第9回神戸情報セキュリティ勉強会(セキュメロ#9) - fooの日記今回は ikepyon さんのWebアプリの話と森井先生の話。 ディスカッションがなかったのですが、話題いっぱいでした。 いつもながら森井先生の話はおもしろい。 Webアプリケーションセキュリティ対策は難しい(ikepyon) 携帯のセッション管理について Cookieを使えないDocomoが悪い。 「いわゆる携帯の流儀」などありえない。 セッションのために携帯識別番号を使用するのは携帯識別番号の改ざんのないことが前提。→前提はいろんなところで崩れている。 毎回認証すると使い勝手が悪くなってしまう→課金など回数が多くなく、どうしても必要なときだけ使用する 一般的なWebアプリについて 脆弱性の多くはプログラムとプログラムの境界で起こる。 開発で当たり前のことをしていれば脆弱性を防ぐことができる。 コピペは計画的にネ! →計画的なら、そもそもコピペしないのでは? という意味も含まれているので
