スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

6月9日のtwitterセキュリティクラスタ

きのうは鯨が現れっぱなしで、仕事に専念されていた方が多かったようです。たまには仕事しなくちゃね。そういやInteropの展示が始まったみたいです。毎年ショボくなっていく気がするのですが、今年は盛り上がっているのでしょうかね。


そろそろBlackhatも近づいてきました。
BlackHatEvents: Just Announced! The Arsenal at #BlackHatUSA 2010 - Call for Tools/Demos: For more info visit http://bit.ly/bHcyTJ


そして、対となるDEFCONの方もCTF予選の結果がアップされています。
tessy_jp: DEFCON18 CTF予選の最終結果がアップされてます。 RT @ddtek: Official quals scores, stats, and table positions posted at www.ddtek.biz.



最近人気の携帯網のセキュリティ話。

ソフトバンクのNVMOであるディズニーモバイルをチェックされています。
ymzkei5: 携帯サイト制作道場:見過ごされがちなセキュリティ。徳丸さん。 RT @bakera: [メモ] http://www.flexfirm.jp/technicalnote/dojo/index.html


実はもっと基本的な話が見過ごされているではないのかというのが次に。

問題なのはもともと閉じてたところに携帯電話じゃないものがアクセスできる可能性があったり、その閉じたところでのセキュリティに対する考えを、閉じてない勝手サイトでも当てはめようとするところなんでしょうね。
naonee: 昨日、携帯サイトの開発担当者と話す機会があった。ドコモ公式サイトは、閉じられたネットワークなので、ある程度のセキュリティは担保されており、PCサイトと同等なセキュリティ対策はしなくてもよいという認識だった。

ikepyon: 閉じたネットワークってどういうことなのだろう? RT: @naonee: 昨日、携帯サイトの開発担当者と話す機会があった。ドコモ公式サイトは、閉じられたネットワークなので、ある程度のセキュリティは担保されており、PCサイトと同等なセキュリティ対策はしなくてもよいという認識だった。

naonee: @ikepyon 簡単に言えば盗聴が出来ないということかと。

ikepyon: @naonee それって、公式サイトってインターネットとは別のネットワークにあるってことですか?

ikepyon: うーん、もしそうだとすると認識がひどいorz

naonee: @ikepyon 公式サイトは必ずドコモのゲートウェイを通らないとアクセスできないんです。従って、Webサーバー側から見れば、ドコモのゲートウェイからの送信元IP アドレスのリクエストしか受け付けません。

naonee: そうなんですよ。UIDによるセッション管理でも、クロスサイトリクエストフォージェリ対策しろなんて仕様は書いてないとか言ってるし・・・。 QT @ikepyon うーん、もしそうだとすると認識がひどいorz

ikepyon: なるほど、そういうことで、閉じられたネットワークという認識ですか。RT: @naonee: @ikepyon 公式サイトは必ずドコモのGWを通らないとアクセスできないんです。従って、Webサーバー側から見れば、ドコモのGWからの送信元IPアドレスのリクエストしか受け付けません。

ikepyon: なんてこったいorz泣けますねぇ(涙 RT: @naonee: そうなんですよ。UIDによるセッション管理でも、クロスサイトリクエストフォージェリ対策しろなんて仕様は書いてないとか言ってるし・・・。

ikepyon: これが、ケータイWeb開発者の真の実力ということかorz もちろん、ちゃんと理解している人はいるんだろうけど。

ikepyon: しかし、こういう話を聞くと、DNS Rebindingを使った攻撃の危険性以前の問題のような気がするなぁ




MSって面白いことやっても作り込みが甘くて逆に嫌われるケースが多いですよね。基本的にサイトは訪問するたびに嫌いになっていく造りですし。セキュリティとは関係ないですがw
rakugodesi: このページにリンクされているテンプレート集にはサンプルが無いので、米国のサンプル集からダウンロードしたが、ベータ版で作成されているとのたまって動作しないのが多数。そのうち修正されたものがでてくるのだろうか? http://ow.ly/1W01w


お、久しぶりですね。これからも更新を期待しております。
yarai1978: 復活第一稿が公開です。 http://journal.mycom.co.jp/column/itsecurity/035/index.html


スポンサーサイト

テーマ : セキュリティ
ジャンル : コンピュータ

コメントの投稿

非公開コメント

プロフィール

bogus

Author:bogus
FC2ブログへようこそ!

最新記事
最新コメント
最新トラックバック
月別アーカイブ
カテゴリ
検索フォーム
RSSリンクの表示
リンク
ブロとも申請フォーム

この人とブロともになる

QRコード
QR
カレンダー
08-2017
SUN MON TUE WED THU FRI SAT
- - 1 2 3 4 5
6 7 8 9 10 11 12
13 14 15 16 17 18 19
20 21 22 23 24 25 26
27 28 29 30 31 - -

07   09

上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。