WASForum Conference 2008: Security Wars EpisodeⅢ | 水無月ばけらのえび日記SDLの話に続いて、高橋郁夫弁護士によるお話。 スライドが英語と日本語のチャンポンで、非常にメモがとりづらかったです。というわけで、申し訳ないのですがメモの精度は低いです (いや、他が精度高いかと言われるとつらいですが)。最後の方はホントにただの羅列で全然まとめられていません。 登場シーン謎のハミングとともに黒マスク、黒マントの人物登場。まあ、タイトルから分かると思いますが。 自分のハミングなら著作権侵害は大丈夫だろう
WASForum Conference 2008: セキュリティの作り込みはどのように行われているのか? | 水無月ばけらのえび日記
Microsoft の Security Development Lifecycle「MSのSDLは重い。君たちにできることを簡単に言わないで」と良く言われるSD3+C = "Secure by design, by default and in development" + Communications脅威モデル : バグ以外の脅威、STRIDE分析SDLは開発のライフサイクルではない。ウォーターフォールの中に組み込まれたり、併存する Microsoftのセキュリティの歴史1990年初頭 : シングルユーザOS、セキュリティに関する要求はあまりなかった1994年 : NT3.1がマルチユーザOSとなる。セキュリティ上の脅威、ユーザを他のユーザから、プロセスを他のプロセスから守る必要1998年くらいまで : 各製品チームが個別に対応していた。脆弱性が見つかったらマーケティング部門が対応19
WASForum Conference 2008: 携帯電話向けWebのセキュリティ | 水無月ばけらのえび日記
自転車とGREEについて自転車はGIANTがオススメGREEは2006年11月に携帯にシフト、携帯からのアクセスがぐんぐん増加 携帯の諸々Referer来ないかもしれない。auとSoftbankはおおむね来る。来ないなら来ないで統一されていれば良いものを……Cookieは、au来ます、Softbankは来ないかも。 Referer漏洩問題についてそもそも他サイトにリンクしないこと。ドコモ公式では必須端末不具合によって、何故かメールから叩いたURLに前のサイトのRefererが出ることが……セッション格納情報でチェックする? UA……Referer漏洩時点でばれている。端末固有情報?SIDを変えまくるという対策だと、戻ると死んだりするユーザがGREEにGREEのURLを貼ることは多い (URLにはセッション追跡情報がついている)。GREEではURLをパースしてがんばっている携帯ではHTMLソ
WASForum Conference 2008: OpenIDのセキュリティ | 水無月ばけらのえび日記
「携帯電話向けWebのセキュリティ」に続き、ZIGOROuさんによる「OpenIDのセキュリティ"」。こちらもスライドが公開されている (d.hatena.ne.jp)ようなので、感想のみ。 ……「ピアノを弾く」は「ひく」で良いのですが、「アクセスを弾く」などは「はじく」と読むのが一般的なのではないかと思いました。 ※それだけかよ! という声が聞こえてきそうですが、申し訳ないことにOpenIDってよく知らないのですよね。勉強しないとですね。 「セキュリティの作り込みはどのように行われているのか」に続きます。 「WASForum Conference 2008: OpenIDのセキュリティ」にコメントを書く関連する話題: セキュリティ / WASForum Conference
WASForum Conference 2008: SQLインジェクション対策再考 | 水無月ばけらのえび日記
2日目、「EV SSL の意義と課題」に引き続いての2発目は、徳丸さんによる「SQLインジェクション対策再考」。資料が公開されている (www.hash-c.co.jp)ので、私のメモとか必要ないですね。 若干補足すると、資料のp5~p6あたりの「セミコロン削除」「SQL構文に用いるような文字列はユーザーの入力としてはありえない」という部分ですが、ブログの記事を DB に格納するときにどうするのか、という話が出ていました。プログラムの話題を書いたときにセミコロンが全部消えてしまったら困りますから、セミコロンだろうとSQL構文だろうと、きちんと格納しなければならないのです。 質問として、「過剰エスケープはどうなのか」という話が出ましたが……。「セキュリティ的にはたぶん問題ないが、\が2重に表示される」。まあ、ぶっちゃけて言えばバグですね。実際、この手のバグはけっこうあちこちにあると思います。
WASForum Conference 2008: EV SSL の意義と課題 | 水無月ばけらのえび日記
2日目のセッションは技術的なお話が中心になりました。まずは「EV SSL の意義と課題」についてのメモ。 SSLの課題利用範囲の拡大とともに発行基準が多様化、匿名でも取得可能になった。一般のエンドユーザが確認することは困難 (一般ユーザがCP/CPSを読むというのは現実的でない)鍵マークへの信頼を逆手にとって、フィッシングサイトに悪用されるようにもなってきた EV SSLSSL証明書の発行審査基準の標準化 + 一般ユーザに分かる仕組みCA/Browser Forum (CABF) による EV ガイドラインの制定 (2006/10) Vista登場の2ヶ月前日本企業では発行できないガイドライン (組織名は登記簿謄本に記載のものと完全に一致しなければならないとされているが、日本の場合はたいてい漢字で書かれている……)JCAF: 日本語版ガイドラインの作成、日本の法体系沿う運用の提案 (App
WASForum Conference 2008: パネル・ディスカッション「デファクトCIO、CTOのためのWEBサイトにまつわるITガバナンスの品格」 | 水無月ばけらのえび日記
