twitterセキュリティネタまとめ

土曜日はまっちゃ４４５です。私は今回もキャンセル待ちという名の落選で、毎回申し込みが遅いなあと後悔しきりです。

decoyservice: なんだ、明日はまっちゃ４４５か。一回行ってみたかったんだけどなぁ、残念。

先日の図書館にDoSして捕まった件。高木先生がまた電話しています。きっと今週はヒマだったんでしょうね。まずは図書館の方。具体的な内容は書けないくらいイヤな感じだった模様。

HiromitsuTakagi: 岡崎市立中央図書館に電話中。

connect24h: 岡崎市立中央図書館、やっちまったか。RT @HiromitsuTakagi: すごい嫌な感じの対応だった。岡崎市民は立ち上がるべき。

HiromitsuTakagi: すごい嫌な感じの対応だった。岡崎市民は立ち上がるべき。

HiromitsuTakagi: すごいいやな感じがしたのは、名古屋方面の言葉遣いのせいかな。

そして、高木先生は岡崎署の方にもでんわ。twitterでは突っ込まれることの多い大垣靖男氏も岡崎署の方に電話したみたいです。こちらは真面目に受け答えされてますね。

yohgaki: 岡崎署の方は普通でしたね。感じは良い方だったと思います。 @HiromitsuTakagi すごいいやな感じがしたのは、名古屋方面の言葉遣いのせいかな。

yohgaki: @HiromitsuTakagi 予想通りの「捜査中なので質問には答えられない」でしたが、なぜ逮捕が不当である可能性が高いのか検索サイトのクローリングを例に説明したところ電話に出た方は納得したようでした。

HiromitsuTakagi: 愛知県警岡崎署に電話。Q1:産業の発展に萎縮効果が出ると懸念するのですが。A1:捜査中なので新聞発表通りのことしかお伝えできない。やみくもにサーバの機能が低下したからと逮捕したわけではなく、そこまでに至るものはお話しできないですが。 Q2:何かあるんですね。A2:そういうことです。

HiromitsuTakagi: A2続き:おっしゃる通りそういうこと（悪意のない連続アクセスでサーバが落ちたりする）はあると思う。それだけで逮捕できるものではない。Q3:過失でこういう結果を起こしても逮捕されるのかと世間で広がっていて産業の発展に萎縮が出かねないと思う。過去にも事例がなかったと思う。

HiromitsuTakagi: A3:過去にもサーバに負荷がかかって停止に追い込まれ、業務妨害という起訴事例はある。 Q4:その場合、嫌がらせするとか恨みがあってとか、最初に報道される時点でそういう情報が出ていたと思う。今回は何もない。連続してアクセスするプログラムを作って動かしていたという報道。

HiromitsuTakagi: Q4続き:報道は警察の発表に従って出ているものですよね。業務妨害の意図を持ってやったと疑わせるのに十分なだけの何かポイントが、発表になかったのでは？報道されていないということは。A4:報道のあり方ですよね。

HiromitsuTakagi: Q5:報道は警察発表に基づいて…A5:もちろんです。それが産業の発展に萎縮効果をもたらすということですね。Q6:記者に対する発表で、業務妨害の意図を持ったものという肝心なポイントを付けた上で、今回発表されたのでしょうか？記者がそこを抜かして書いちゃったのならマスコミの問題ですが。

HiromitsuTakagi: A5:私は一捜査員なのでその点は把握していない。上層部が検討の上マスコミ発表している。こういった意見が多々あることを上層部にあげて今後検討していかなければならないと思う。捜査自体は故意が認められるという情報を持っているので進めていくが、発表のしかたについては、産業の発展を阻害…
HiromitsuTakagi: A5続き:産業の発展を阻害するのではないか、不安感を煽って萎縮させるのではないかという意見が複数あるということは上層部に伝えたい。Q6:ありがとうございます。

HiromitsuTakagi: 感想。肝心のポイントを発表できない理由があったのだとすれば、この段階で報道させる必要があったのか。記者も言われたままに書いてて疑問を持たないのかね。

HiromitsuTakagi: 補足修正。「過失でこういう結果を起こしても逮捕されるのかと世間で広がっていて…」で言いたかったのは、「行為者としては過失であっても、警察と裁判所の技術的無理解から、故意で以外でそんなことはあり得ないと決めつけられるのではないかという不安感が世間に広がっている」ということ。

yohgaki: Instapaper Pro: ウェブサイトをあとで読むための最強アプリ。iPadのWi-Fiユーザーは絶対必須！< こういう物をうかつに使うと逮捕されかねないのが某市役所管理下の某図書館

そして、脆弱性を発表するものに対する高木先生のご意見。リニューアルされた某社はどうやらセキュリティについてはリニューアルされていないようですね…

HiromitsuTakagi: 脆弱性を発表した者は、その後とやかく言わないのが吉。私はそうしてる。

HiromitsuTakagi: 言うのは1回だけ。あとは人々がどう思うか。

HiromitsuTakagi: あー、でも、はてなについてだけは言いたくなるね。プンスカ。

yohgaki: 時々指摘していますが某セッションアダプションが直らない。考え方が違いすぎて議論しても意味がないので時々指摘するくらいしかしてません。論理的に指摘しても理解しない人は理解しないので。

yohgaki: 考え方が違いすぎる人と議論してもあまり意味がないからでは？ RT @rocaz: これはとやかく言いすぎると感情論に陥るからという配慮でしょうか。それとも美学？ RT @HiromitsuTakagi: 脆弱性を発表した者は、その後とやかく言わないのが吉。私はそうしてる。

yohgaki: 別に私が関わっている某プロジェクトだけでなく、某フレームワークもREMOTE_ADDRが X-FORWARDED-FORで書き換えられるのは脆弱性ではない、と修正を拒否したりしています。レポートして後は関わらないのが良いでしょう。レポートした時点で責任は果たしています。

