スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

12月1日のtwitterセキュリティクラスタ

複数人で1つの管理者権限を利用するときには、使った状況をノートに書くのがオススメという記事についてのお話。前提が正しくないという気もしますが、まあ。
ntsuji :まさかの! 「管理者権限を利用するときには、それぞれの担当者が「いつごろ、何のために使ったか」を1冊の大学ノートに書き記すようにしておく。それだけで不正を見つけやすくなる。」 / 出口対策していますか? - http://nkbp.jp/uDfZhi

migimatsu :ぇぇぇぇぇ... しかも大学ノート ^^;RT @ntsuji: まさかの! 「管理者権限を利用するときには、それぞれの担当者が「いつごろ、何のために使ったか」を1冊の大学ノートに書き記すようにしておく。それだけで不正を見つけやすくなる」 nkbp.jp/uDfZhi

roaring_dog :@migimatsu @ntsuji えー。この21世紀に大学ノート。しかもロールを分配するのではなくていきなり管理者権限!!

bugbird :@ntsuji なんらかの形でチェックをすることは正論だが、方法が酷過ぎるw 火打石でガスレンジを着火させるような話だ < http://nkbp.jp/u1dSCZ

ntsuji :@bugbird トレース可能な状態にしておくことは必要だと思うのですが、あまりにもレガシーというか漏れが多そうというか信頼度が低い方法というか。。。

F0ro :@roaring_dog @migimatsu @ntsuji ロール分配の話はともかく「誰がいつなんのためになにをやったか」をノートに記録するのはありかなと思ってます。筆跡鑑定とか改ざん検出がデジタルよりも容易(というか前例がたくさんある)なのでForensicsでは使ってます

roaring_dog :@F0ro @migimatsu @ntsuji 紙の利点もありますね。昔の職場でセキュリティレベルが異なる境界の入退出記録に大学ノートを使っていました。

migimatsu :@roaring_dog @F0ro @ntsuji ロール配分すらしていない管理組織が、ログとノートの突き合わせ監査やるとは思えませんw IDS アラームは黙って消しまくり、ファイアウォールログですら誰も監査しないっつーのにw

ntsuji :@F0ro @roaring_dog @migimatsu フォレンジックの現場ではノートを使うと聞いたことあります。観点を変えるとアリな場合もありますね。記事の場合や入退室だとノートだけではなくカメラなどを併用するのがベターかなと思います。書き忘れなどもありえるかと思うので。

bugbird :@ntsuji セキュリティドアの監視カメラで、非常用 IC カードを持ち出したままだったスタッフを特定した実績あります。プライバシの問題はありますが監視カメラはかなり有効ですね

F0ro :@ntsuji @roaring_dog @migimatsu もちろん証明力を高める手段として複数の客観的な証拠もあわせて提出して突合するのはアリで、実際に画像や動画も証拠として用いられます。ただ現実問題としてどこまでやるか、という相場観がちょっと日本ではまだない気がします。

ntsuji :@bugbird どのロケーションかどれくらい重要かというところとお金の兼ね合いになるんだと思うのですが入退室カードだけだと心許なく思ってしまうシーンですね。


詳細はまだ不明ですが、激しく気になりますね。次報を待ちたいところです。
s_hskz :Oh! @0x6D6172696F tweets.. Google Chrome bug. I can read CSRF tokens with CSS only. Very few requests, ~500 for 32 chars

s_hskz :問題は、input要素のhiddenコントロールに格納されているトークンがどのタイプなのかという点? session-id or CSRF token か? まー、難しすぎて私にはぜんぜんわからない。 教えてプリーズ。

s_hskz :HTTPレスポンスの【ボディ部】を仕掛けのあるスタイルシートで取り出すということ? input要素のhiddenコントロールに格納されている値もダダ漏れということなのかな?

hasegawayosuke :SafariとChromeはCSSだけでCSRFトークン読めるという話、PoC見てみたいですね。

bulkneets :@hasegawayosuke @s_hskz これと同等?外部から取れるとは言ってないんじゃ http://eaea.sirdarckcat.net/cssar/

bulkneets :CSS自由に適用できるサービスだと、attributeに応じて別の背景画像リクエスト飛ばすようなCSSに切り替えまくってattributeに何が適用されてるのか調べられる、みたいな問題っぽいな


こちらも気になる噂が。
gohsuket :@sen_u そいえば今日小耳に挟んだ噂で、来年度セプキャンが事業仕分けで落ち、でも何とか開催したい経産省が企業数10社に1口50万で協賛を求めて回ってる、てゆーのがあるんですが何かそちらにも耳に入ってますかね? 少数企業からだけ大口で出して貰うと波風立つので数あたってるとか。

sen_u :@gohsuket 特に聞いてませんねー。毎年何かしらの噂がありますけどね。w


今日までインターネットウィーク2011でしたね。
kjmkjm :IW2011のDNSねたは「古いBINDは捨てるべきだ」の一言に集約されるのかな。 #iw2011


スパイウェアがプリインストールされてるってたまらんですな。
typex20 :これがOMA-DM製品ベンダーのCarrier IQのスパイウェア疑惑記事の大元か。Androidは本当に終わってしまうのかもしれない。。 / “rootkitかサービス向上用ツールか――携帯端末のプリインストールソフトめぐり開発者が…” http://htn.to/FUcKbh


その他に気になったことはこのあたり。
kitagawa_takuji :ハッカー集団が国連機関のパスワードなど暴露、次は銀行を標的に - ITmedia エンタープライズ


ockeghem :説得力ありますね~>『何をもって妥当とするかは仕様が定めるものであり、従って仕様がなければ妥当性を論じることはできません』 / “妥当性とは仕様の所作 - SQLインジェクション対策とバリデーション - *「ふっかつのじゅもんがちがい…” http://htn.to/3RCgVC


MasafumiNegishi :イリノイ州の水道設備への攻撃の真相。笑える。休暇中の技術者が旅行先のロシアからアクセスしたのを勘違い。 Exclusive: Comedy of Errors Led to False ‘Water-Pump Hack’ Report http://bit.ly/rPMPz4


ymzkei5 :昨日、他社の同じようなプレスリリースを見たのはきっと気のせいです!>■ラック、被害の発覚が相次ぐ「標的型サイバー攻撃・対策支援サービス」を拡充 | LAC 


hasegawayosuke :OWASP Tokyo 再始動!!!!!!!! 超期待!!!!! http://twitter.com/#!/OwaspTokyo


MasafumiNegishi :IIJのセキュリティ情報統括室スタッフによるブログ Security Diary が本日公開されましたー。みなさん、ご贔屓に?。 http://sect.iij.ad.jp/index.html


MasafumiNegishi :今年 3月のRSAへの標的型攻撃に関する詳細な解説記事。 Into the Darkness: Dissecting Targeted Attacks http://bit.ly/uusjN1

スポンサーサイト

テーマ : セキュリティ
ジャンル : コンピュータ

コメントの投稿

非公開コメント

プロフィール

bogus

Author:bogus
FC2ブログへようこそ!

最新記事
最新コメント
最新トラックバック
月別アーカイブ
カテゴリ
検索フォーム
RSSリンクの表示
リンク
ブロとも申請フォーム

この人とブロともになる

QRコード
QR
カレンダー
08-2017
SUN MON TUE WED THU FRI SAT
- - 1 2 3 4 5
6 7 8 9 10 11 12
13 14 15 16 17 18 19
20 21 22 23 24 25 26
27 28 29 30 31 - -

07   09

上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。