スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

6月24日のtwitterセキュリティクラスタ

それにしてもクソ暑くて脳髄がとろけそうです。

jQueryのXSS問題について。jQuery Mobileだけじゃなく、注意しないとXSSを引き起こしやすいと言うことで注意しないといけないみたいですね。
rocaz :言われてみればその通り。でも言われないとなかなか気付かないところかも / jQueryにおけるXSSを引き起こしやすい問題について - 金利0無利息キャッシング ? キャッシングできます - subtech http://j.mp/j5zjWp

bulkneets :任意のXPathやCSSセレクタが走ると危険という状況はあんまりなくて(糞重いクエリでDoSになるというのはある) セレクタを意図してかいたらタグが生成→任意のJavaScript実行 というのはjQuery固有の事情 http://bit.ly/lamG8b


面白いXSSは気になるところです。
hasegawayosuke :found XSS in live.com

hasegawayosuke :ちょっとおもしろいタイプのXSSだったけど、IE9はきちんとブロックした。Chromeはブロックしなかった。

hasegawayosuke :ていうか、ここんところ見つけてるXSSは面白いものが多い。

hasegawayosuke :あ、IE9でも動くな。「XSSを防止するために、このページを変更しました。」って出るくせに。


昨日はアイティメディアのイベントでパスワードの話で盛り上がっていたようです。楽しそうだったので行きたかったです。その中で気になったツイートをピックアップ。
naokichi :#itm_charity アカウントロックで対策、でもジョーアカウントとかリバースブルートフォースには単純には対策できない

ntsuji :オンラインクラックのパターンの話。ID == PASSといったjoeアカウント狙いかパスワードを固定したリバースブルートフォース狙いが現実的。ボクも検査のときはまずそれを試しますね。あとは組織やシステム名に関連しそうなパスワードの推測とかをします。 #itm_charity

ntsuji :rainbow tableは販売されている。もちろんボクは買いましたよw #itm_charity

ntsuji :未知のハッシュ関数でも、予めダミーユーザを登録してから、データを抜いてしまえば、ダミーユーザの元のパスワードは分かっているのでアルゴリズムが推測できちゃうかもなのです。 #itm_charity

ntsuji :パスワードの保存ではハッシュとともにソルト、ストレッチング使って守ろう。それでも心配なら暗号化するのもアリ。 #itm_charity

haruyama :ハッシュ関数によって速度が違うので, ストレッチ回数が同じでも効果が同じにはならないのに注意 #itm_charity

office_acer :いざパスワードが漏洩した時に、スキルがある攻撃者にとっては平文も単にハッシュ関数を通しただけのものも大差ない(からソルトやストレッチングが重要)。 #itm_charity

MasafumiNegishi :「ソルトもストレッチングもない素のハッシュであれば、平文で保存しているのとリスクはそんなに大きく変わらない。」ということが、そんなに認識されてないってことでしょうかね。ソルト、ストレチングの必要性について、もっと広める必要がある、というお話。 #itm_charity


そして、もう次回イベント開催が決まってるようです… って次々回なのかな。
marinedolf :@MasafumiNegishi http://bit.ly/juiOa6 第5回アイティメディア チャリティイベント情報漏えい事件についてあれこれ語ろう 2011年7月8日19:30~ アキバプラザ6F



その他気になったことはこのあたり。
sen_u :JVNで2008年のサイボウズの脆弱性が複数公開。報告者は私なんですがこの数年寝かされていた理由は知りません。 http://bit.ly/kDaVtS http://bit.ly/mjWdkC


bakera :[メモ] 「定期的にログ解析さえしていれば簡単に気付けたはず。そんなごく基本的なことさえしていなかったことは明白」 言うのは簡単ですが、実行されているのでしょうか。 http://itpro.nikkeibp.co.jp/article/NEWS/20110623/361688/


securityshell :XSSF - Cross-Site Scripting Framework v.2.0 Released http://goo.gl/fb/oApUj #tools #xss

スポンサーサイト

テーマ : セキュリティ
ジャンル : コンピュータ

コメントの投稿

非公開コメント

プロフィール

bogus

Author:bogus
FC2ブログへようこそ!

最新記事
最新コメント
最新トラックバック
月別アーカイブ
カテゴリ
検索フォーム
RSSリンクの表示
リンク
ブロとも申請フォーム

この人とブロともになる

QRコード
QR
カレンダー
10-2017
SUN MON TUE WED THU FRI SAT
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30 31 - - - -

09   11

上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。