 脆弱なWebアプリケーションの破り方」なら書けそう…。


そして、昨日もお伝えしたSecureIDの脆弱性と銀行の対応について。三井住友もJNBと似たような対応なようですね。
MasafumiNegishi: うーむ、どこかで聞いたフレーズ… 「パスワード生成機とお客さまのSMBCダイレクトのご契約を関連付ける情報は、弊行のみが保有、管理しておりますのでご安心下さい。」 http://www.smbc.co.jp/kojin/otp/otp_security.html

kitagawa_takuji: JNBの親会社ですからね。RT @MasafumiNegishi: うーむ、どこかで聞いたフレーズ… 「パスワード生成機とお客さまのSMBCダイレクトのご契約を関連付ける情報は、弊行のみが保有、管理しておりますのでご安心下さい。」

gohsuket: Citiを狙ったのは組織犯罪でしょう。ソニーと一緒にしてはいけません。組織犯罪は入手した個人情報から口座に侵入したり偽造クレジットカード作って現金化します。 RT @TrinityNYC: ハッカーの人達って、そうやって、次々と個人情報をハッキングして、何が目的なの?

ntsuji: @MasafumiNegishi 確かジャパンネットバンクは三井住友傘下ですよね。そのあたりの公開する情報は合わせているのではないでしょうか。

MasafumiNegishi: @ntsuji そうなんでしょうけどね。もう少しなんとかならないですかねー、この説明。これでユーザーは安心できますかね?

ntsuji: @MasafumiNegishi ユーザを安心させる観点としては全く意味をなしていないと思います。最低でもシリアルナンバーとシードの話からSecurIDの仕組みを説明するページを用意するべきだと思います。(一般ユーザに分かりやすい形で。)

MasafumiNegishi: 「使い捨てパスワード」に関する報道について、でググると国内で SecurIDを利用している各銀行のコメントがヒットする。どれもほとんどコピペなんだが…

MasafumiNegishi: 「引き続き安心してトークンをご利用ください。」には何か根拠があるのだろうか。情報が漏れたのは特定顧客(ロッキードとか)だけだとEMCが言ってるのだろうか。実際の脅威は可能性としてかなり低いとは思うが、もし根拠がないのに言っているのであれば、その姿勢には賛同できないな。


最近Johnは頑張ってる気がするなあ。
ntsuji: John The Ripper 1.7.7 Jumbo 6 - http://packetstormsecurity.org/files/102130 PDFやRARのパスワードにも対応してますねー


その他に気になったことはこのあたり。
nikkeionline: 米シティにハッカー攻撃、20万人情報流出の可能性も http://s.nikkei.com/lci6Ed

MasafumiNegishi: Citi Account Onlineで情報流出。北米で約2,100万人の Citi Cardをもつ顧客のうち、約1%の顧客情報に影響。名前、アカウントナンバー、メールアドレスなど。誕生日や SSNは含まれず。FTの記事から。


yoggy: 何日か前にCODEGATE NEWS LETTERが届いてたけど、To:に500個近いメールアドレス書いてて吹いた


sen_u: サイバーディフェンス研究所主催でセキュリティ診断セミナー(8月23日24日:Webアプリ編/8月25日:ネットワーク編)を開催。診断技術を覚えるセミナーです。 http://bit.ly/kSQyqc


ntsuji: LulzSec にとって盗み出した情報はあくまでコレクションであってパスワードを悪用する計画はないそうですね。


kitagawa_takuji: HJのSony関連流出事件とAnonymousの記事読んだ。細かい見解の相違はあるものの今まで見た記事の中では一番良くまとめられていた。


kitagawa_takuji: CBS NewsにKevin Mitnickが出演してLulzSecについてコメント http://www.cbsnews.com/8301-504943_162-20069882-10391715.html


MasafumiNegishi: 0dayだったことが確認されたわけですねー “@mikkohypponen: Lulzsec used a zero-day to hack PBS: http://t.co/9ZC0eAJ


metasploit: Metasploit Pro/Express Update 20110608000003: http://r-7.co/lnMRoQ (Burp/Appscan/Acunetix Import, Cisco Anycon… (cont) http://deck.ly/~DWLAl

スポンサーサイト

テーマ : セキュリティ
ジャンル : コンピュータ

コメントの投稿

非公開コメント

プロフィール

bogus

Author:bogus
FC2ブログへようこそ!

最新記事
最新コメント
最新トラックバック
月別アーカイブ
カテゴリ
検索フォーム
RSSリンクの表示
リンク
ブロとも申請フォーム

この人とブロともになる

QRコード
QR
カレンダー
09-2017
SUN MON TUE WED THU FRI SAT
- - - - - 1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30

08   10

上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。