スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

6月10日のtwitterセキュリティクラスタ

今日はInterrop最終日です。毎年縮小傾向で、今年もそれより縮小傾向っぽいですね。
Akira_Murakami: ちょっとだけブース見てみたが、数年間と比べるとこじんまりしちゃったかな?シスコさんがばってル感じ。



ケータイIDによる利用者認証は、なりすましアクセスが不正アクセス禁止法で保護されないという高木先生の主張についてのbakeraさんのやり取りがとても参考になったのですが、長いのでtogttterにまとめておきました。



すでに他の国でもDPI広告ってはじまってるんですね。知らなかった。
HiromitsuTakagi: ブラジルでDPI広告(3月から始まったPhorm)への抵抗が盛り上がり中のもよう。ポルトガル語の読める方の解説を望む



相変わらず携帯関連はセキュリティ的にはアツいことになってます。まずAT&Tで携帯のデータが抜かれまくったそうです。間抜けですね。
ymzkei5: RT @47news: 米でアドレス11万件が流出 iPad所有者 http://bit.ly/9WtRfu

bugbird: うぎゃー < iPad 3G 購入者情報漏洩@アメリカ

bugbird: 端末識別番号まで抜かれましたって…あなた……

kinyuka: AT&Tハカーされたやつ、穴しょぼすぎワロ

kinyuka: ウェブアプリケーションセキュリティ!とか騒いで10年経ってるのにUser-Agent 偽装でデータが入手できる素敵なインターネットです



そしてドコモ2.0のCSRF。
ockeghem: .@ikepyon 昨日話題になっていたドコモ公式のCSRFですが、POSTメソッドの場合、JavaScriptが有効でないと攻撃できないので、iモード2.0の新たな脅威とも言えますよね。公式サイト向けには外部からアドバイザリを出せないので、キャリアから出してもらわないと…

ikepyon: @bakera ありそうですね。そっちのこと失念してました。あくまでHTTP or HTTPSでの限定だと思ってました

ockeghem: @bakera そもそも、ボタン押しただけでユーザが被害にあうのは、サギか、サイトの脆弱性か、ブラウザの脆弱性であって、ユーザに気をつけろというのは酷ですよね



そして携帯公式サイトのネットワーク構成について。他サイトの連携もあって、ユーザは公式なのに公式じゃないネットワークにアクセスしたりしてるのかもという話ですが。
ikepyon: 携帯公式サイトはキャリアのGWとしか通信しないから、セキュリティ対策あんまり考えなくて OKというところって、同じネットワーク上にあるほかの機器はきちんと対策取れてるんだろうか?

ikepyon: 同じネットワークなら、公式サイトに攻撃できるよね。ホスト単位で制限したとしても、公式サイトのARPテーブル書き換えて、ごにょごにょすれば、IP Spoofも出来るだろうし・・・そういう脅威ってちゃんと考えてるよね?

bakera: @ikepyon @ockeghem 「キャリアのGWとしか通信しない」というのはWebサーバに携帯公式サイトひとつだけしか乗っていない、かつ外部連携一切なしという場合ですよね。最近だともっと複雑な構成になっている場合が多そうな気もしますが、どうなのでしょう?

ikepyon: @bakera 外部とのやり取りがあるのはキャリアのGWだけと理解してます。公式サイトだけのセグメントがあるというのはさすがに少ない気がするので、同一セグメントからの攻撃ってきちんと考えているのかが不安です

ikepyon: 可能性としては、PC用のサイトと携帯用のサイトが同一セグメント上にあって、お互い直接の通信は出来ないが、DBサーバを解して通信できるとかはありそう。でPC用サイトは静的ページしかなくて、運用がザルとか・・・

ockeghem: 今の「公式」はどうですかね。昔は厳しかったのですが、緩くなっているかも RT @bakera: @ikepyon @ockeghem 「キャリアのGWとしか通信しない」というのはWebサーバに携帯公式サイトひとつだけしか乗っていない、かつ外部連携一切なし…最近だともっと複雑な構成