次は経済産業省のサイト。改ざんされているのか、製作者が仕込んだのか、ミスして流用したコードにリンクが残っていたのかは知りませんが、特撮.comへのリンクが潜んでいたようです。

ockeghem: これはひどい RT @rocaz: こ れ は www RT @ippai_attena: RT @greenmarch: なんだこれ！経済産業省のサイト、一番下のリンクの、利用規約と法的事項の間の「｜」をクリック！http://www.meti.go.jp/

yumano: 黙っておいたほうが世の中のためになりそうｗ RT @ockeghem: これはひどい @rocaz @ippai_attena @greenmarch:経済産業省のサイト、一番下のリンクの、利用規約と法的事項の間の「｜」をクリック！http://www.meti.go.jp/

ymzkei5: んなバカなっ！ｗｗｗ　RT @ockeghem @rocaz @ippai_attena: RT @greenmarch: なんだこれ！経済産業省のサイト、一番下のリンクの、利用規約と法的事項の間の「｜」をクリック！http://www.meti.go.jp/

ockeghem: @yumano @ntsuji @ymzkei5 改竄されたんじゃないのと疑うレベルですね。バックドアなんでしょうか。

ikepyon: 実はRFPに含まれていたとか？（ないないｗ RT: @ockeghem: @yumano @ntsuji @ymzkei5 改竄されたんじゃないのと疑うレベルですね。バックドアなんでしょうか。

yumano: @ockeghem @ntsuji @ymzkei5 特撮好きなひとの自己主張では？

ockeghem: @ikepyon バックドアを設けないこと、とRFPやポリシーに書いてなかったから、制作会社が仕込んでもよいと思っていた?www

と、盛り上がっていると早速修正されたようで、何事もなかったかのように消えてしまいました。釣りだったのでしょうか。

ntsuji: あれ？消えてません？リンク。　RT @ikepyon: 実はRFPに含まれていたとか？（ないないｗ RT: @ockeghem: @yumano @ntsuji @ymzkei5 改竄されたんじゃないのと疑うレベルですね。バックドアなんでしょうか。

ockeghem: 消えたようですね。はやっ! RT @ntsuji: あれ？消えてません？リンク。

ymzkei5: お。消えた。 RT @ntsuji: あれ？消えてません？リンク。 RT @ikepyon: RT: @ockeghem: @yumano @ntsuji @ymzkei5 改竄されたんじゃないのと疑うレベルですね。バックドアなんでしょうか。

ockeghem: この対応の速さはすごい

ntsuji: @ockeghem Twitter経由のアクセスが多くて気付いたのかもしれないですね。それにしても早すぎですよねｗ

yumano: @ntsuji @ockeghem 白昼夢だったのか？！

ymzkei5: 経産省のサイト、ついさっきまで。⇒<a href="main/rules.html">利用規約</a> <a href="http://www.tokusatu.com/">|</a> <a href="main/mers.html">法的事項</a>

ntsuji: 経済産業省と特撮.comの関連性がもの凄く

ockeghem: 最初に見つけた人すごいな。これはレビュアーをお願いしないといけないかもw

ntsuji: お問い合わせフォームから経済産業省に「特撮.com」へのリンクついて質問してみましたが、返事がきませんよ。

ntsuji: 経済産業省と特撮.comの件、保存・まとめをされている方がいますね。http://bit.ly/brrvKI

HTML5 TIPS。まだHTML5は書いたことありませんが、いろいろと対応すべきことがあるんですね。

hasegawayosuke: HTML5 TIPS: クロスドメインXHRでsetRequestHeaderするときは、GET/POSTの前にOPTIONSが飛ぶので、サーバ側ではその対応が要る。

ockeghem: @hasegawayosuke 診断業者の中には、「OPTIONSは危険」とかいう報告するとこもあるみたいですからね

hasegawayosuke: HTML5 TIPS: クロスドメインXHRでCookie送信したい場合は、xhr.xhr.withCredentials =true を事前にセットすること。

hasegawayosuke: HTML5 TIPS: XDMでwindow/iframe間通信するときは、送信元のorigin確認すること。

hasegawayosuke: HTML5 TIPS: クロスドメインXHRでは、サーバ側はリクエストヘッダ内のoriginを根拠に相手を判断、信用してはいけない。非ブラウザなら偽装が簡単なので。

hasegawayosuke: HTML5 TIPS: クロスドメインXHRでCookie送信したい場合は、xhr.withCredentials =true を事前にセットすること。

そして、今週話題だったockeghem氏がWebアプリケーションセキュリティの本を出版されるそうですよ。セキュリティ系の書籍は労力の割に部数が厳しいという噂ですが、売れるといいですね。

ockeghem: 日記書いた『 本を書くことになりました&レビュアー募集のお知らせ』 http://d.hatena.ne.jp/ockeghem/20100528/p1

kinyuka: @ockeghem 来年6月には続編の「超マニアック編」が出版されることを期待してます！

kinyuka: 「完璧なウェブセキュリティ」とかどうですか！

そして、氏の調査でソフトバンクを動かしています。

ockeghem: 本当だ。情報提供ありがとうございます! RT @stsrn: @ockeghem 「ブラウザ機能拡張編」の巻末にDNS Rebindingに関する注記が追加されてますね。http://creation.mb.softbank.jp/

ockeghem: DNSリバインディング対策をキャリアが具体的に指示したのは初めてですね

なかなか両立は難しいですが、攻撃方法を知らない限り守れないですからね。

ucq: 俺が少し攻め方知ってるからって守れると思うなよ！(セキュリティ的な意味で)

