fc2ブログ

4月6日のtwitterセキュリティクラスタ

今日盛り上がってたのはYahoo知恵袋のSQLインジェクション対策についてでした。
ockeghem: Yahoo!知恵袋のセキュリティ関連のQ&Aがひどいことになっているようだけど、ではどこで聞けば質の高い回答が得られるかというと、思いつかない
ikepyon: これがベストアンサーかよorz http://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q1438736814
ockeghem: セキュリティコンサルタントが無償でセキュリティの質問に答えだしたら自分の商売否定することにならない?と思ったのだけど、Yahoo!知恵袋で質問する人とコンサルタント雇う人は「客層」が違うから大丈夫かもね
ockeghem: とりあえず、DNSリバインディングのシリーズが一段落したら、『勝手に回答』みたいなのを始めるか。質問サイトの質問に勝手に答えるの。dankogaiみたいだw
ockeghem: 回答者もいろいろだなぁ。プレースホルダ使っているのに『あと、「SQLインジェクションの関係で、エスケープさせる必要があります」と書かれているのに、無害化のコードが書かれていないのが気になりました。』どうしてもサニタイズしないと気が済まないのか?
bakera: 脆弱性関連FAQコンテンツを作った方が良いのかしら。「CSRF FAQ」とか「SQLインジェクションFAQ」とか。
ikepyon: それ作っても見るのは業界人だけというオチがw


それに引き続き質問サイトについて。たまにえらそうに間違ったこと書いてる人がいてげんなりしますよね。
ockeghem: 質問サイトのアクティブユーザって、一日に何件も質問するのですね。プログラム書いててわからないところが出てきたら質問してる? まぁ少しは試しているのでしょうが
ikepyon: 回答者本人が理解してないなんてorz
bakera: @ikepyon 知ったかぶりの回答者って、ニフティの時代からいましたね。嘘の回答をされると迷惑ではあるのですが、本人は善意のつもりなので非常に面倒です。
ikepyon: すみません。それ私だったりorz何とか直さないとなぁorz


それに対してこういう意見が。確かに追加という認識だと余計なコストがかかると思うのも理解できます。
rryu2010: @ockeghem セキュアなプログラムというのは普通はやらないセキュリティ確保専用の処理を追加で行っているものという認識を持っている人が結構いるような気がします。
rryu2010: バグにより発生する仕様外の挙動の中にセキュリティ的に危険なものがあるという認識を持っていない場合、バグを直すという発想ではなく、セキュリティ的に危険な挙動を封じ込めるための処理を追加するという発想になるような気がする。



そしてまだまだ続くメッセサンオー
HowManyFiles: メッセサンオーの顧客管理システムを作ったところが、今回の情報流出を受けてセキュリティの記事を書いてるのだけど、的はずれなことを書いてて面白い。http://j.mp/9tJatW


twitterに未対応の脆弱性があるの??
bakera: これは @hasegawayosuke さんが届出済み、という理解でOK? http://b.hatena.ne.jp/entry/gyazo.com/66e43b0db83b2db830e1fd2a6b0f1316.png
hasegawayosuke: @bakera 私は届け出てませんが、@bulkneets さんがTwitter側に直接連絡を取っているけれど未修正のままclose扱いになったと理解しています。



CODEGATEご一行様韓国に無事着いたようです。
tessy_jp: I departed to #codegate. Today,Tokyo is too hot. See you soon!
yoggy: 出国なう
yumano: @ockeghem @mihochannel 韓国いってきます!
ucq: 韓国のホテルなう
tessy_jp: 慌てて持ってきた硬貨類が中国元だった件について



今年一番の脅威になるかもしれないDNSリバインディングとその対策ですよ。
ockeghem: 日記書いた 『PROXY(プロキシ)経由でのDNSリバインディングと対策 』 http://www.tokumaru.org/d/20100406.html#p01


URIエンコード各方法のまとめとGumblar関連。IPAもがんばってますね。
hasegawayosuke: JavaScriptにおけるURIエンコード各方法のまとめ。 http://www.ipa.go.jp/security/fy21/reports/tech1-tg/b_09.html
connect24h: 超マニアックだな。9 URI のエスケープ Gumblarも良くまとまっている。5 Web媒介型攻撃Gumblarの動向調査 http://ow.ly/1uVYl 情報セキュリティ技術動向調査(2009 年下期)
RBBTODAY: 【インフラストラクチャセキュリティ】Gumblarの再流行(Vol.1) http://bit.ly/dnkaE8


スポンサーサイト



テーマ : セキュリティ
ジャンル : コンピュータ

コメントの投稿

非公開コメント

プロフィール

bogus

Author:bogus
FC2ブログへようこそ!

最新記事
最新コメント
最新トラックバック
月別アーカイブ
カテゴリ
検索フォーム
RSSリンクの表示
リンク
ブロとも申請フォーム

この人とブロともになる

QRコード
QR
カレンダー
03-2024
SUN MON TUE WED THU FRI SAT
- - - - - 1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30
31 - - - - - -

02   04