1日目の最後のセッションはパネルディスカッション。あまり網羅的にメモできていないので、やりとりの一部のみの抜粋という感じになっています。 ※実はPCのバッテリがピンチでメモ回数をセーブしたため、ほとんどメモしていませんでした……。orz ちなみにパネリストは、サイオステクノロジーの山崎靖之氏、サウンドハウスの中島尚彦社長、ライフネット生命保険の中川達彦氏、奈良先端科学技術大学院大学の門林雄基氏、そしておなじみ、産総研の高木浩光氏。以下のメモでは発言者名の敬称は略させていただいています。 Webを活用したビジネスでの心構えとは?中島お上からの言葉が分かりやすい。行政から「セキュリティ大事ですよ」と言われちゃったらやるだろう 高木今まで2回くらい出てはいるのですが……。 2001年にXSSの問題を経産省の審議官に説明したとき、「これはワームのように広がるのか?」と聞かれた。広がらないよなぁと思
WASForum Conference 2008 - Kingkom's Check
沢木耕太郎とアシモフ VANとブルックスブラザーズ 山下達郎とSteely Dan それにおいしい物が好きなプログラマーの雑記 「WASForum Conference 2008」に行ってきた。今年は、CIO/CTO DAY(7月4日)とDevelopers DAY(7月5日)の二日構成。当然、二日目に行ったわけである。当日は、とっても暑い日でしたが、お約束のごとく、フォーラム会場は寒いのですな。 上着を持っていて正解。 今年のセッションは、以下。 10:00 - 10:30 EV SSLの意義と課題 10:30 - 11:00 SQLインジェクション対策再考 11:00 - 11:30 携帯電話向けWebのセキュリティ 11:30 - 12:00 OpenIDのセキュリティ 昼休み 13:00-14:00 セキュリティの作り込みはどのように行われているのか? 14:00-15:00 Se
WAS Forum Developer Dayに行ってきました #2 - モノノフ日記
徳丸さんのSQLインジェクションのお話です。 淡々と面白い事言うのが個人的にツボでした。楽天の話は面白すぎです。 SQLインジェクション対策再考 詳しい内容は徳丸さんのブログを読むとよいと思います。http://www.tokumaru.org/d/ HASHコンサルティング株式会社 徳丸さん 発表スライドが公開されました http://www.hash-c.co.jp/html/download.html 正しくない対策の今昔 最近の資料でも間違ってたりする 2007年のIPAセキュア・プログラミング講座Webアプリケーション第6章 IBMが日経BPに寄稿した記事 なぜ誤った解説がなくならないのか 攻撃方法からの発想 実はアプリケーションなんか書いたことない人が説明? サンプルコード動かしてみた? コピペの悪弊 なぜセミコロンを削除したがるのか 複文の防御 インジェクションの文脈で複文が
WAS Forum Conference 2008に参加する - Kwappa開発室
CUI な Git ブラウザ tig を入れてみた (Born Too Late) [git][scm][tig] tig を使ってみた (do_akiの徒然想記) Twitter Trackbacks () とべとべ夏祭り2010電設部に参加した #tobesetu (key-cc) EC-CUBE LC_Page::sendRedirect()に引数を渡せない (弱小PHPerの憂鬱) [densetu][勉強会][学校]電設部IT勉強会#3やりますた(随時追記 (学内IT勉強会のススメ - atcorp) 電設部IT勉強会#3に参加したっ! (Curious) GLT #24 (懇親会)に乱入してきた! (Curious) GLT (Genesis Lightning Talks) Vol.24に参加しました (key-cc) GLT (Genesis Lightning Talks
「ツールを導入して油断」「情報は現場から」---サウンドハウス社長とカカクコムCOOが語る不正アクセス被害と教訓 | 日経 xTECH(クロステック)
「セキュリティ・ツールを入れたことで油断してしまっていた」---サウンドハウス 代表取締役社長 中島尚彦氏は2008年7月4日,「WASForum Conference 2008」で,同社を襲った不正アクセスによる情報漏洩被害の経緯と教訓について語った。カカクコムの取締役COOの安田幹広氏も,不正アクセス被害と再発防止体制について講演した。 WASForum Conferenceは,Webセキュリティに関する研究と啓蒙を目的とする非営利団体「Web Application Security Forum」が2004年から開催しているイベント。 「見逃しや消し忘れページ,どこかに穴が出てくる」サウンドハウス社長 中島氏 サウンドハウスは楽器や音響などのインターネット通販を行っている。2008年4月3日,「不正アクセスにより最大9万75000件のクレジットカード番号などが流出した可能性がある」と
雑文発散(2008-07-05): WASF Conference 2008 Day 2 #5
▼ [雑] WASF Conference 2008 Day 2 #1 「EV SSLの意義と課題」日本電子認証協議会の秋山さん。 EV SSLについてはそれなりに存在意義も課題も知っていたつもりだったのだけれど、弱い暗号強度の使用期限が割とすぐに来る(2010年12月31日まで)ことは把握していなかった。 ▼ [雑] WASF Conference 2008 Day 2 #2 「SQLインジェクション対策再考」HASHコンサルティングの徳丸さん。 「SQLのエスケープ再考」というエントリの再編集版といった発表だった。元記事もそうだったけど、問題点が整理されており、分かりやすかった。 HASHコンサルティング専属デザイナー(子供さんかな?)に描いてもらったという「危険なライオン」が可愛かった(笑) ▼ [雑] WASF Conference 2008 Day 2 #3 「携帯電話向けWeb
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
【楽天市場】エスケープパズル:パズルショップトリト