うわ、堅牢さ、間違ってる。

totoromasaki: 某地方大学で、ループメールが発生した模様。ただし、不幸中の幸いか、システムは安楽死せず、大量（１００万通超え）のメールが、管理者に届き、管理者が死亡しているらしい。中途半端に堅牢なシステムを作るとこうなるんですな。 *YF*

来月開催されるネットエージェント社10周年記念パーティについて。抽選だったようで、軒並み落選しています。びっくり爺さんは当選したようですが。

ockeghem: ネットエージェントから落選のお知らせorz

ymzkei5: 私も落選しました。（＾ー＾；　RT @ockeghem: ネットエージェントから落選のお知らせorz

ikepyon: うちの若いのも落ちたらしい

yumano: @ockeghem @ymzkei5 TLみながら、まだ届かないな～と待っていたら落選通知をゲットしたぜ！！

totoromasaki: おなじくRT @yamionp: ネットエージェントのレセプションおちたorz *YF*

ikepyon: セキュリティクラスタの人が軒並み落ちていると言うことは、もしかして、そういう人に来て欲しくなかったとかｗ<ネットエージェント（ないない

ockeghem: 場にふさわしくない人種と見られている感がありますね(^o^) RT @ikepyon セキュリティクラスタの人が軒並み落ちていると言うことは、もしかして、そういう人に来て欲しくなかったとかｗ<ネットエージェント（ないない

yumano: 普段からスーツでないとダメとか RT @ockeghem: 場にふさわしくない人種と見られている感がありますね(^o^) RT @ikepyon セキュリティクラスタの人が軒並み落ちていると言うことは、もしかして、そういう人に来て欲しくなかったとかｗ<ネットエージェント（ないない

ikepyon: ドレスコードは半ズボンか、葉っぱ1枚じゃない？ｗ RT: @yumano: 普段からスーツでないとダメとか RT @ockeghem: 場にふさわしくない人種と見られている感がありますね(^o^)

jii3: あら、当選したのじゃ！ #netagent10th

すると、どこからともなく落選組が集まってust見たり講演会が行われそうな勢いに。ちょっと期待したいところです。

ockeghem: 落選者で集まって、裏講演会でもしますか?w RT @ymzkei5: 私も落選しました。（＾ー＾；　RT @ockeghem: ネットエージェントから落選のお知らせorz

hasegawayosuke: 参加希望! RT @ockeghem: 落選者で集まって、裏講演会でもしますか?

ymzkei5: @ockeghem くやしいからそうしようかと一瞬思ったのですが、平日なんですよねｗ

yumano: ちょwww 講演者がきてどうするww RT @hasegawayosuke: 参加希望! RT @ockeghem: 落選者で集まって、裏講演会でもしますか?

ymzkei5: Rejectセキュリティ&プログラミングキャンプに、本物のセキュキャン講師が来たのと同じようなものかｗｗｗ　RT @hasegawayosuke: 参加希望! RT @ockeghem: 落選者で集まって、裏講演会でもしますか?

hasegawayosuke: いまだと @ockeghem さんをスピーカーにした講演会を主催して入場料とったらいいんじゃね。という商売を思いついた。

ikepyon: じゃ、そこでプレゼンしてもらえば良いんじゃね？ｗ RT: @ymzkei5: Rejectセキュリティ&プログラミングキャンプに、本物のセキュキャン講師が来たのと同じようなものかｗｗｗ　RT @hasegawayosuke: 参加希望! RT @ockeghem

yumano: それだ！！！ RT @hebikuzure: @ockeghem ust 見ながら突っ込む会とか。

ymzkei5: ｗｋｔｋ　RT @yumano: それだ！！！ RT @hebikuzure: @ockeghem ust 見ながら突っ込む会とか。


yumano: うちの会社の会議室は借りれなかった・・・どこかスペースないかな。 RT @hebikuzure: @yumano 裏番組ってのがいいなあ

ikepyon: 飲み会だけでも参加したいｗ RT: @hebikuzure: @yumano 裏番組ってのがいいなあ

yumano: ルノアールだと8人部屋 1100/h だ。RT @hebikuzure: @yumano ルノアールのマイスペースとか無線LANもあってよく使うけど

yumano: @bugbird 開放空間でUstをみる集団はちょっと不思議だなぁｗ

bugbird: @yumano 予約入れればレストランの一角を貸し切ることもできます＜都市センターホテル

yumano: @bugbird 参考ありがとうございます。ルノアールだとこんな感じで部屋を借りれるみたいです。結構豊富。APが腐っているのはWiMaxとかでなんとか？ https://www.ginzarenoir.jp/grms/pub/pc/schedule.php?c_type=29

yumano: それありなの？w RT @ripjyr: NA東京本社？とかいうw RT @yumano: ルノアールだと8人部屋 1100/h だ。RT @hebikuzure: @yumano ルノアールのマイスペースとか無線LANもあってよく使うけど

