8月23日のtwitterセキュリティクラスタ

@ockeghemさん祭りのようでした。1日に2つもインパクトのあるネタをありがとうございます。

ockeghem :「安全になったよ」というエントリよりも、「こんなに酷いよ」というエントリが、圧倒的に読まれますね。どちらも読んでもらいたいわけですが…まぁ仕方ないか…経験上分かっていることではあるんだけど、あらためて思いました

ockeghem :インパクトのあるPHPネタのブログを今日は2本も書いたので、さすがの僕もPHP愛が空になりました…というのは嘘で、ますますPHPがいとおしくなりましたw

ということで1つ目はPHP5.3.7に致命的なバグが発見されたことです。すでに5.3.8がリリースされていますが、なんでこんなことになってしまったのか…　とにかくびっくりです。早めに見つかってよかったですね。

ockeghem :日記書いた / 徳丸浩の日記: PHP5.3.7のcrypt関数に致命的な脆弱性(Bug #55439) http://htn.to/NE4DSZ

ockeghem :しかし、タイミング悪いよなー、PHP5.3.7でPDOの「一応の安全宣言」出したばかりなのよ、オレ 安全宣言なんか出すもんじゃないなー

ymzkei5 :これはヒドイ。 RT @ockeghem: 日記書いた / 徳丸浩の日記: PHP5.3.7のcrypt関数に致命的な脆弱性(Bug #5005439) http://htn.to/NE4DSZ

osamuh :致命的すぎて、書いてあることがしばらく理解（納得）できなかった RT @mtakahas: どうしてこうなった……。RT @ockeghem 日記書いた / 徳丸浩の日記: PHP5.3.7のcrypt関数に致命的な脆弱性(Bug #55439) http://htn.to/NE4DSZ

ockeghem :PHP5.3.7の問題で、MD5を使うことが問題という指摘がありますが、(1)パスワードハッシュという応用ではMD5は脆弱とは言えない、(2)古くから使っている場合ハッシュアルゴリズムの変更は容易でない、と思います。ハッシュアルゴリズムの移行についてはYAPCで（採択されたら）

ockeghem :PHP5.3.7の脆弱性が入った要因は、strcatを呼んでいる箇所があり潜在的に脆弱だというので安全なstrlcatに直した。ところが、呼び出し方を間違えていて、テストもしていなかった…ということのようですね。良かれと思った修正があだになるという、ありがちな罠

ockeghem :PHP5.3.8リリースされましたね

ockeghem :日記書いた / 徳丸浩の日記: PHP5.3.7のcrypt関数のバグはこうして生まれた http://htn.to/mg2TXD

そして2つ目はもしドラのパロディーのタイトルですが、内容はパロディーではないですよ。

ockeghem :日記書いた / もし『よくわかるPHPの教科書』の著者が徳丸浩の『安全なWebアプリケーションの作り方』を読んだら - ockeghem(徳丸浩)の日記 http://htn.to/EXLKTF

data_head :「もし徳」とか店頭に並ぶのを妄想した…。とある高校のコンピュータ部の女子マネージャが、いけてないプログラムを書く男子部員をビシビシ鍛えるの。実はその女子マネージャは徳丸先生の娘さんと言うオチ。

hogehoge1192 :もはや趣味でもセキュリティについて十分留意しないと危険な時代になった　もし『よくわかるPHPの教科書』の著者が徳丸浩の『安全なWebアプリケーションの作り方』を読んだら - ockeghem(徳丸浩)の日記d.hatena.ne.jp/ockeghem/20110…

なんで必読でないのか、そこが知りたいですよね。

mekpsy :技術者パラノイアを哂おう。徳丸本は別に必読ではないよとあえて言う。 / もし『よくわかるPHPの教科書』の著者が徳丸浩の『安全なWebアプリケーションの作り方』を読んだら - ockeghem(徳丸浩)の日記 http://htn.to/2pEdPM

