スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

7月2~4日のtwitterセキュリティクラスタ

なぜか7月に入ってバタバタしています。猫は暑くてぐったりしています。

XSSかSQLインジェクションについて思うところですか、一般の人には用語がわからず、普通のエンジニアは名前は知ってるけど思うところは特に… だと思いますが。
ockeghem :「XSSかSQLインジェクションについて思うところを述べよ」みたいな質問がありましたが、1~2枚ではとうてい書けません!

hasegawayosuke :@ockeghem 出版されるのを首を長くしてお待ちしています。

hasegawayosuke :SQLインジェクションについて思うところは1行で終わるなー。「興味ない!」

ockeghem :1行なら書けるか。「XSSはとてもやっかいだ」、「SQLインジェクション対策は、文字列連結でSQL組み立てずにプレースホルダ使え」。審査員が、これで良しとしてくださるかどうか(^o^)

s_hskz :XSS? ぼくは、一貫して、「クロスサイト evil コンテンツ」という名称に変えたほうが良いと感じている。 その心は? 別にスクリプトじゃなくていいじゃん? という。


果たして何人が興味あるかわかりませんが、出たら買います。
hasegawayosuke :オライリーのHacksシリーズみたいに、数ページで小さいネタを取り上げたかたちのXSSだけの本みたいなのあると楽しそう。

ikepyon :@hasegawayosuke 出すんですね。期待して待ってますw

ockeghem :@ikepyon 今頃、日本中の出版社で企画会議やっていると思うw


まだまだ募集中のセプキャンについて。
sonodam :ダータで参加できるとか、あご足+宿泊飯代付きとか、すごい講師陣に教えてもらえるとか、たくさんの仲間をGETできるとかっていうよりも、「このイベントは、わたしの将来を左右する重要なイベントなのです」と言い切る方が説得力あるような希ガス>対親 #spcamp


これは例になってない… それはともかく「これまでにキャプチャしたパケットの中で、印象に残ったものがありますか?」とか「自分自身で通信プロトコルを設計したことはありますか」とか、うわっ、キャンプのハードル、高すぎ… ?
hasegawayosuke :「2011年7月4日 応募用紙の記入例を公開しました。応募用紙作成の際の参考にしていただければ幸いです。」だそうで http://t.co/T6VV44P #spcamp

ockeghem :『クロスサイトスクリプティングあるいはSQLインジェクションについて自分の言葉で語ってみてください。※特に字数制限はありません』<そう来ましたか RT @hasegawayosuke: 「2011年7月4日 応募用紙の記入例を公開しました。応募用紙作成の際の参考にしていただければ


ソフトバンクのSSLについて。いろいろ使えないところが出てきているようです。
piyokango :まとめの記載を見ると完全に廃止ではないんでしょうか。http://bit.ly/asb7Pqhttp://bit.ly/log91v にはこの辺の記載は見受けられないのですが。/SoftBank SSL仕様変更への対処まとめ http://symple.jp/114.html

ockeghem :みずほ銀行さん、まだソフトバンク携帯から使えないようですね。SSLかケータイIDどちらかやめれば、すぐに動くと思うんだけど、「そんなセキュリティで大丈夫か」と突っ込みが入って踏み切れないと憶測(真実は、今までよりずっと安全になる、だけど)


見出しで惑わされますが、原因の8割が人的ミスで、漏洩した個人情報の数が一番多かった原因が不正アクセスで、不正アクセスの件数は少ないけど1回で漏れる人数が多いということなのですね。
itsec_jp :[Bot] #ITSec_JP 2010年個人情報漏えい調査結果?漏えい人数トップの原因は不正アクセス http://goo.gl/fb/khibx

itsec_jp :[Bot] #ITSec_JP JNSAが個人情報漏えいに関する調査報告書を公開、漏えい原因の8割が人的ミス http://goo.gl/fb/hP9Lc


その他気になったことはこのあたり。
yujikosuga :リアルな"なりすまし" (spoofingについて調べてたら出てきた) http://t.co/KyMFdpb


mincemaker :ログイン名を admin にして登録したら Webアプリが落ちたわらい


sen_u :AppleのDBがAnonymousによってハッキングされる http://bit.ly/lTNvoM


expl01t :あら.三輪さんのコラム,最終回でしたか.お疲れ様でした.Reading: これからの企業におけるセキュリティ対策はこう変わる http://t.co/GDvMUV6


kaito834 :http://t.co/2HvQdNs で紹介されている PDF を半分ほど読んだ。このレポートでは Device Security Model で 5 つの項目を挙げている。 ...

kaito834 :. @kaito834 (1)Traditional Access Control, (2)Application Provenance, (3)Encryption, (4)Isolation, (5)Permissions-based access control。...

kaito834 :. @kaito834 ...このレポートでは、iOS は(1)(2)(3)(4)(5) 5 つをすべて実装、Android は (1)(4)(5) の 3 つを実装しているとしている。iOS には疎いので iOS 関連の部分が参考になった。


komeilipour :finance.yahoo.com cross-site-scripting (#XSS) Vulnerability http://goo.gl/2SbSI #Security #Yahoo


bulkneets :youtubeアカウントが紐づいてるとiframeで複数ドメインのcookieをsetしようとしてて、そうでない場合はmetaタグリフレッシュでfirst partyとしてcookieセットするのでログインできる


ripjyr :第4回愛媛情報セキュリティ勉強会のまとめ http://t.co/iRQvHpI


ockeghem :現象的には別人問題。Java記述のアプリ、高負荷で顕在化していることから、競合状態の脆弱性である可能性が高いですね。#wasbook 4.15参照 / 「iidaショッピング」におけるお客さま情報閲覧の不具合について | 2011年 |… http://htn.to/m9aLUv


sophosjpmktg :◆和訳しました◆Groupon 子会社から30万件のログイン情報が流出、その場しのぎの対応だったためバグ修正後も再び不具合が発生。原因を究明。http://t.co/oz3VUaL


MasafumiNegishi :ぐはっ、SCS/eEye/FFRのセミナーおもしろそうだけど、SANSとぶつかってるorz 「近年のハッキングによる脅威と対策~日米セキュリティスペシャリストから学ぶ自社インフラの守り方~」 http://bit.ly/koF5GO


sen_u :JPCERT満永さんのお話。わ、1万円!// 最近のハッカー集団による攻撃の動向とその対策: GLOCOM http://www.glocom.ac.jp/2011/07/post_159.html


スポンサーサイト

テーマ : セキュリティ
ジャンル : コンピュータ

コメントの投稿

非公開コメント

プロフィール

bogus

Author:bogus
FC2ブログへようこそ!

最新記事
最新コメント
最新トラックバック
月別アーカイブ
カテゴリ
検索フォーム
RSSリンクの表示
リンク
ブロとも申請フォーム

この人とブロともになる

QRコード
QR
カレンダー
08-2017
SUN MON TUE WED THU FRI SAT
- - 1 2 3 4 5
6 7 8 9 10 11 12
13 14 15 16 17 18 19
20 21 22 23 24 25 26
27 28 29 30 31 - -

07   09

上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。