そして、社長さんからのありがたいお言葉。

lumin: 担当者は、画面に向かって謝りながら、泣く泣くメールを送っていました。（手動） #netagent10th

テーマ : セキュリティ
ジャンル : コンピュータ

iPadの日本発売だからなのか、週末に備えてつぶやくヒマもないのか、セキュリティクラスタはおとなしめです。

まずは先週WASForumで発表された、ソフトバンクの携帯電話でなりすましが可能になりそうな件について。ついにソフトバンクの方からJavaScriptをOFFにするよう発表があったようです。

ockeghem: 緊急業務連絡:ソフトバンクから「お客さまにおかれましては、安全の為、携帯電話のスクリプト設定をOFFに変更していただけますようお願い申し上げます。」という案内が出ました http://j.mp/bbZrUg

ockeghem: ソフトバンクのTやPは悪くないのに、十把一絡げでかわいそうな気も…

bakera: これでリダイレクトの件についてもひとまず安心かな。

bakera: [セキュリティ] 「ソフトバンクでは、詐取される情報の内容については、セキュリティに係わる内容で被害が拡大する可能性があるため公表しない方針。」 http://k-tai.impress.co.jp/docs/news/20100527_369911.html

bakera: [メモ] http://mb.softbank.jp/mb/information/details/100527.html

ripjyr: .@ockeghemがSoftbankを動かした、すごい。でも、@hasegawayosukeも Microsoftを動かしている、みんな凄過ぎる。

そして、リニューアルされたはてな。

kinugawamasato: はてな、リニューアルまわりの脆弱性探すかと思って僕のブログをiPhone用URLから見たら（略

bulkneets: 最近のはてな社、サイバーノーガードなのか観測範囲狭いのかよく分からない。

そして、IEは使ってないのですが、意外とXSSフィルタは評判よさげな気がしていたのですが、頑張って検知しようとしすぎてFalse Positive多めなんですかねえ。

bulkneets: IEのXSSフィルタ、ちょっと誤爆多すぎやしませんかね。あんまり酷いととりあえず無効化しておけって事になって実効性なくなるし、X-XSS-Protectionヘッダの転送量が無駄。

そして、一昨日盛り上がったUNIQLO関連。問題点がわかって騒いでいる人と、ただただキケンだと叫んでる人がいて、後者はもうちょっと発言には慎重になればいいと思いました。高木先生は必ず勝ちそうなところでしか勝負しないので、その点は素晴らしいですね。

HiromitsuTakagi: ネタメモ：他サイトのパスワードを入力させて使うサービスが同意確認の際の告知内容と異なる処理をした場合は不正アクセス禁止法3条違反（利用権者の承諾がない）かもしれないが、では、OAuthで権限を得て実現するサービスが告知と異なる処理をした場合は、同法で対処できるのだろうか。

そして、関連して@Hamachiya2氏が冗談で流した、パスワードを入力させるGmail占いを本当にやる人がたくさん出てる模様。やっちゃダメ！ゼッタイ！！

Hamachiya2: 【重要】【RT希望】RT @hokuto_shi [注意] Gmail占いというのが流行っているらしいけれど、入力してはいけない。アドレスとパスワード入力するようになっているけど、危険です！！RTお願いします。 http://bit.ly/aUhHcR

そして、ブログをコピペするわけですね。わかります。

Iori_o: 15歳の少年がブラッディマンデーに憧れてハッカーチームを作っているらしい。俺も参加してみようかな。

yumano: 俺も俺も！RT @Iori_o 15歳の少年がブラッディマンデーに憧れてハッカーチームを作っているらしい。俺も参加してみようかな。

CTF予選のまとめですよ。

tessy_jp: まとめ RT @ctfcentral: http://www.ctfcentral.org/ is now online!

来月発売される、特集が「トラブルシューティング」という雑誌はある意味注目ですよ。

_hito_: なんか、また某ダメ雑誌が「トラブルシューティング」という名でトラブルを量産する方法を特集するらしい。

_hito_: すでに某所の困ったちゃんな人たちと某ダメ雑誌の扱いがヒエラルキー上互換。ちょっと自分の認識を改める必要を感じつつある。虚数だから大小比較できないんだよ！（そこかよ

問題というわけではないんですね。

bulkneets: Amazonが一つのメールアドレスで複数アカウント作れる件について書いた http://subtech.g.hatena.ne.jp/mala/20100527/1274941947

ほんとにできるんですかねえ。

Murashima: 人間をコンピューターウイルスに感染させる初の実験、英研究者が自身の体で -INTERNET Watch http://goo.gl/pBMw

iPad発売について、セキュリティクラスタの人たちの反応。手に入れた人、おめでとうございます。いらなくなったらもらってあげてもいいですよ。

gohsuket: ところで今夜はクロネコの各ステーションは警備強化とかしてないのか？強奪する奴出てきたらどう対処？w

sen_u: 午前中にiPadが配達されないかなァ。少しさわってから出かけたい。

kinyuka: ipadさわりたいなー　ipadさわりたいなー　ipadさわりたいなー

connect24h: 8時からのiPadカウントダウンを見たかったが、娘がゲゲゲの女房を見るということでチャンネルを奪われた・・・_|￣|〇弱い。。。

Iori_o: 今日のうちにiPad持ってキャバクラに行く人が何人いるのか。

sen_u: 今日ほどクロネコヤマトの配送状況がきになってる日はない。

テーマ : セキュリティ
ジャンル : コンピュータ

昨日から気にしていたユニクロの件は、大ごとになってしまったので「UNIQLO LUCKY LINEがtwitterのユーザー名とパスワードをだだ漏れしてるかもしれない件について」にまとめておきました。