そして、引き続きiOSのUDID廃止問題について。わからない人やわかろうとしない人が入り乱れて大変ですね。

rocaz :昨夜(今朝方)のをまとめると「セキュリティ・ネットワークは素人だ」「問題点は専門家に指摘して欲しい」という自尊心も自立心も責任感も感じられない態度。今回の問題ぐらいググればいいのにそれも無しで説明しろという。断ると「それでは啓蒙にならない」と。いやだから僕は技術者辞めろと言ってる

fladdict :UDID公式廃止はむしろラッキーだった人も多いはず。なにも考えずにUDIDをキーにしたアプリはiPhone5乗り換えでキーが変わって全滅、責任問題になるはずだった。

SH1N0 :スマフォのリワード広告におけるUDIDに依存しない設計案 - snippets from shinichitomita’s journal http://bit.ly/on8fco

mincemaker :今回の UDID についてのプライバシー問題は、こちらの記事が詳しいので周回遅れで来た人は最初に読むといいかも。 d.hatena.ne.jp/shinichitomita…

bakera :UDIDの問題点や対応策が良くわからないという人もいらっしゃると思いますが、去年の高木さんのこの話を読むと結構あっさり理解できると思います。 takagi-hiromitsu.jp/diary/20100619…

mincemaker :「セキュリティの専門家がいないから、知ってる知識の範囲で開発する」という文字列を見た。いやいや、勉強しろよw

個人的にはこの流れが面白かったです。とりあえず逃亡。

MKajimoto :アップルのUDIDの話も22日の時点で英語でつぶやいても、日本で騒ぐのは1日以上遅れてから、それで盛り上がるのも何だかなあ。世界の動きに24時間は遅れているのが日本。盛り上がり方が半端でないのもうんざり。<

HiromitsuTakagi :で？あなたは何か役に立つことをやったのかね？ RT @MKajimoto アップルのUDIDの話も22日の時点で英語でつぶやいても、日本で騒ぐのは1日以上遅れてから、それで盛り上がるのも何だかなあ。世界の動きに24時間は遅れているのが日本。盛り上がり方が半端でないのもうんざり。

sakichan :とりあえず、高木さんの公式RTの後で鍵かけたようですね RT @HiromitsuTakagi: で？あなたは何か役に立つことをやったのかね？ RT @MKajimoto アップルのUDIDの話も22日の時点で英語でつぶやいても、日本で騒ぐのは1日以上遅れてから

その他に気になったことはこのあたり。

JSECTEAM :ブログをポストしました。「ハッカーを雇う？ 情報セキュリティの今後いかに？ 」 http://bit.ly/pVNami#JSECTEAM

mayahu32 :今年のキャンプ生によるCTFチーム「Gen2Agent」がこっそり発足しました #spcamp

MasafumiNegishi :8/10に起きた香港取引所への DDoS攻撃に関して、香港警察は29才の男性を容疑者として逮捕。Hong Kong police arrest man over DDoS attack on stock exchange
http://bit.ly/pPDZ1k

kitagawa_takuji :サイバー攻撃の実態公表は「オオカミ少年」か？　セキュリティ2社が火花 - ITmedia エンタープライズ itmedia.co.jp/enterprise/art…

kitagawa_takuji :共通点・傾向は？　2011年上期の情報漏えい企業に起きたこと － TechTargetジャパン 情報セキュリティ techtarget.itmedia.co.jp/tt/news/1108/2…

ntsuji :DEFCONで買った手裏剣はコレ。 http://bit.ly/k4QNSn

ntsuji :実行形式ファイルなのに「.doc」、拡張子を偽装するウイルスに注意 - nkbp.jp/mTUPBf @hasegawayosukeさんの顔が浮かびました。exeがdocとかドキュメント系拡張子にされるとファイルを開く率ってどれくらい上がるか気になりましたよ。

connect24h :情報セキュリティプロフェッショナルをめざそう！(Sec. Pro. Hacks) - 国内企業の情報セキュリティ対策実態調査結果 http://bit.ly/p34WA3