9月7日のtwitterセキュリティクラスタ

実は今日から土曜日まで出張なので今週の更新は今日までとなります。ではー。

最近はやりの「ザ・インタビューズ」にはCSRF脆弱性があってパスワードリセット可能だそうです。

bulkneets :開発担当者これぐらい読んでるでしょ http://bit.ly/qMncO3

mincemaker :まだCSRF対策されてないのか。200万PVとかインタビュー受けているのにたいへんですね。

bulkneets :ザ・インタビューズ最初っからパスワード再設定の機能ありましたっけ？

inoshiro :@bulkneets 8月29日に機能追加した旨のアナウンスがfacebookで流れてました。

bulkneets :ペパボ各位、ザ・インタビューズの担当者、アホです。

bulkneets :メールアドレスの変更にCSRF対策が無いままでパスワードリセット機能をつけてはいけません!!!!!

bulkneets :ハマチヤさんもこう言ってるしCSRF対策は流行ってからでも良いんだー → アカウント乗っ取れるようなCSRF放置

そして、徳丸さんの入門書チェック完結編。

ockeghem :日記書いた / PHPのイタい入門書を読んでAjaxのXSSについて検討した(3)～JSON等の想定外読み出しによる攻撃～ - ockeghem(徳丸浩)の日記 http://htn.to/oTTEUH

s_hskz :@ockeghem 「HTMLエスケープをサーバー側で行う」メリット、よくわかりません。定石の出力する直前にエスケープという意味では、クライアントの JavaScript層がinnerHTMLやwrite()等でHTMLを出力する直前にHTMLエスケープすべきかと…ご教示下さい。

ockeghem :@s_hskz 原則はそうですが、(1)高速化のためあらかじめHTMLレンダリングしたものをDBに突っ込む、(2)ブログのように仕様としてHTMLを書き込めるもの、(3)JSコーダがヘボなので、サーバー側でエスケープしないと心配・・・のような事情を観測しております

s_hskz :@ockeghem ご指導ありがとうございました。「JSコーダがヘボなので、サーバー側でエスケープ」というのはなんとも強烈ですね。

ockeghem :@s_hskz そうなんですが、なんとも妙な説得力を感じました(苦笑

bulkneets :メールアドレスの変更は「他の脆弱性(XSSなど)があった場合に備えて」「本人再確認の意味も兼ねて」パスワードの確認を入れればいい。

認証局が攻撃されてしまいグローバルサインの業務停止だそうです。

GlobalSign_JP :一連の認証局ハッキング犯を名乗る人物のブログにおいて、複数の認証局をハッキングしたとの声明がありました。弊社の名前も含まれているため調査を進めております。

kitagawa_takuji :RT @GlobalSign_JP 証明書発行業務停止のご連絡及びお詫び | SSLサーバ証明書ならグローバルサイン http://bit.ly/qTuGDZ

MasafumiNegishi :ComodoHackerが DigiNotarへの犯行声明の中で言及した他のCAの反応。GlobalSignは調査中とのこと。調査完了まで証明書発行業務を停止。 Security Response globalsign.com/company/press/… via @globalsign

nao_pcap :"詳細についての調査が終了するまで" 証明書発行業務停止のご連絡及びお詫び | SSLサーバ証明書ならグローバルサイン jp.globalsign.com/info/important…

MasafumiNegishi :もう一つ ComodoHackerに名前を挙げられたのは StartCom(StartSSL)だが、ここは6月にも不正侵入されている。もうダメダメだな。

kitagawa_takuji :@MasafumiNegishi StartComはWebサイトのデザインからして素人ぽいのですが、高木先生のところでも使われていますね。http://takagi-hiromitsu.jp

piyokango :#mycomj http://j.mp/qdoZxZ 偽証明書531個へ増加、調査進行中でさらに増える可能性 - DigiNotar問題

その他気になったことはこのあたり。

hasegawayosuke :いい加減、この間違いサンプルなおしませんかね＞IPA ipa.go.jp/security/vuln/…
hasegawayosuke :脆弱性の種類：クロスサイトスクリプティング ipa.go.jp/security/vuln/…

ymzkei5 :URL中の数値をずらしたら、他人の個人情報が書かれたPDFが閲覧できたと。 RT @MasafumiNegishi: お粗末… Toshiba in Rugby World Cup personal data compo cockup http://bit.ly/r9S9Eo

satorukanno :OpenSSL version 1.0.0eがリリースされた！ mail-archive.com/openssl-announ…@openssl.org/msg00107.html

hasegawayosuke :「国際レベルのセキュリティ技術者・研究者発掘の為のサポートセミナー 」 iajapan.org/bukai/isec/eve… こういうCFPとか、落ちてもいいのでどんどん応募すればいいと思う。って @07c00 さんが言ってた。

kenji_s :Togetter - 話題のPHP入門書『作りながら基礎から学ぶPHPによるWebアプリケーション入門』について http://ow.ly/6lg7a

biac :#カレログ 「弊社が企画に関わった書籍に関する不適切表現のお詫びについて」 http://karelog.jp/