で、高木先生の電突が終わった後の反応ｗ

tommy_nezy: 「たかぎひろみつと申します」という電話があったらアラートが鳴り響き赤ランプが回りだしステータス画面には緊急事態の文字が流れ各部署の精鋭が一斉にビル館内のパイプを通って集合し複数の２００インチ大画面を前にして彼の一挙手一投足に反応する、みたいな演出があっても良い時期だと思う。

ikepyon: どこかで、「たかぎひろみつ」先生から電話がかかってきたら、専用シフトが組まれるという組織があるという噂を聞いたことあるような無いような？

そして、某F5社の記事について、名言と突っ込みが。ちょくちょく関わってる某社の記事じゃないですか。うーん、、

yumano: うーん RT WAFの導入によって脆弱性を残したまま、早期リリースが可能になった。 RT @ikepyon: うーん、うーん・・・ http://it.impressbm.co.jp/e/2010/05/25/2294

ntsuji: @yumano 「WAFの導入によって脆弱性を残したまま、早期リリースが可能になった。」ここまできたらもはや名言です。

yumano: F5流の言い方が何か根本的なところを間違えているわけですね。文章を起こした人のせいと思ったり・・・ RT @vulcain: @ntsuji 潜在的に脆弱性が残っていたとしても一定の安全性を担保してリリースする事が出来る様になった。をF5流に言うとこうなるって感じですね。

ockeghem: 『セッション固定化で104日、不適切な認証で125日ほどかかる。』出典は? セッション固定なんて、直すだけなら1分ですむでしょ。104日というのは、取りかかりが遅かったんじゃないの? それに、この2つ、BIG-IP ASMで対策できるのかなぁ

ockeghem: 『ユーザーが気付かないところでWebブラウザからリクエストを発行するCSRF（Cross Site Request Forgery）攻撃などへの対策機能を強化した』って、本当かなぁ。トークン埋め込み? Refererチェック?

そして、図書館のWebサイトに１秒に１回アクセスしてタイーホされてしまったかわいそうな人について。ぼくのhttp://p.bogus.jp/にはgoogleさんが毎日このくらいやってきたりするのですが…　月500円のレンサバですらこれくらいのアクセスじゃびくともしませんが何か？

ymzkei5: “１秒に１回程度の速度”　←これで落ちるとしたら、市販のWebアプリ診断ツールはかけられないな・・・。（＾ー＾；　RT @connect24h @yamatoya @yositosi: 図書館ＨＰにアクセス３万３千回 業務妨害容疑で男逮捕　http://bit.ly/azTQbI

ikepyon: 確かにw 以前計ったら、毎秒10から20ぐらいはリクエスト投げてる RT: @ymzkei5: “１秒に１回程度の速度”　←これで落ちるとしたら、市販のWebアプリ診断ツールはかけられないな・・・。（＾ー＾；

bugbird: 今時、この程度の負荷で落ちるハードなんてないっしょ。アプリが酷いとしか思えん＜岡崎私立中央図書館

ikepyon: ですねぇ。いったいどこの誰が作ったのやら・・・それか未だにサーバーがPentiumだったりして^^; RT: @bugbird: 今時、この程度の負荷で落ちるハードなんてないっしょ。アプリが酷いとしか思えん＜岡崎私立中央図書館

ockeghem: @ikepyon IIS/6.0だから、XPと言うことはない…とマジレス

bakera: @ockeghem: @ikepyon DBもOracleのようですし、それなりの構成のように見えるのですけどね……。

connect24h: 岡崎市図書館HP IIS6.0かぁ。http://ow.ly/1PVYE

yohgaki: 図書館ＨＰにアクセス３万３千回　業務妨害容疑で男逮捕 http://ow.ly/1PV6N この件、納得できないので岡崎署の捜査本部に電話して意見を述べておいた。捜査中なので報道発表以上の事は言えないそうです。意見のある方は岡崎署へどうぞ。

実はこの図書館サイト、robots.txtでクローラを弾く仕様だったようで、もしかすると個人でインデックスを作ろうとしていただけではないか疑惑がわき上がっています。

rryu2010: 図書館の業務妨害のあれは、検索システムが遅くて使えないので独自のインデックスを作ろうとしてクロールしていたとかだっりして。

ockeghem: User-AgentをGoogle BOTに偽装していれば、「あぁ、これは検索エンジンですよ」とかでお目こぼしだったとか? RT @rryu2010: 図書館の業務妨害のあれは、検索システムが遅くて使えないので独自のインデックスを作ろうとしてクロールしていたとかだっりして。

ockeghem: 業務連絡:岡崎市立図書館事件、独自インデックス作成の動機と思われる状況証拠が発見されました http://j.mp/bFXHiS http://j.mp/9OTxor

yumano: DBを引っこ抜くクローラー作ると怒られるのか・RT @ikepyon: www RT: @mugeso: @ikepyon 問題はあんまりいっぱい借りる気もないのに検索しすぎると業務妨害で逮捕される可能性があるってぐらいです。

