7月2~4日のtwitterセキュリティクラスタ
なぜか7月に入ってバタバタしています。猫は暑くてぐったりしています。
XSSかSQLインジェクションについて思うところですか、一般の人には用語がわからず、普通のエンジニアは名前は知ってるけど思うところは特に… だと思いますが。
果たして何人が興味あるかわかりませんが、出たら買います。
まだまだ募集中のセプキャンについて。
これは例になってない… それはともかく「これまでにキャプチャしたパケットの中で、印象に残ったものがありますか?」とか「自分自身で通信プロトコルを設計したことはありますか」とか、うわっ、キャンプのハードル、高すぎ… ?
ソフトバンクのSSLについて。いろいろ使えないところが出てきているようです。
見出しで惑わされますが、原因の8割が人的ミスで、漏洩した個人情報の数が一番多かった原因が不正アクセスで、不正アクセスの件数は少ないけど1回で漏れる人数が多いということなのですね。
その他気になったことはこのあたり。
XSSかSQLインジェクションについて思うところですか、一般の人には用語がわからず、普通のエンジニアは名前は知ってるけど思うところは特に… だと思いますが。
ockeghem :「XSSかSQLインジェクションについて思うところを述べよ」みたいな質問がありましたが、1~2枚ではとうてい書けません!
hasegawayosuke :@ockeghem 出版されるのを首を長くしてお待ちしています。
hasegawayosuke :SQLインジェクションについて思うところは1行で終わるなー。「興味ない!」
ockeghem :1行なら書けるか。「XSSはとてもやっかいだ」、「SQLインジェクション対策は、文字列連結でSQL組み立てずにプレースホルダ使え」。審査員が、これで良しとしてくださるかどうか(^o^)
s_hskz :XSS? ぼくは、一貫して、「クロスサイト evil コンテンツ」という名称に変えたほうが良いと感じている。 その心は? 別にスクリプトじゃなくていいじゃん? という。
果たして何人が興味あるかわかりませんが、出たら買います。
hasegawayosuke :オライリーのHacksシリーズみたいに、数ページで小さいネタを取り上げたかたちのXSSだけの本みたいなのあると楽しそう。
ikepyon :@hasegawayosuke 出すんですね。期待して待ってますw
ockeghem :@ikepyon 今頃、日本中の出版社で企画会議やっていると思うw
まだまだ募集中のセプキャンについて。
sonodam :ダータで参加できるとか、あご足+宿泊飯代付きとか、すごい講師陣に教えてもらえるとか、たくさんの仲間をGETできるとかっていうよりも、「このイベントは、わたしの将来を左右する重要なイベントなのです」と言い切る方が説得力あるような希ガス>対親 #spcamp
これは例になってない… それはともかく「これまでにキャプチャしたパケットの中で、印象に残ったものがありますか?」とか「自分自身で通信プロトコルを設計したことはありますか」とか、うわっ、キャンプのハードル、高すぎ… ?
hasegawayosuke :「2011年7月4日 応募用紙の記入例を公開しました。応募用紙作成の際の参考にしていただければ幸いです。」だそうで http://t.co/T6VV44P #spcamp
ockeghem :『クロスサイトスクリプティングあるいはSQLインジェクションについて自分の言葉で語ってみてください。※特に字数制限はありません』<そう来ましたか RT @hasegawayosuke: 「2011年7月4日 応募用紙の記入例を公開しました。応募用紙作成の際の参考にしていただければ
ソフトバンクのSSLについて。いろいろ使えないところが出てきているようです。
piyokango :まとめの記載を見ると完全に廃止ではないんでしょうか。http://bit.ly/asb7Pqやhttp://bit.ly/log91v にはこの辺の記載は見受けられないのですが。/SoftBank SSL仕様変更への対処まとめ http://symple.jp/114.html
ockeghem :みずほ銀行さん、まだソフトバンク携帯から使えないようですね。SSLかケータイIDどちらかやめれば、すぐに動くと思うんだけど、「そんなセキュリティで大丈夫か」と突っ込みが入って踏み切れないと憶測(真実は、今までよりずっと安全になる、だけど)
見出しで惑わされますが、原因の8割が人的ミスで、漏洩した個人情報の数が一番多かった原因が不正アクセスで、不正アクセスの件数は少ないけど1回で漏れる人数が多いということなのですね。
itsec_jp :[Bot] #ITSec_JP 2010年個人情報漏えい調査結果?漏えい人数トップの原因は不正アクセス http://goo.gl/fb/khibx
itsec_jp :[Bot] #ITSec_JP JNSAが個人情報漏えいに関する調査報告書を公開、漏えい原因の8割が人的ミス http://goo.gl/fb/hP9Lc
その他気になったことはこのあたり。
yujikosuga :リアルな"なりすまし" (spoofingについて調べてたら出てきた) http://t.co/KyMFdpb
mincemaker :ログイン名を admin にして登録したら Webアプリが落ちたわらい
sen_u :AppleのDBがAnonymousによってハッキングされる http://bit.ly/lTNvoM
expl01t :あら.三輪さんのコラム,最終回でしたか.お疲れ様でした.Reading: これからの企業におけるセキュリティ対策はこう変わる http://t.co/GDvMUV6
kaito834 :http://t.co/2HvQdNs で紹介されている PDF を半分ほど読んだ。このレポートでは Device Security Model で 5 つの項目を挙げている。 ...
kaito834 :. @kaito834 (1)Traditional Access Control, (2)Application Provenance, (3)Encryption, (4)Isolation, (5)Permissions-based access control。...
kaito834 :. @kaito834 ...このレポートでは、iOS は(1)(2)(3)(4)(5) 5 つをすべて実装、Android は (1)(4)(5) の 3 つを実装しているとしている。iOS には疎いので iOS 関連の部分が参考になった。
komeilipour :finance.yahoo.com cross-site-scripting (#XSS) Vulnerability http://goo.gl/2SbSI #Security #Yahoo
bulkneets :youtubeアカウントが紐づいてるとiframeで複数ドメインのcookieをsetしようとしてて、そうでない場合はmetaタグリフレッシュでfirst partyとしてcookieセットするのでログインできる
ripjyr :第4回愛媛情報セキュリティ勉強会のまとめ http://t.co/iRQvHpI
ockeghem :現象的には別人問題。Java記述のアプリ、高負荷で顕在化していることから、競合状態の脆弱性である可能性が高いですね。#wasbook 4.15参照 / 「iidaショッピング」におけるお客さま情報閲覧の不具合について | 2011年 |… http://htn.to/m9aLUv
sophosjpmktg :◆和訳しました◆Groupon 子会社から30万件のログイン情報が流出、その場しのぎの対応だったためバグ修正後も再び不具合が発生。原因を究明。http://t.co/oz3VUaL
MasafumiNegishi :ぐはっ、SCS/eEye/FFRのセミナーおもしろそうだけど、SANSとぶつかってるorz 「近年のハッキングによる脅威と対策~日米セキュリティスペシャリストから学ぶ自社インフラの守り方~」 http://bit.ly/koF5GO
sen_u :JPCERT満永さんのお話。わ、1万円!// 最近のハッカー集団による攻撃の動向とその対策: GLOCOM http://www.glocom.ac.jp/2011/07/post_159.html
スポンサーサイト