スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

2月23日のtwitterセキュリティクラスタ

今日は世間は給料日みたいですね。うちにも間違って振り込まれていないでしょうか。

Shibuya.XSSというイベントが開催されます。XSSに特化しているということでどんな理解できないようなXSSが飛び出すのか今から期待でいっぱいです。それにしても大人気ですね。
ockeghem:XSSと聞いて…奇跡的に申し込めました。LT参戦します / “Shibuya.XSS テクニカルトーク#1 : ATND” http://htn.to/2YUYqy

haruyama:春山 征吾のくけー : 2012/02/23 4/4(水)のShibuya.XSS テクニカルトーク♯1で話します

kyo_ago:LT OKしてもらった!よかった! // Shibuya.XSS テクニカルトーク#1 : ATND http://bit.ly/A3YKYP

mincemaker:XSSで誕生日祝うデモのLTするん?

bulkneets:うっかりゼロデイ公開して逮捕される人5人ぐらい(全員)出たら面白そう

bulkneets:はせがわさんから中継も録画もできないような発表をしろという圧力を感じる

hasegawayosuke:@bulkneets よろしくお願いします!

bulkneets:【最終警告】shibuya.xssで絶対に非公開のゼロデイ攻撃のプレゼンをしないでください


有名サイトのWebアプリの脆弱性を見つけまくっている@kinugawamasato氏が今年はブラウザーの脆弱性の発見に力を入れるそうです。いろいろ楽しみですね。
kinugawamasato:blogかいた、週に1回程度何か書くよう心がけたい / CVE-2011-3879: chrome:// URLへのリダイレクト

hasegawayosuke:こう、ブラウザ側の脆弱性みつけるのとかって、着想に至るのも大事だけど、その着想が駄目でも類似の道がどんだけあるか根気よく探すのも大事。ってのを改めて思った。

hasegawayosuke:ブラウザのマニアックな脆弱性探す人が日本に増えたら、ブラウザベンダが日本語勉強するようになって、いろいろ楽になる!!!


ビッグデータの匿名性を確保するために電話番号をハッシュすると一意性を保持しつつ元の番号がわからなくなるそうですが。
HiromitsuTakagi:「不可逆なハッシュ演算で一意性は維持しつつ元の番号がわからないようにするだけです。」ハッシュが元に戻せないとした時点で技術的に誤り。鍵付きハッシュでも当事者がその鍵を持っているわけで。RT @kurikiyo ブログエントリーに追記 …



ockeghem:電話番号のハッシュ値から元の電話番号を求める方法。電話番号は9桁以内(頭のゼロは固定なので除外)なので10億通り。ハッシュ値の計算は一秒に100万回は可能。10億÷100万=1000秒≒17分。あなたのノートPCでも20分掛からず総当たり可能です。ソルトをつけてもあまり変わらない

kubotaku:@ockeghem ソルトの部分ですが、総当たりを実施する人はソルトの値を具体的に知っている前提ですか? 知らないのであれば探索時間が大きく変わるかなと思いまして。

ockeghem:@kubotaku ソルトは既知という前提です

kubotaku:@ockeghem ソルトは既知ということで了解です。お答え頂きありがとうございます。

ockeghem:さっきの20分といのうは、誰でも納得できる簡単な方法を示したもので、レインボーテーブル作るとか、GPU使うとかすれば、格段に高速化できます。日常的にやるんならそうしますね。

a4lg:ソルトがつかなければ Rainbow Table だし、ソルトがついても「短時間の」ブルートフォースの手間になるだけ。数秒が数十秒になる程度か…。(徳丸さんの見積もりはまだまだ甘すぎるように思われる。)


その他に気になったことはこのくらい。
ockeghem:『デバイスそのものはリスクではない…サーバをハックしたら、何百万ものアカウント情報やそのほかの細かい情報が得られるのだ』<そうだね / “モバイルプログラマはセキュリティにルーズ?Cenzicがアプリ試験ツールを立ち上げ” http://htn.to/rXfwFK


kenji_s:Movable Type 5.12、5.06、4.37、4.292を含む以前のバージョンにクロスサイトリクエストフォージェリ(CSRF)、クロスサイトスクリプティング(XSS)、OSコマンドインジェクション、セッションハイジャックの脆弱性 http://ow.ly/9eCR3


stomita:Pinterestの先週までの(iPhoneアプリ用の非公開)APIは最悪で、Pinterestに登録している任意のユーザのFacebook IDを(パスワードも何もなく)POSTで渡したらなんとaccess_tokenがもらえて、以降そのユーザでログインできていた!


ockeghem:地方公共団体職員が対象。申し込みは明日まで / “「ウェブアプリケーション脆弱性対策セミナー(発注仕様編)」の開催について - 財団法人 地方自治情報センター(LASDEC)” http://htn.to/RSAwXP


piyokango:『尚、https/sslによる通信は、端末やサーバに不具合などの脆弱性が無い、端末やサーバを改造されたりしなければ、一般的に覗き見されることはありません。』 / “Androidのhttpsの通信をスニファーする方法(暫定版) ≪ 突…” http://htn.to/NkGFrq


piyokango:MySQL.comと米軍関係のWebサイトでブラインドSQLインジェクションの脆弱性が公開。米軍サイトでは一部情報の流出も。 / “MySQL.com and US Army Site Ha…” http://htn.to/d9BcMQ


piyokango:“大金稼ぎのモバイルボットネット「Android.Bmaster」 - 世界のセキュリティ・ラボから:ITpro” http://htn.to/dT9ZTd


tokoroten:“デブサミ2012、講演スライド資料まとめ:CodeZine” http://htn.to/TMgYeP


yoggy:自分的にはCTFは健康のためにランニングを続けているとかそういう感覚に近いかも?

yoggy:いい大人になると勝てるところでしか勝負しなくなるので、ボコボコにヘコまされて悔しい気持ちを糧にして勉強する機会を与えてくれるいいチャンスだと思う


スポンサーサイト

テーマ : セキュリティ
ジャンル : コンピュータ

コメントの投稿

非公開コメント

プロフィール

bogus

Author:bogus
FC2ブログへようこそ!

最新記事
最新コメント
最新トラックバック
月別アーカイブ
カテゴリ
検索フォーム
RSSリンクの表示
リンク
ブロとも申請フォーム

この人とブロともになる

QRコード
QR
カレンダー
10-2017
SUN MON TUE WED THU FRI SAT
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30 31 - - - -

09   11

上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。