スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

6月8日のtwitterセキュリティクラスタ


昨日はF-Secureブログ一周年記念パネルディスカッションがありました。このブログもそういうところで書ければいいのですが… で、昨日のパネルディスカッションから気になったツイートを。

M1n0x: 悩みの種はMSよりAdobe」 #fsecure_jp #FSBLOG

takumi_onodera: Vista/7の機能が使われていない件は、耳が痛い #fsblog

kyo_ago: 「Google自体を信用したとしても、公的機関から参照受ければGoogleは個人情報を渡すだろう」 #fsblog #fsecure_jp

M1n0x: 「我々はGoogleのユーザーであって顧客ではない。顧客は広告主。」 #fsecure_jp #FSBLOG

ripjyr: 一般にセキュリティレベルは技術者の5年前のレベル。#fsecure_jp

ripjyr: これはtsudaりじゃなくて、僕の意見です。それも、「一般に」ではなく、「一般の」@k_satoh QT @vulcain: なんと(;゜0゜) RT @ripjyr 一般にセキュリティレベルは技術者の5年前のレベル。#fsecure_jp


そういや休憩中に中継を見てつぶやいた人に向けての抽選会がありました。セキュリティは専門家ですが、抽選やイベント運営には慣れてない感じでほほえましかったです。
ripjyr: ぶっちゃけ、F-Secureさんの抽選あたってうれしいけど、@v_avengerが当たらなくてよかったとホッとしている僕がいるw



確かに他のレイヤーで設計時にセキュリティホールが減らせるならそれに越したことはないと思います。コーダーはセキュリティよりも最小限の工数で終わらせる方が好きでしょうし。
ikepyon: 今のWebアプリにおけるセキュリティ対策って、コードに依存しすぎていると思う。結果、一般的なプログラマにとって大きな負担になりすぎているのではないか?

ikepyon: もっと、要件定義や設計段階からなるべく脆弱性が出来ないような仕組みにしていったほうがいいんじゃないかと思う



枝葉を責めるなら幹から辿った方が効率的ですものね。そういや昨日セキュリティツールをダウンロードするための登録画面にXSSがありました。セキュリティってなんなんでしょうね。
bulkneets: ダメなWeb制作会社の実績紹介ページ、XSS探すのに便利



そしてXSSフィルタ誤検出のお話。誤検出した後の画面で脅威が起こるって本末転倒な話ですが。
bulkneets: IE8のXSSフィルタ誤検出で起こるscriptタグ破壊によって本来JSとして出力されるはずの要素がHTMLとして出力されることによって引き起こされる脅威の度合いがどれぐらいか調べてる。

bulkneets: ソースが表示されてユーザーが怖がるのはscriptを内に書くことで回避出来る。いくつか試したけどformとかonmouseoverもついでに無効化されるから悪用は出来ないっぽい感じがする。基本的にはHTMLとして解釈してもJSとして解釈しても安全にしといた方がいい

bulkneets: 元々出力されるHTMLに含まれるscriptタグを検索文字列に指定することで大体のサイトでXSSフィルタの誤検出は起こせるんだけど、ユーザーが知らないもんだから脆弱性があるとか勘違いする。

bulkneets: 脅威の度合いとしては誤検出なのに騒ぐユーザーが一番大きい

kinugawamasato: XSSフィルタやNoScriptがXSSと思わしき動作を遮断(誤検知) → 大変や!XSS脆弱性や!→ 報告 →それは脆弱性じゃないです って流れ経験したことある人いそう。



おやようやく。AdobeってMSみたいに変節なく、昔から首尾一貫していい加減で、それはそれですごいですよね。昔コードを読んだ人がひどい… って言ってましたが変わってないのかなあ。
kaito834: Adobe Flash Player の脆弱性については、2010年6月11日(日本時間)に修正プログラムが公開されるようだ。アドバイザリAPSA10-01が更新されていた。 http://tinyurl.com/2da3pt6 *Tw*

スポンサーサイト

テーマ : セキュリティ
ジャンル : コンピュータ

コメントの投稿

非公開コメント

プロフィール

bogus

Author:bogus
FC2ブログへようこそ!

最新記事
最新コメント
最新トラックバック
月別アーカイブ
カテゴリ
検索フォーム
RSSリンクの表示
リンク
ブロとも申請フォーム

この人とブロともになる

QRコード
QR
カレンダー
08-2017
SUN MON TUE WED THU FRI SAT
- - 1 2 3 4 5
6 7 8 9 10 11 12
13 14 15 16 17 18 19
20 21 22 23 24 25 26
27 28 29 30 31 - -

07   09

上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。