そして、サーバーがヘボいだけだとよかったのですが…　脆弱性まで発見されてしまいました。

ikepyon: 件の図書館の検索のURLにやばそうなパラメーター（RetPage=../Newbook /0210y.asp）があるのだけど、きっと大丈夫だよね。RetPageだから、戻る先かな？

bakera: @ikepyon これ駄目ですね。orz

ikepyon: とりあえず、O'Reillyで検索してみたけど、件数が0件だったｗさすがに、 O'Reillyは大丈夫だよね？

bakera: 届け出ておきました。他にもいっぱいありそうですが2件のみ指摘。

その他気になるWebサイト。

laccotv: 川口洋のつぶやき 第１４回を公開しました。 「知らずにあなたもダマされる～CAPTCHAにご注意！」 ～ 今回は増殖し続けるウィルス配布サイトにあなたも加担しているという怖いお話 http://www.youtube.com/watch?v=T6m7Uvg2WuA

ripjyr: I'm reading now:Google Analyticsへの情報送信を止めるブラウザーアドオン、Googleが公開 http://internet.watch.impress.co.jp/docs/news/20100526_369534.html?ref=rss

mincemaker: P2Pでトロイ入りのエロゲ配布してた人捕まったのか。 http://www.yomiuri.co.jp/national/news/20100526-OYT1T00076.htm

お(・∀・)め(・∀・)で(・∀・)と(・∀・)う！

ockeghem: 皆さん、聞いてください。弊社もついにbogusnewsに取り上げられました(^o^) http://bogusne.ws/article/151092564.html

テーマ : セキュリティ
ジャンル : コンピュータ

今日はデータベース・セキュリティ・コンソーシアム(DBSC)春のセミナーというのがあって、そこで行われていたクラウドと個人情報保護法のツイートが個人的には面白かったのですが、長すぎたので、Toggeterの方にまとめておきました。（http://togetter.com/li/24034）


で、他にもクラウド絡みは人気のようで、３月まで関わってた某社でもそんなセミナーだとか特集だかの話がいっぱい出てました。

ripjyr: I'm reading now:【座談会】仮想化／クラウド時代のシステム運用管理では何が重要となるのか？ http://www.computerworld.jp/topics/mws/182169.html?RSS

で、こちらはアプリケーションプログラムのUnicodeから他コードへの変換によるディレクトリトラバーサルの話。

ucq: 円マークはU+00A5

ucq: これ使うとXPで面白いことができたり。

ucq: 円マークを通常のバックスラッシュに変換するせいでディレクトリトラバーサルができるだけなんだけどね。

hasegawayosuke: @ucq: このへんの話すねー。 http://gihyo.jp/admin/serial/01/charcode/0008 他に何かおもしろい発見あったら教えてください。

ucq: @hasegawayosuke まさにその問題ですね。 XPだったと思うのですが..\test.exeというファイル名にするとディレクトリトラバーサルができましたね。他にも実験した覚えがあるのですが残念ながら手元に情報が残ってません。

hasegawayosuke: @ucq それはどのプログラムが CreateProcess を呼び出したか、に寄りますね。しょぼいランチャーとか…。 CreateProcessWは当然Unicode対応しているので、-Aが呼ばれたかあるいは-Wにたどり着くまでにいったんANSIに変換されたか。

hasegawayosuke: ちなみに Vista でも Help viewer hh.exe は引数をANSIとして扱うので、"\..\..\..\..\windows\help\mui\0411\tcpip.chm" というファイルをダブルクリックすると Windows標準のTCP/IPのヘルプが起動する

ucq: @hasegawayosuke 問題はそのプログラムがexplorer.exeたんなのです。。。

hasegawayosuke: @ucq explorer.exe は Unicode 対応している(手元にXPないけど死ぬほど実験したので断言できる)。それは、"programs.exe" みたいな話じゃないの?
hasegawayosuke: s/programs/program/

ucq: 具体的にはダブルクリックだけで発動。あ、でもexplorerは関係ないかも。とにかく内部で何かおきてた

ucq: @hasegawayosuke うーん、ということは間に入ってたアンチウイルスソフトなどが関与してたのかもしれませんね。

ucq: 実験時の環境が悪かったのかも

hasegawayosuke: @ucq: ちなみに少し前のアンチウイルスソフトは、"\..\" というフォルダを作っておくと、スキャン時に再帰で上位にトラバーサルしてスキャンが終了せずCPU100%で貼りつくやつとかあったよ。

ucq: @hasegawayosuke へー、そういうのもあるのですか。それはスキャン回避テクニックに使えそうですねw

学位取得というから自動的に単位取ってくれるのかと思ったら、ディプロマミルのスパム撒くだけみたいです。なんだ。

scannetsecurity: 世界的にUSBワームが蔓延、アジアでは学位取得スパム--四半期レポート（マカフィー）: http://url4.eu/3iwV6

ケータイのJavaScriptでのヘッダ書き換えの件。

ockeghem: 『SoftBank ウェブコンテンツ開発ガイド［ブラウザ機能拡張(500k 対応)編］』によると、『書き換え可能なヘッダは"x-xhr*"のみ』ということで対策したのですね http://j.mp/c2bLc7

基本的に悪いことするならネットカフェ使うでしょ。もしくは野良AP。見つかってない事例も多いんじゃないでしょうか。

ymzkei5: “ネットカフェで発生した事件は、認知件数全体の0.2％に過ぎないが、1店舗あたりの発生率に換算すると、1.4件という数値になる”　＞■2009年のネットカフェ犯罪情勢～警察庁の資料から　http://bit.ly/cfUqxv

