9月2~4日のtwitterセキュリティクラスタ
GoogleのDNSサーバーのレコードが攻撃されたのか、違うレコードが表示されていたようです。何があったのでしょうか。
AJAXやJQueryなどでのXSSは単純でないものが多い気がしますので、対策する側は簡単ではないのだろうなと思います。うまく着地点が見つかればいいのですが。
その他気になったことはこのあたり。
akedon :久しぶりに日記書いてみた。8.8.8.8 にDNSポイゾニング? d.hatena.ne.jp/aked0n/20110904 > gmail.jp のDNS応答が…
totoromasaki :@null @takoratta @hidetokazawa @Fumi abuse@google 宛にメール(#864295328)を送りましたが、gmail.jp に於いて、whoisのDNS情報と、実際に使われてる nslookup のnsレコードに、差異が出てます。
akedon :gmail.jp のリソースレコードは 8.8.8.8 からは消えたっぽい、おつ>中の人
AJAXやJQueryなどでのXSSは単純でないものが多い気がしますので、対策する側は簡単ではないのだろうなと思います。うまく着地点が見つかればいいのですが。
ockeghem :日記書いた / PHPのイタい入門書を読んでAjaxのXSSについて検討した(1) - ockeghem(徳丸浩)の日記 http://htn.to/dNfP71
ockeghem :第2回はだいたい書いています。第3回は半分くらいで、対策がまだ書けてない。第3回は、JSON等の直接ブラウジングの話題です
hasegawayosuke :HTML側はjQuery 使ってても、やり取りするAjaxのデータ部分を直接ひらいてXSSとか。
ockeghem :@hasegawayosuke それは第3回に取り上げる予定です
hasegawayosuke :@ockeghem はい、そう期待して今はコメント差し控えていますw ただ、そのためには今の時点で「生データの原則」を強調し過ぎるのは…とちょっとだけ思いました。
ockeghem :Ajaxのセキュリティにどういう問題があって、どうすれば防げるかというのは一応おっかけているつもりだけど、今回のをきっかけに、「どう書くのが正しいのか」という議論の *きっかけ* にしたいです。いきなり正解が書けるとは思っていません
hasegawayosuke :Ajaxのセキュリティについて、XSSについては自分のなかでは正解もってるけど開発してる人の現実とはたぶん合致してないし、XSS以外のプライバシー的な面についてもっと勉強しないとマズい感じ。
その他気になったことはこのあたり。
MasafumiNegishi :20才と24才の男性2人がイギリスで逮捕。うち一人は Kaylaか? - Suspected hackers arrested over Anonymous/LulzSec internet attacks http://bit.ly/o0QSsA
MasafumiNegishi :ちなみに先程の Kaylaは LulzSecのコアメンバー6人のうちの1人で、2月の HBGary Federalへの侵入を主導した人物だと言われている。過去のインタビューなどでは16才の女性であると自ら語っていたが、実際には男性であると言われていた。
gloomynews :Wikileaksが米公電全部を修正なしで公開した件で、オーストラリア政府がアサンジ氏を起訴する可能性。同国の情報局員の身元が暴露されているとして、マクリーランド司法相が犯罪行為にあたると説明。 http://goo.gl/X5lW4※ガーディアン紙の陰謀か?!
piyokango :最近RSSのPRでよく表示される「セキュリティ対策にRSSを活用! - クリック1回でRSSに最新セキュリティ情報が集まる!OCNセキュリティ♪」を見てみたでござるの巻。 https://www.sec.ocn.ne.jp/
matsuu :[share]ほへー http://j.mp/o6FELb RSA、AES暗号をJavaScriptで実現できる「cryptico.js」
mayahu32 :[kernel][Alfheim]カーネルモードデバッガ「Alfheim」の開発に着手しました d.hatena.ne.jp/mayahu32/20110…
hasegawayosuke :IPA 棚卸シリーズの一環。2007年の届け出。 jvn.jp/jp/JVN30221194… "JVN#30221194: Sage において任意のスクリプトが実行される脆弱性"
jkwkc :TrueCrypt 7.1 was just released. http://truecrypt.org
roaring_dog :Check Point Experience Report:セキュリティはビジネスと人に立脚すべし、Check Pointが新構想 - ITmedia エンタープライズ itmedia.co.jp/enterprise/art…
スポンサーサイト