11月29日のtwitterセキュリティクラスタ
もう11月も終わりですが、いろいろ終わってないのでこれでいいのか感が満載です…
JSONやJSONPやサードパーティCookieにスクリプトが絡んでくると攻撃方法からして訳がわからなくなります。勉強しないと。
今度はちょっと忘れかけていたセカイカメラがUDIDを使わないようにアップデートされたようです。何に使ってたんでしょうね。
その他気になったことはこのあたり。
JSONやJSONPやサードパーティCookieにスクリプトが絡んでくると攻撃方法からして訳がわからなくなります。勉強しないと。
kazuho :XSS 絡みはどんどん複雑になっててもうどうしようもない印象
hasegawayosuke :XSS絡みっていうか、same origin policy とかの周辺が破綻してる感じ。
ockeghem :JSONハイジャックはブラウザ側で対処して欲しいけど、現実的にはアプリで対策(自衛)しないとしょうがないですね。BKだとは思うけど
hasegawayosuke :@ockeghem Webアプリ側で自衛できるとしても、「それはブラウザ側の問題だ」と声を上げていってほしいですね。
ockeghem :御意。ただし、ブラウザ側の問題とする理論武装を強化しないと… RT @hasegawayosuke: @ockeghem Webアプリ側で自衛できるとしても、「それはブラウザ側の問題だ」と声を上げていってほしいですね。
hasegawayosuke :本来、ブラウザ側が対策すべき問題なのに、Webアプリ側が無理やり対策してて、その方法がブログ等で広まって定着してしまうと、ブラウザ側の問題と捉えられなくなって修正されない。という流れがないわけではないので
bulkneets :サードパーティCookieの送信オフで大体のsame origin policyに関する脆弱性塞がると思いますよ
hasegawayosuke :「サードパーティCookieの送信をオフにしたおかげで、人生がばら色になりました」 大阪府 会社員(30代)
今度はちょっと忘れかけていたセカイカメラがUDIDを使わないようにアップデートされたようです。何に使ってたんでしょうね。
HiromitsuTakagi :「iPhone 4Sに対応!セカイカメラ for iPhone v2.11.3をリリースしました」 support.sekaicamera.com/ja/archives/79… 「iPad版、iPhone版共にUDIDを取得しないよう改訂したことに伴い、端末識別情報とその利用目的についての記述を削除しました」
_heartyfluid :iPhone版セカイカメラがアップデート、UDIDを取得しない仕様に。高木先生に指摘されての対応かな。じゃ今までなんで取ってたの?
その他気になったことはこのあたり。
topitmedia :Javaの脆弱性狙う攻撃が横行、全ソフトウェアのアップデート適用を - ITmedia エンタープライズ itmedia.co.jp/enterprise/art…
nechoneko :日本へのサイバー攻撃の発信源が明らかに 攻撃対象の国別に編成されていた諜報機関 jbpress.ismedia.jp/articles/-/308…>このように日本へのサイバー攻撃は、中国の人民解放軍総参謀部から直接に仕掛けられているとの認識が米国では強いのだ。
bulkneets :これFacebook「アプリ」に対するSQLインジェクションをFBに対するSQLインジェクションって紹介してるな hackdifferent.net/archives/faceb…
eagle0wl :どう見ても痛車ハック or 光学迷彩ハック前提だよなぁ。 トヨタが全面スクリーンの車を発表 海外のお前ら「ハッキングされてポルノを流されたらどうするんだ」 blog.livedoor.jp/vipper_0402/ar…
madonomori :更新: IPA、セキュリティツール「MyJVN バージョンチェッカ」にオフライン版を追加 http://bit.ly/u1d3Gw
JSECTEAM :ブログをポストしました。「ちょっといいセキュリティの資料とツール その 1 」 http://bit.ly/tuGxRN #JSECTEAM
mtakahas :川口さんコラムの最新作! 標的型攻撃が注目されてますが、実はその陰で、アプリケーションサーバの既知の脆弱性も突かれてたりするんです。アプリケーションサーバの脆弱性にご注意を - @IT atmarkit.co.jp/fsecurity/colu…
ntsuji :盗み出したクレジットカード情報で寄付を行う。クレジットカード保護が機能することで、そのお金を銀行が補填することになるので、それによって銀行にダメージを与えようということなんですかね。 #OpRobinHood
yohgaki :有害なHTML/CSSを無害化する Projects/HTMLReg ow.ly/7IaQ9 を破れるか?との挑戦状が出ています http://ow.ly/7IaSe Javascriptの猛者はどうぞ
bulkneets :Self-XSSで「他人にもなりすませる」のは明らかにSelf-XSSの範疇超えてると思うよ http://co3k.org/blog/19
yohgaki :第44回 セキュリティ対策が確実に実施されない2つの理由: gihyo.jpで新しい記事が公開されました。なぜ簡単な対策で防げる脆弱性でもセキュリティ対策が確実に実施されないのか?それには理由があります。その理由とはこの... http://bit.ly/tS5MRQ
スポンサーサイト