11月21日のtwitterセキュリティクラスタ

参議院もやられてしまっていた模様です。ドメインコントローラがやられてしまったら配下のクライアント全部ダメでしょうね。ご愁傷様です。

47news :速報:国会議員のパソコンなどに攻撃メールが相次いだ問題で参院全議員のＩＤとパスワード流出の可能性。 http://bit.ly/17n4iz

kitagawa_takuji :参院も全議員のＩＤ流出か…メール見られた疑い : 社会 : YOMIURI ONLINE（読売新聞） yomiuri.co.jp/national/news/…　感染の疑いがあるのは利用者のＩＤやパスワードを管理する「ドメインコントローラー」と、ネットワークの監視を担当するサーバー。

piyokango :『サーバーのうち１台に議員と秘書全員分と、管理者用の計七百数十件のパスワード情報が保管されていた。』 / “asahi.com（朝日新聞社）：全議員のパスワード情報、流出か　参院が発表 - 社会” http://htn.to/9zvxjK

>piyokango :“参院でもＩＤ流出か　サーバーに不正アクセス - MSN産経ニュース” http://htn.to/EiGHo5

XSSってセッション張ってるサイトなら、セッションID抜かれるだろヴォケと言えばいいのですが、その他の脅威って説明しづらいし、どこまで危険なのかわからず対応しない人も多いのではないかと思います。

ockeghem :「XSSの基礎をじっくり語ろう」みたいなネタを思いついたが、わざわざ聞きたい人はあまりいなさそうだね。地味だし。興味のある人は既に知っているだろうし。

mincemaker :@ockeghem 地方だとかなり需要ありと思いますです。

hasegawayosuke :@ockeghem XSSについて自分で調べられるような人でも、「alert 動いた」という事実に対して脅威をどのように判断すればいいのかわからない、という人は多いと思います。

hasegawayosuke :これはﾏﾗさんのLTで指摘されたことなんですが、JavaScriptの広告がクロスドメインから実行されたとしたら、安全とは限らない。 みたいな話です。そういうところを説明するには、Webにおけるプライバシーから説明しないといけないし…

hasegawayosuke :jsdo.it のようなサイト、XSSではないけれど、攻撃者が適当なスクリプトを仕込んでおくと、たとえばTwitterアカウントでログインしてる人を対象とした「Twitter足跡帳」みたいなのを作成される、というリスクはありますね。

hasegawayosuke :広告配信屋：ユーザのクリック履歴、購入履歴、その他同意の上取得したユーザの個人情報に合わせた広告を配信、広告を埋め込んだサイト：で前記広告を埋め込む。という場合、サイト側はJS使ってどんな広告が表示されているか(つまりユーザの素性に近い属性)を取得可能。という話。

bulkneets :@hasegawayosuke LTでは含めなかったんですが、jsが意図したドメインでだけ実行されるように制限されてるとは限らないので、掲載ドメイン以外でもどんな広告が出るか把握できる可能性があります

ockeghem :最近広告とかアフィリエイトのスクリプトを調べてと言う依頼がたまにあって、見積もりのためにスクリプト見せてもらったから、これがもう…お断り見積もりだそうかと思いましたよ（適正と思う見積もりを出しましたが）

iPhoneをヨドバシで買うとモバゲーアプリがインストールされるというお話。メーカー製PCでは自社製アプリがインストールされることがあったりショップ仕様になったりとあると思いますが、それと似たような問題なんですかねえ。

Raichi0Po :宝石に泥を塗って売るような行為だ。メーカー製(失笑)パソコンかなんかとカン違いしてんじゃねーのか？Appleのポリシーにも反するし指導の後さっさと死ねばいいのに / “iPhone4S 買いました。ところが(ヨドバシ＋モバゲー 問題に…” http://t.co/NDh369OB

ockeghemさんおめでとうございます。ルビー賞だけど理由はRubyとはあんまり関係ないんですね。

ScanNetSecurity :徳丸浩氏、楽天テクノロジーアワード2011ルビー賞を受賞 http://dlvr.it/x1zps

ockeghem :素晴らしい考察 / “auの2011年秋冬モデルである「F001」のHTTPヘッダが従来機と比べて大きく変更になっているようです | ke-tai.org” http://htn.to/25TNCN

ntsuji :やっぱり「Anonymous」「標的型攻撃」「出口対策」「新しいタイプの攻撃」とかって手を変え品を変え言葉変えだとしてもそれに振り回されるんじゃなくて着々と自分たちが何ができてて、何ができてないのか。っていう基本的なことを忘れちゃだめだなぁって改めて思いましたよ。

ntsuji :「新しいタイプの攻撃」って結局、組み合わせでしょ？って思っています。だから「新しいタイプの攻撃」は従来の基本的な「古いタイプの対策」で大方なんとかなるんじゃないでしょうか。

okomeki :WAKWAKからパスワード注意しろﾒｰﾙなどがきていた (pdf) t.co/2xQlIswr

07c00 :今週末の土曜日26日に広島のセキュリティもみじ（atnd.org/events/20333）で、CTFについて話します。よろしくお願いしますです。時間が余れば機会学習とか(youtube.com/watch?v=y-QAgi…)についても少しだけ話すかもしれません。#secmomiji

piyokango :“「ゼロデイ攻撃よりも|セキュリティ・マネジメント|トピックス|Computerworld” http://htn.to/cEosab

totoromasaki :BIND9の脆弱性について。とりあえず。http://mcaf.ee/8j4dw

hasegawayosuke :お、これちょっと気になるな。　 "JVNDB-2011-002979 - JVN iPedia - 脆弱性対策情報データベース" t.co/LOxdhQb9

07c00 :開発「騒ぐほどの問題起こってねーだろアフォw」　セキュ「いやすでに起こり始めてんだよボケw」という世界共通の議論がトップレベル（地位的な意味で）で行われますたw　japan.cnet.com/news/business/…