スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

4月7日のtwitterセキュリティクラスタ

今日は朝から脆弱性対策やプログラミングの教育などについて熱い議論が交わされて、twitterならではのリアルタイム性を感じた一日でした。

まずは初心者用のプログラミング書籍やサイトについて。
ikepyon: 初心者用の言語の本やサイトで、脆弱性のあるコードを平気で書いたり、「セキュリティは難しいので後で説明します」とかいうことを書いているのはクズだと思う
ikepyon: セキュリティ対策の説明が難しいなら、「この部分はお約束です。後で説明します。」とでも書いとけばいいじゃん!
ikepyon: そこできっちり書かないからセキュリティ対策=難しいとかコストがかかるとか思われるのではないか?実際はそんなこと無いのに・・・
ikepyon: C言語の本で「#include 」を最初にきちんと説明してある本を見た記憶が無いw
rip_: 多分、きちんと説明したらそこで心折れる人が続出するw
ikepyon: 確かにw それと同じでセキュリティ対策用のコードも最初に説明せずに、入れときゃいいんじゃねと思うのですよ。 RT: @rip_: 多分、きちんと説明したらそこで心折れる人が続出するw
ikepyon: 古いのはしょうがないけど、去年とかにかかれたので、これは無いと思う。http://gihyo.jp/dev/serial/01/zf-ajax/0003
rip_: @ikepyon ですよねー。説明したい事以外を削った結果なのかもしれませんが、おかげで害のあるサンプルコードが巷にあふれてますね
ikepyon: さっき確認したら、大垣さんの記事のコードが安全そうなものになってた。直した?http://gihyo.jp/dev/serial/01/zf-ajax/0003?page=2


そしてSQLインジェクションやXSSをなくす方法についての議論に発展していきました。
ikepyon: いい加減SQLインジェクションやXSSをなくす方法を対策と言うのはやめたほうがいいのかもしれない。「対策」というから身構える人もいるのではないか?
ockeghem: @ikepyon 同意だけど、「対策する」と言いたい文脈でどういうかが問題ですよ。「XSSちゃんとする」とか? (^o^)
ikepyon: 言葉の問題はありますよねぇorz「当たり前にしなきゃいけないことをする」だとなんだかわからないですし・・・
paper130: バグと言ったらいかがですか?
ikepyon: 確かに、SQLインジェクションやXSSはバグですからねぇ。その修正方法と言えばいいかもしれませんね。
paper130: 彼らにとって新しい「セキュリティ」という言葉を使うから身構えるし、追加要件なんていう変な反論が出てきます。
rryu2010: @ockeghem 結局サニタイズ脳がエスケープ脳に変化しただけで状況は以前とあまり変化していないというか、むしろサニタイズ処理コピペからエスケープ関数を適当に選んで間違ったりするので悪化しているような気もします

ikepyon: XSSやSQLインジェクションはバグなんだし、そんなバグ作りこまないのが当然と言う風潮にしなきゃいけない。対策対策言うんじゃなくて(それ言うと身構えるから)、普通こういう風にコードを書きます。みたいな言い方にしないといけないのではないか?


そして、セキュリティに対して無防備なプログラマーへの意識を変えることについて進んでいきます。
_hito_: @ikepyon 彼らの「きちんと動く」は「見た目動いてるけどセキュリティ無防備」と同義語なんですが、そのあたりはどうやって意識改革を起こしますか? それを今考えてるんだ、という話かもしれませんが、循環論法に見えます。
ikepyon: それを考えないといけないと思ってます。そのために受け入れやすい方法は何かなぁということですよ。
_hito_: @ikepyon んーと、その論法が理解できないんですが、「コスト追加負担しろ」と迫ってるのと同じですよね。そもそもの時点で受け入れられない可能性はどう越えるので?
_hito_: @ikepyon より論点を明確にするなら、「黒船であるにも関わらずソフトな物腰を実現する方法は?」というナンセンスさを交えた問題提起に見えます。問題文を考え直してもらわないと議論の軸がブレます。
Vipper_The_NEET: @ikepyon まともにテストされていればいいはずなんですよ。想定外の値が入力されたときの挙動が正しくエラー処理されていればいい。それができてないわけだから,バグとしては恥ずかしい部類で,開発現場に対しては,モジュールの単体テストをちゃんとやれば発見修正できる程度のバグだ,と。
rryu2010: XSSは攻撃方法の名前なので「対策」になってしまうのは仕方の無いところ。脆弱性そのものの方に名前をつけないといけないけどなかなか難しい。
ockeghem: @rryu2010 本当ですね。こんなことだったら、まだサニタイズ脳の方がマシだった。危険になり得る記号を削除すれば、ともかく対策としては機能しますからね
ikepyon: @_hito_ 例えば「SQLインジェクション対策はバインド機能を使うのだ」と伝えるのではなく
ikepyon: 「Tully'sを検索するSQL文はどうかくの?じゃ、任意の入力した文字列をDBで検索するプログラムはどうかくの?最後に作ったプログラムでTully'sって検索できる?」みたいなやり方で説明するとかいった方法の話ですが
ikepyon: @Vipper_The_NEET 確かに。でもそのテストが出来ていないorzどういった値が入ってくる可能性があるのかという想像がかけているのが現状でしょうね
ikepyon: いきなりセキュリティと言う言葉を使うのではなく、もっと開発者に受け入れやすい言葉で方法を説明する必要があると思う。「きちんと動く」と言うのはどんな状況でも想定通りに動くと言うことだと思うのだけど