日本からDEFCONのCTF本選に出場される人がいるようです。

connect24h: なんか、某さんは外国チーム所属で本線出場が決まったと風の噂で聞いた RT @tessy_jp: RT @sbrabez: Defcon CTF quals 2010 writeups by @swolchok http://scott.wolchok.org/ctf2010/

tessy_jp: @connect24h 噂は速いですねｗ

そういや、iPhoneだと駅で勝手に無線LANがつながったりしてびっくりすることがありますが、どこでもつながればびっくりすることもなくなるのになあ。

kinyuka: もう都心は全部WiFiフリーアクセスにしちゃえばいいのに　え？無線LAN税？？

テーマ : セキュリティ
ジャンル : コンピュータ

22日のWASForumで公表されたソフトバンクの「かんたんログイン」に対する脆弱性について。DNSリバインディングとJavaScriptでなりすまし可能だそうですよ。

ockeghem: 昨日のWASForumカンファレンスに孫社長はお見えになりませんでした。現状をお伝えしたかったのに、とても残念です。これからアドバイザリなどで広く公開します

ockeghem: 『セキュリティ情報 - Yahoo!ケータイの一部端末に「かんたんログイン」なりすましを許す問題』 http://www.hash-c.co.jp/info/2010052401.html

rocaz: ケータイ会社が脆弱性を認めて修正した例ってあるのかな？docomoの例のは正式なコメントは出てたんだっけ

ockeghem: 出てないと思います。関連: http://j.mp/bh5Z24 RT @rocaz: # ケータイ会社が脆弱性を認めて修正した例ってあるのかな？docomoの例のは正式なコメントは出てたんだっけ

rocaz: 認めたら自分らの信頼が傷つくとか思ってるんですかね。だとしたらひどい話です

rocaz: .@masason 孫さんにつぶやかないと何も動かないらしいですよ(苦笑) RT @ockeghem: 『セキュリティ情報 - Yahoo!ケータイの一部端末に「かんたんログイン」なりすましを許す問題』 http://bit.ly/cizsYY

ockeghem: リリース公開する前に何度かつぶやきましたが、お返事いただけなかったので、公開に至りました

connect24h: 意味が分からなかったのでは。

rocaz: ケータイ系の脆弱性は0-dayのデフォルト公開でいい気がしてきました(笑)

ockeghem: 公開にあたっては慎重な判断は求められますが、基本的には同意です。端末の修正に時間が掛かりすぎるので、回避策があれば、即座に公開した方が良い場合が多いと思います。

そして、直訴。

ockeghem: .@masason Yahoo!ケータイの「かんたんログイン」なりすましの件を報告したものです。実は、孫社長ならこの問題を1秒で解決できます。社長から『ソフトバンク社は「かんたんログイン」など認めていない、だからこれは脆弱性ではない』、と言っていただければ全て解決です

ymzkei5: これで孫さんから返事が来たら、徳丸さんのサイトも、晴れて500エラー頻発になりますかね。（ドキドキｗ

ockeghem: いや、まじでそれが一番心配なのですけど。サーバー増強となると、ますます出費がかさみますよ w

ymzkei5: 有名税・・・ですね？ｗ

bakera: @ockeghem 公式という言葉で思い出しましたが、本件に関しては公式サイトが影響を受ける可能性もありますよね? そうであれば、ソフトバンク側から公式サイトに対してアナウンスがあってしかるべき状況でだと思うのですが。

ockeghem: .@bakera キャリア公式については、関わるべき立場でないし、関わりたくもありませんねぇ。お仕事として依頼が来れば別ですが・・・来ないような気がしますがw<

bakera: 利用者の立場からすると、課金も絡む公式サイトのほうがより重要な話。建前上はキャリアが責任を持つのでしょうが、現実問題としてその動きにあまり期待できないとなると、うーむ。問題を理解している人々が協調して行動できると良いかな、と思うところですね。

ockeghem: お金が絡んでいたり、重要度の高いサイトが相手ですからね。意見を言える立場の人が疑問や要望をどんどんあげていくしかないのではないでしょうか RT @bakera: …課金も絡む公式サイトのほうがより重要な話…問題を理解している人々が協調して行動できると良いかな、と思うところですね。

そして、まだまだたくさん見かけるXSSについて。はてなは晒すと修正されて、ライブドアは@bulkneet 氏宛につぶやくと5秒で直るらしいですよ。

kinugawamasato: はてなのウクレレ記法によるXSSが修正されたよ！ http://d.hatena.ne.jp/masatokinugawa/20100524/uke_xss

kinugawamasato: @bulkneets ありがとうございます！livedoorのXSSもmalaさんにDMすれば手っ取り早いですか！

bulkneets: @kinugawamasato マジレスするとさらすと直るんじゃなくて俺がいちいちIRCで知り合いに連絡していて面倒くさいのでjkondoってひとに@を飛ばすと良いですよ。はてなスタッフらしいです。

bulkneets: @kinugawamasato なんでもどうぞ。その方が早いです。

kinugawamasato: livedoorが5秒でXSS直してきた

就活サイトから個人情報が丸見えだったり、googleのキャッシュから見れたりしたそうです。googleクロール用にユーザーを発行してて、そいつが他の人の情報を取れたりしたのでしょうか。そもそも、他のユーザーの個人情報が見られるだけで最悪ですが。

ymzkei5: エンジャパン。＞■就活サイトから個人情報が丸見え！ネットで非難の嵐が。(秒刊サンデー)　http://news.livedoor.com/article/detail/4785515/

bakera: [メモ] 発端となった投稿。このメールの書き方だと、公開してはまずいURLだとは思えないでしょうね。 http://namidame.2ch.net/test/read.cgi/recruit/1274023215/12

ymzkei5: たしかに！（ー＿ー；　RT @bakera: [メモ] 発端となった投稿。このメールの書き方だと、公開してはまずいURLだとは思えないでしょうね。 http://namidame.2ch.net/test/read.cgi/recruit/1274023215/12

