7月2～4日のtwitterセキュリティクラスタ

なぜか7月に入ってバタバタしています。猫は暑くてぐったりしています。

XSSかSQLインジェクションについて思うところですか、一般の人には用語がわからず、普通のエンジニアは名前は知ってるけど思うところは特に…　だと思いますが。

ockeghem :「XSSかSQLインジェクションについて思うところを述べよ」みたいな質問がありましたが、1～2枚ではとうてい書けません!

hasegawayosuke :@ockeghem 出版されるのを首を長くしてお待ちしています。

hasegawayosuke :SQLインジェクションについて思うところは１行で終わるなー。「興味ない！」

ockeghem :1行なら書けるか。「XSSはとてもやっかいだ」、「SQLインジェクション対策は、文字列連結でSQL組み立てずにプレースホルダ使え」。審査員が、これで良しとしてくださるかどうか(^o^)

s_hskz :XSS? ぼくは、一貫して、「クロスサイト evil コンテンツ」という名称に変えたほうが良いと感じている。　その心は？ 別にスクリプトじゃなくていいじゃん？　という。

果たして何人が興味あるかわかりませんが、出たら買います。

hasegawayosuke :オライリーのHacksシリーズみたいに、数ページで小さいネタを取り上げたかたちのXSSだけの本みたいなのあると楽しそう。

ikepyon :@hasegawayosuke 出すんですね。期待して待ってますw

ockeghem :@ikepyon 今頃、日本中の出版社で企画会議やっていると思うw

まだまだ募集中のセプキャンについて。

sonodam :ダータで参加できるとか、あご足＋宿泊飯代付きとか、すごい講師陣に教えてもらえるとか、たくさんの仲間をGETできるとかっていうよりも、「このイベントは、わたしの将来を左右する重要なイベントなのです」と言い切る方が説得力あるような希ガス＞対親 #spcamp

これは例になってない…　それはともかく「これまでにキャプチャしたパケットの中で、印象に残ったものがありますか？」とか「自分自身で通信プロトコルを設計したことはありますか」とか、うわっ、キャンプのハードル、高すぎ…　？

hasegawayosuke :「2011年7月4日 応募用紙の記入例を公開しました。応募用紙作成の際の参考にしていただければ幸いです。」だそうで http://t.co/T6VV44P #spcamp

ockeghem :『クロスサイトスクリプティングあるいはSQLインジェクションについて自分の言葉で語ってみてください。※特に字数制限はありません』<そう来ましたか RT @hasegawayosuke: 「2011年7月4日 応募用紙の記入例を公開しました。応募用紙作成の際の参考にしていただければ

ソフトバンクのSSLについて。いろいろ使えないところが出てきているようです。

piyokango :まとめの記載を見ると完全に廃止ではないんでしょうか。http://bit.ly/asb7Pqやhttp://bit.ly/log91v にはこの辺の記載は見受けられないのですが。／SoftBank SSL仕様変更への対処まとめ http://symple.jp/114.html

ockeghem :みずほ銀行さん、まだソフトバンク携帯から使えないようですね。SSLかケータイIDどちらかやめれば、すぐに動くと思うんだけど、「そんなセキュリティで大丈夫か」と突っ込みが入って踏み切れないと憶測（真実は、今までよりずっと安全になる、だけど）

見出しで惑わされますが、原因の8割が人的ミスで、漏洩した個人情報の数が一番多かった原因が不正アクセスで、不正アクセスの件数は少ないけど1回で漏れる人数が多いということなのですね。

itsec_jp :[Bot] #ITSec_JP 2010年個人情報漏えい調査結果?漏えい人数トップの原因は不正アクセス http://goo.gl/fb/khibx

itsec_jp :[Bot] #ITSec_JP JNSAが個人情報漏えいに関する調査報告書を公開、漏えい原因の8割が人的ミス http://goo.gl/fb/hP9Lc

その他気になったことはこのあたり。

yujikosuga :リアルな"なりすまし" （spoofingについて調べてたら出てきた） http://t.co/KyMFdpb

mincemaker :ログイン名を admin にして登録したら Webアプリが落ちたわらい

sen_u :AppleのDBがAnonymousによってハッキングされる http://bit.ly/lTNvoM

expl01t :あら．三輪さんのコラム，最終回でしたか．お疲れ様でした．Reading: これからの企業におけるセキュリティ対策はこう変わる http://t.co/GDvMUV6

kaito834 :http://t.co/2HvQdNs で紹介されている PDF を半分ほど読んだ。このレポートでは Device Security Model で 5 つの項目を挙げている。 ...

kaito834 :. @kaito834 (1)Traditional Access Control, (2)Application Provenance, (3)Encryption, (4)Isolation, (5)Permissions-based access control。...

kaito834 :. @kaito834 ...このレポートでは、iOS は(1)(2)(3)(4)(5) 5 つをすべて実装、Android は (1)(4)(5) の 3 つを実装しているとしている。iOS には疎いので iOS 関連の部分が参考になった。

komeilipour :finance.yahoo.com cross-site-scripting (#XSS) Vulnerability http://goo.gl/2SbSI #Security #Yahoo

bulkneets :youtubeアカウントが紐づいてるとiframeで複数ドメインのcookieをsetしようとしてて、そうでない場合はmetaタグリフレッシュでfirst partyとしてcookieセットするのでログインできる

ripjyr :第4回愛媛情報セキュリティ勉強会のまとめ http://t.co/iRQvHpI

ockeghem :現象的には別人問題。Java記述のアプリ、高負荷で顕在化していることから、競合状態の脆弱性である可能性が高いですね。#wasbook 4.15参照 / 「iidaショッピング」におけるお客さま情報閲覧の不具合について | 2011年 |… http://htn.to/m9aLUv

sophosjpmktg :◆和訳しました◆Groupon 子会社から30万件のログイン情報が流出、その場しのぎの対応だったためバグ修正後も再び不具合が発生。原因を究明。http://t.co/oz3VUaL

MasafumiNegishi :ぐはっ、SCS/eEye/FFRのセミナーおもしろそうだけど、SANSとぶつかってるorz 「近年のハッキングによる脅威と対策～日米セキュリティスペシャリストから学ぶ自社インフラの守り方～」 http://bit.ly/koF5GO

sen_u :JPCERT満永さんのお話。わ、1万円！// 最近のハッカー集団による攻撃の動向とその対策: GLOCOM http://www.glocom.ac.jp/2011/07/post_159.html