そして、安全なコピペひな形集があればいいんじゃないかと。どこかの出版社さん興味ありませんか?
_hito_: @ikepyon それで全ケースがカバーできるならそれでいいんですが、「ユーザーが通常は入力しないであろう特殊なinput」への対策への動機として機能しなくないですか? それは置いて、ひとまず分かりやすい領域へ対処しようとしていますか?
ikepyon: @_hito_ IPAの報告にあがっているのやら、アプリ関連の事件事故の報道を見るとその多くは「ユーザーが通常は入力しないであろうと鳩首名input」への対策が抜けてたからですよね。だから、取っ掛かりの動機としてはいいと思います。
ockeghem: コピペ脳の人には、結局のところ、安全でコピペしやすいひな形集をそろえるしかないんじゃないですかね。PHP逆引きレシピは、割といい線いっていると思いますけど
yumano: @ockeghem コピペで作る、安全なPHP Webアプリケーションって本を出せばいいのかな?
ikepyon: そうして作ったものが安全なものでした。ほら、セキュリティってそんな特別なことじゃないでしょう?だから、みんなもセキュリティを考えようと持っていけばいいと思う
ikepyon: セキュリティ対策することは目的ではない。安全できちんと動くアプリを作ることが目的なんだから
Zephid: @ikepyon 「彼ら」というのが何を指すのかわからないで書きますが全ての開発者とすると、「風潮」の風に触れることのない開発者って多いと思いますよ。多分そういう人の方が多数派。
ikepyon: @Zephid そこに到達するには、入門書とか入門サイトで説明するしかないと思います
_hito_: @ikepyon それは真なんですが、「 XSSやSQLインジェクションはバグなんだし、そんなバグ作りこまないのが当然
_hito_: @ikepyon というのとは別の表現を使うべき話に見えます。なんつーかサニタイズゆうなみたいな、そんなリスキーな情報流布じゃないかなーと。
bugbird: セキュリティは BCP のための手段です(会社)そして LCP (Life continuity plan) のための手段(個人) RT @ikepyon: セキュリティ対策することは目的ではない。安全できちんと動くアプリを作ることが目的なんだから
vulcain: @ikepyon 町工場でコピペと言うと技術の発展的継承を指すが、ウェブでは劣化的継承を指す。地道な作業は得意だが、創造的な作業苦手な日本人らしいが、日本に限った話かどうかはナゾ。



韓国で行われているCODEGATEのCTF決勝戦始まったらしいです。がんばってください-。
07c00: CTF決勝の開幕式が始まったなう
07c00: internetはHTTPのみ使用可(トンネル作りたいw)。問題サーバのあるネットワークはクローズ環境。そろそろ競技スタートかな
07c00: 朝飯用にコーラとポテトとハンバーガー買ってきてもらったら、CTF運営側からの差し入れでコーラとポテトとハンバーガーが提供されたw
07c00: 最初はWeb(XSS)と、プロトコル解析?みたいな問題の2問。
07c00: 3GBの物理メモリをダンプしたファイルをもらった。3問目はこのファイルを解析する問題だと言われた。3GBのダンプファイルとかww
07c00: 別の韓国チームが1問解答。現在2チームが共に1問解答済み。僕らも惜しいところまで来ていると思うんだけどなぁ
07c00: eggpodさん2問目を解答。現在暫定4位。
07c00: 1位の韓国チームGoNが1問目を解答。これで1問目と2問目を解答したことになり、暫定1位を維持。sutegoma2は4位継続。
07c00: #codegate 上位4チームが2問解答。次の3チームが1問解答。つまり全8チーム中7チームが問題を解答しますた。ちなみにsutegoma2は1問解答で現在7位w 少しずつ落ちてきたyo! 上位チームと下位チームの差は1問w


そしてCODEGATE2010 CTFのオープニングです。かっこいいですね。
yoggy: CODEGATE2010 CTFのオープニングの動画をアップしました http://www.flickr.com/photos/yoggy0/4498823109/


IIJのレポートですか。無料なんですね。すごい。
connect24h: Internet Infrastructure Review(定期発行技術レポート) http://ow.ly/1vqKx これは、LACのレポート並にすばらしい統計データが。ありがたや。ありがたや。


携帯のセキュリティ問題についての愚痴w確かに技術的なことについてわかっていない&興味がない記者は多い気がします。
HiromitsuTakagi: ケータイ評論家諸氏からの取材等は一度もありませんでした。一方、一般紙の社会部、科学部からは数社複数記者から取材がありました。一般紙の方が関心が高く理解もされるのですが、一般紙が記事にできるほど問題が易しくないため表に出ない場合が大半でした。読者が理解できないことは書けないのです。


ボチボチやっていきますー
kikuzou: twitterセキュリティネタまとめ http://bit.ly/aqAG5y 大変そうですが、がんばって下さい(*´∀`)ノ

スポンサーサイト

テーマ : セキュリティ
ジャンル : コンピュータ

コメントの投稿

非公開コメント

プロフィール

bogus

Author:bogus
FC2ブログへようこそ!

最新記事
最新コメント
最新トラックバック
月別アーカイブ
カテゴリ
検索フォーム
RSSリンクの表示
リンク
ブロとも申請フォーム

この人とブロともになる

QRコード
QR
カレンダー
08-2017
SUN MON TUE WED THU FRI SAT
- - 1 2 3 4 5
6 7 8 9 10 11 12
13 14 15 16 17 18 19
20 21 22 23 24 25 26
27 28 29 30 31 - -

07   09

上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。