スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

7月8日のtwitterセキュリティクラスタ

昨夜は@ITのセミナーがあったようですが、会場内の雰囲気がもうw 仕事しながらTLを眺めていましたが行きたかったなあ。
marinedolf :誰だか分からない~ #OpItmedia


takuho_kay :おやっ!?お客さんにも……
#OpItmedia

sagami22 :

- 集合写真w #OpItmedia


セミナーに関するつぶやきで気になったものをちょっとピックアップ。
piyokango :セキュリティ記事を記載する側にとってブクマの『後で吊るす』タグは恐怖。 #Opitmedia

sen_u :攻撃者によってログが消されてる状態を「攻撃された痕跡がない」と発表。すると、あら不思議。嘘は書いてないのに、攻撃がなかったように見える広報マジック。 #OpItmedia

office_acer :アンダーグラウンドを完全に潰したら技術力も潰す事になる。じゃあどうするかというのは、日本では難しいのだけど外国では戦略としているところもある。 #OpItmedia

kitagawa_takuji :企業がハッカーを雇うと言っても雇った企業がHBGaryやEndGamesみたいなブラックな企業ということもありますね。#OpItmedia


先日公表されたIE6におけるのクリップボードが読み書きできる脆弱性について、発見者の星屑氏からの解説があります。まだIE6を使ってる会社もありますのでパッチが出ないとドキドキですが、特殊な状況じゃないと発生しないみたいなので安心です。
s_hskz :http://t.co/Ggo950g の件、私による報告当時のデータが私用PCのクラッシュその他の理由でで散逸している…けれど概要を大脳から絞り出したので書き留めておく。 #JVN63451350

s_hskz :JVN63451350 は、Internet Explorer におけるクリップボードの操作に関する脆弱性についてだ。 一般のユーザが使うであろうセキュリティに関する初期設定において、恐らく【危険はない】。 #JVN63451350

s_hskz :Internet Explorer を【特定】の設定で使用すると、ウェブサイト側からクリップボードの内容を読み書きされてしまう。その設定とはなにか? #JVN63451350

s_hskz :[制限付きサイト] ゾーンにおいて [スクリプトによる貼り付け処理の許可] を [無効]にしているにも関わらず、この設定が効かないので、脆弱である、というのが、報告の骨子だ。 #JVN63451350

s_hskz :その他のゾーンと、本スイッチのオンオフの組み合わせでは危険なことは起こらないことを報告当時に、確認した。#JVN63451350

s_hskz :また、該当脆弱性は、クリップボードを操作する【特定の】JScriptの関数のみに発現していた。(どの関数であったのかは現時点で当時作成したPoCが散逸しているほか、諸々の事由で個人的に再現環境も作成できないのでご勘弁頂きたい。) 。#JVN63451350

s_hskz :よく使われているほうの関数ではない、といった印象を当時もったことだけは記憶している。 現象を確認したコードは教科書的ではなかった。 #JVN63451350

s_hskz :では、当該脆弱性はどのような使用方法において危険だったか?まさしく私が当時使っていた他者にはお勧めできない特殊な運用方法においてだった。 #JVN63451350

s_hskz :outlookexpress でHTMLメールをJScript許可にて開くが、ActiveXコントロールおよび、クリップボード操作は禁止するというものだった。 #JVN63451350

s_hskz :OutlookExpress でHTMLメールを開くときには、制限付きサイトゾーンが用いられていた。さきの設定が安全かどうか確認する必要があり、考え付くだけの基本的なサンプルを送受信しているうちに当該脆弱性を発見したのだった。 #JVN63451350

s_hskz :今考えればおかしな設定なのだが、「HTMLメールみたいよ、JavaScriptつきで。でも危険なのはやだなぁ」という意見が社内の要望として強かったのでそれならばと、ギリギリの設定を探し求めてのことだった。#JVN63451350

s_hskz :当該脆弱性の発見を根拠に、社内にあった、贅沢な要望は封殺することにして、メール運用の基準を改定した覚えがある。 #JVN63451350

s_hskz :重要なので再言するが、JVN63451350 は、Internet Explorer におけるクリップボードの操作に関する脆弱性について。 一般のユーザが使うであろうセキュリティに関する初期設定において、恐らく【危険はない】。 #JVN63451350

s_hskz :また、MicroSoft社からの連絡によれば、ことIE6に関しては、本バグを修正することはかなり難しいとのことだった。OSの深い部分に関連しているので、ちょっとやそっとじゃ治らなかったっぽい。#JVN63451350

s_hskz :従って、IE6に関しては、絶対にパッチが出ないものと考えられる。 #JVN63451350

s_hskz :『レジストリの設定が効かない』という稀有な現象だったので興味深いといえば確かにそうだった。特殊な運用を考えない限り発現しないバグでもあった。一般には安心してよいレベルのバグでもあった。 #JVN63451350

s_hskz :以上で、 #JVN63451350 に関するつぶやきを終えたいと思う。 なお、筆者は現在、体調を壊しており、日常とは離れた環境下でつぶやいている。 ブログなどで奇麗でわかりやすい報告をすべきだが、おゆるし頂きたい。変なことしないとブログにアクセスできないのだ。


その他気になったことはこのあたり。
ockeghem :銀行向けのガイドラインに「レンタルサーバーでオンラインバンキングを運営してはならない」と追記しようと提案したら、なにを馬鹿なことをと一笑に付されると思いますが、secure.softbank.ne.jpを利用しているメガバンク各社は、レンタルサーバーを利用しているのと同じことです


ockeghem :Webアプリのストレステストは実際に負荷を掛けるので、原発のストレステストと書かれると、「そんなことして大丈夫か?」と思ってしまいますよw 実際には模擬実験なんですかね


taiji_k :IANA "DNSSEC Manager"のfingerprintを電話で確認しました。 Key ID: 0x0F6C91D2 fingerprint: 2FBB 91BC AAEE 0ABE 1F80 31C7 D1AF BCE0 0F6C 91D2


s_hskz :Clickjacking Attacks Unresolved ( http://t.co/SIZBgOH ) これは?


kchr :セキュリティ業界の人が英語のリスニング力をつけようとおもったらSteve GibsonのSecurity Now!というpodcastがオススメです。題材が最近の技術で、英語に癖がなく、掛け合いがあって日常会話に近い。
スポンサーサイト

テーマ : セキュリティ
ジャンル : コンピュータ

コメントの投稿

非公開コメント

プロフィール

bogus

Author:bogus
FC2ブログへようこそ!

最新記事
最新コメント
最新トラックバック
月別アーカイブ
カテゴリ
検索フォーム
RSSリンクの表示
リンク
ブロとも申請フォーム

この人とブロともになる

QRコード
QR
カレンダー
08-2017
SUN MON TUE WED THU FRI SAT
- - 1 2 3 4 5
6 7 8 9 10 11 12
13 14 15 16 17 18 19
20 21 22 23 24 25 26
27 28 29 30 31 - -

07   09

上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。