そしてもう1つ、携帯公式サイトのちょっと間抜けなセキュリティ対策のお話。ゲートウェイでフィルタした後に同じようにフィルタするっていう喜ぶのは業者だけなかんじです。
ockeghem: 某携帯事業者は、特定ジャンルの公式サイトに対して「IPSまたは同等のセキュリティ対策を施すこと」みたいなレギュレーションを貸しているそうなんですが、「同等」の代替ソリューションなんかないので、普通IPSを導入するわけです(続く)

ockeghem: で、リプレースの案件でそれを知ったんだけど、ヒアリングで「IPSのアラートはどれくらいの頻度であがりますか?」と聞いたら、「今まで一度もあがったことがない」という。そんな馬鹿なと一瞬思ったけど(続く)

ockeghem: 携帯公式サイトはゲートウェイのIPとのみ通信するように制限するから、IPSで検知するレベルの攻撃は来ないのよね、と納得。しかし、だったらIPS意味ないじゃん(続く)

ockeghem: 携帯端末からSQLインジェクション攻撃とかやればIPSも働くかもしれないけど、投資としては効果的ではない。まだWAFを導入した方がいい。もっと効果的なのはHASHコンサルティングという会社に検査を依頼することだけど(そこかよw

ockeghem: 携帯公式サイトに対する脅威分析なんて、ちゃんとできる人はほとんどいないでしょうね。だから、「IPS導入しろ」なんて話になる。何かやらないとまずいと思ったんでしょうね、きっと



はてなのXSSが着々と修正されている模様です。
kinugawamasato: はてなのexpressionのXSSが修正されました!(5回目) http://d.hatena.ne.jp/masatokinugawa/20100610/expression_xss5

hasegawayosuke: alert(document['cook'+'ie']); RT @kinugawamasato: はてなのexpressionのXSSが修正されました!(5回目) http://bit.ly/b9jVbK




勉強会について。こういうのを読むと次回は遅れないように申し込んで、勉強会初体験しなきゃって気になります。
ripjyr: 勉強会の本番は懇親会!とか言っている人もいるようだが、もちろん両方大事だとおもう。それより初参加の人に以下に再度来てもらうか、その上友達・同僚を誘いたくなるような勉強会にする方法を議論したほうが良い。

ripjyr: ぶっちゃけると、勉強会は飲み会が本番だよねーそうだよねー!よりは実りある議論だろう QT @amidaku: これがむずかしいよね RT @ripjyr:友達・同僚を誘いたくなるような勉強会にする方法を議論したほうが良い。

ntsuji: @ripjyr リピート大切ですよね。ちなみにボクは、先日、445にスピーカで呼んでいただいて、初参加させていたたいたわけですが、また、行きたいと思うものでしたよ。

ripjyr: うほーーー!嬉しいなぁ。こういう発言!!! QT @ntsuji: @ripjyr リピート大切ですよね。ちなみにボクは、先日、445にスピーカで呼んでいただいて、初参加させていたたいたわけですが、また、行きたいと思うものでしたよ。



ウイルス対策ソフトでその手の都市伝説はよく聞くのですが…
masa141421356: 自社製品のユーザーに攻撃を仕掛けて困らせて保守費用をとろうとして逮捕なんて事件が本当にあるとは

スポンサーサイト

テーマ : セキュリティ
ジャンル : コンピュータ

コメントの投稿

非公開コメント

プロフィール

bogus

Author:bogus
FC2ブログへようこそ!

最新記事
最新コメント
最新トラックバック
月別アーカイブ
カテゴリ
検索フォーム
RSSリンクの表示
リンク
ブロとも申請フォーム

この人とブロともになる

QRコード
QR
カレンダー
10-2017
SUN MON TUE WED THU FRI SAT
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30 31 - - - -

09   11

上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。