2月15日のtwitterセキュリティクラスタ

5分でできたら本当に安心なPHPセキュリティ対策ですよ。

Hamachiya2:にっきかいたよ → 『5分でできるPHPセキュリティ対策』 http://htn.to/hh7gKJ

ockeghem:これ守るだけも大変そう。『htmlの属性部分には、原則として動的なものを埋め込まない』<難しくない? あと初心者にはmdb2はきついかも / “5分でできるPHPセキュリティ対策 - ぼくはまちちゃん！(Hatena)” http://htn.to/9erVfT

ockeghem:@Hamachiya2 こんにちは。htmlspeciacharsの第3引数を指定しないと、PHP5.4で動かなくなるかも、と思いました blog.tokumaru.org/2011/11/php54h…

psychedesire:mysqli 使わないなんて中学生までだよねー。だよねー。 / “5分でできるPHPセキュリティ対策 - ぼくはまちちゃん！(Hatena)” http://htn.to/9erVfT

ockeghem:はまちちゃんはMDB2使っているのに、『mysqli 使わないなんて中学生までだよねー。だよねー。』なんてコメントしている人なんなの? 『5分でできる…』でも、ちゃんと読んでないの?

piyokango:「5分でできる」ではなく、「5分で読める」が正しい気が。

ockeghem:それは僕も思いました RT @piyokango: 「5分でできる」ではなく、「5分で読める」が正しい気が。

fk_2000:マジレスするとこうやれば安心という手順はないのに安心しているエンジニアのところに脆弱性は潜んでしまうという。最新情報はつねに入手しておきパスワードを一ヶ月単位で変更するポリシーくらいまでやらないと本当 / “5分でできるPHPセキュリ…” http://htn.to/9erVfT

WYS_:これはまあサニタイズうんたらとセキュリティの大御所が騒ぎそうだなｗ / “5分でできるPHPセキュリティ対策 - ぼくはまちちゃん！(Hatena)” http://htn.to/9erVfT

Hamachiya2:セキュリティ界隈は特に、権威(?)のうるさいおっさんが多いので「いま考えうる完全な対策でないと許さない」って風潮がやばい。初心者が下手に「ぼくの考えた最強のセキュリティ対策」を発表すると、レアな手法を持ち出されて吊し上げられるという世界なので、権威おっさん以外は誰も発表できない

PHPといえばWordPressですよねー

kenji_s:侵入経路がまた不明。再発防止できてるか不明。侵入経路がWPでなかったらどうするんでしょう？こんなんで相談にのりますとか。WPの記事はこんなのばかりですね... > WordPressの脆弱性を狙ったPHPコード不正書き換えについて http://ow.ly/95RAw

NTLMだけじゃなくてWPA/WPA2のパスワードもクラックできるみたいなので試してみたくなりました。

ntsuji:話題になっていたので使ってみましたよ。$5 自腹でｗ / 「CloudCrackerを試してみましたよ。」 - http://n.pentest.jp/?p=1055

正義のハッカーってよくわかりませんが、飛んでくるパケットを打ち落としまくるイメージです。

hasegawayosuke:「正義のハッカー」育成、日本で初のコンテスト : 社会 : YOMIURI ONLINE（読売新聞） 大会実行委員長を務める竹迫(たけさこ)良範さん（３４）は「将来の情報セキュリティーを担う若手技術者を発掘したい」と話す。 yomiuri.co.jp/national/news/… #seccon

どこで区切るのかによると思うのですが。

piyokango:株式会社Doctor Web Pacific｜Webカメラでユーザーを盗撮する新たなバックドア http://bit.ly/zIilD5 via @AddThis

piyokango:新たなってわけでもないような気がしますが。。

その他に気になったことはこのあたり。

jpcert:こんにちは。2012年2月 Microsoft セキュリティ情報 (緊急 4件含) に関する注意喚起を公開しました。 ^KS jpcert.or.jp/at/2012/at1200…

ockeghem:『園田氏は「標的型攻撃の動機に深入りしてはいけない」と釘を刺した』<同意。分からないことを考えるのは時間の無駄で、対策しない言い訳にしかならない / “【レポート】標的型攻撃対策は動機を考えず情報の保護に徹せよ - サイバー大学・園田…” http://htn.to/kcj9CM

internet_watch:サードパーティ製プログラムの脆弱性、危険性が増加～Secuniaが報告書 http://bit.ly/zK4UWU

gohsuket:ﾓｸｼｰがクラウド型パスワード解読発表 RT @Asher_Wolf: Moxie Marlinspike's CloudCracker Aims For Speedier, Cheaper Password Cracking onforb.http://es/w3wIm7

gohsuket:RSA公開鍵のランダム性の弱点が発見され暗号業界大騒ぎか“Ron Was Wrong, Whit Is Right,” RT @newsycombinator: Flaw found in online encryption method http://j.mp/ysVXut

gohsuket:話題の、RSAのように複数の素数を種に鍵生成する公開鍵のランダム性は単一素数に基づくDH公開鍵より弱い件の論文 RT @newsycombinator: Ron was Wrong, Whit is Right http://j.mp/AqrLea

sophosjpmktg:★和訳しました★zvelo 社のセキュリティエンジニアである Joshua Rubin 氏は、Google ウォレットのPIN 漏洩に関する脆弱性について調査結果を公開しました。sophos.com/ja-jp/press-of…

FSECUREBLOG:Cryptomeがハッキング: 「Cryptome.org」は、言論の自由、暗号、スパイおよび監視に関連する情報の掲載にフォーカスしたWebサイトだ。様々な点でCryptomeは… blog.f-secure.jp/archives/50653…

moton:The Hacker News | Armitage Update : Graphical cyber attack management tool for Metasploit http://goo.gl/mag/UH95M