CTF予選に日本から参加していたチームSUTEGOMA2は一時期14位まではランクアップしたものの、20位だった模様。皆様2日間お疲れ様でした。

sen_u: お、14位！がんばってくださいー http://stalkr.net/defcon/scoreboard.htm RT @tessy_jp: 来るか？ ｗｋｔｋ

tessy_jp: あと800点くらい？ くやしー 残り2時間切ったけどまだまだ頑張る。

tessy_jp: お疲れ様。今一歩届かず．．．

yumano: sutegoma2 20位 おつかれさまでした　http://bit.ly/9XHCd0

そして、ちょっと気になるサイトたち。この後突っ込みが結構入ってた気がするので、気になる人は@bakeraさんのつぶやきをチェック。

bakera: [セキュリティ] こんなのあったのですね……。あとで。http://www.ipa.go.jp/security/awareness/vendor/programmingv2/contents2/index.html

ripjyr: うぉー！すげぇ充実してる。 QT @libraryp: 充実っぷりがすごい TrendMicro Download Center - Pattern Files http://tinyurl.com/39zgvl6

lac_security: 気になるニュース　１０００人ですか・・　「米国防総省、米軍サイバー対策を統括する司令部を設立」　http://itpro.nikkeibp.co.jp/article/NEWS/20100524/348338/?ST=security　（＾む）

今、テンペストの研究してる日本のセキュリティ企業ってあるんですかねえ。電波暗室とかで常日頃測定してたりするのでしょうか。

ymzkei5: IPAから私宛に封筒が届いたが、部署名の「ペンテスト技術部」が「テンペスト技術部」になっていた。そっちのセキュリティじゃありません。(笑

テーマ : セキュリティ
ジャンル : コンピュータ

休み前でつぶやいてる暇がないのか、明日から始まる週末の戦いに備えているのかわかりませんが、今日のセキュリティクラスタのTLはおとなしめです。


WASForumは私も行きますよ。どこかに潜んでおりますので、見かけたら声くらいかけてくれると喜びます。
ちなみに明日の予定はToC→WASForum→Giroとなっております。

sen_u: 明日ですよー。#wasf RT @mohri: WASForum Conference 2010 | Web Application Security Forum - WASForum http://bit.ly/diTLWX って明日だったのか

はてなってXSS対策しないんですかねえ。それにしてもパレード面白いので僕も何か見つけたらパレードさせてみたいです。

kinugawamasato: サービス公開日に指摘したはてな上でパレードが見れてしまう脆弱性いまだになおんないな http://bit.ly/bI99yG

kinugawamasato: ちなみにこの時のも直ってないし http://twitter.com/kinugawamasato/status/12628817431 これも別件→http://twitter.com/kinugawamasato/status/13858908387 ちょっと遅いような

そして、MTのXSS　…って以前修正されてたやつですかね。

JVN: Movable Type におけるクロスサイトスクリプティングの脆弱性 http://jvn.jp/jp/JVN92854093/

「USBメモリの自動再生機能の無効化」や「Windowsのエクスプローラからのファイル閲覧」といった従来の感染回避策が、逆に感染のきっかけとなってしまう、ですって。USB挿せない某社ピンチ。

scannetsecurity: AutoKeyを悪用する新たな「オートラン」を確認、従来の回避策で感染（トレンドマイクロ）: http://url4.eu/3cWyW

こわいこわい。

ymzkei5: ■インド、中国製通信設備・機器を締め出し　“スパイ部品”組み込まれ　http://sankei.jp.msn.com/world/asia/100518/asi1005182103007-n1.htm

都合よくデータを読まないってのはどんな仕事でも大事なことですね。

port139: フォレンジック調査を行なう技術者が気を付けるべき精神論？についてもマインドマップ化した方がよいと思いつつも、気が重くて（笑）手が動かない今日この頃。例えば Atimeは人がアクセスしたとは限らないので注意すべし！とか、都合ようデータ読まない！とかそいうのあるとミスが減らせる？！

テーマ : セキュリティ
ジャンル : コンピュータ

今日のセキュリティクラスタの話題はSymantecがVeriSignのセキュリティ事業を買収することについてです。さすがに業界の大手のことなので食いつきが違います。

ripjyr: I'm reading now:Symantec、VeriSignのセキュリティ事業を買収へ http://www.itmedia.co.jp/enterprise/articles/1005/20/news023.html

connect24h: えぇぇぇぇ。また、食べておなか壊すぞ。

sen_u: えーー。
sen_u: そしてVerisignには何が残るんだ？

ockeghem: 僕もそれを思った RT @sen_u: そしてVerisignには何が残るんだ？

sugusugu77: @sen_u ドメインレジストリ業務。気になるのは、root dns のDNSSEC対応部門は、セキュリティ事業部分なのか、それ以外なのか。セキュリティ事業側には含まれていないと思うんだけど、確認は必要ではないか？

sen_u: そうかそれが残ってましたか。DNSはどっちだろう。 RT @sugusugu77: @sen_u ドメインレジストリ業務。気になるのは、root dns のDNSSEC対応部門は、セキュリティ事業部分なのか、それ以外なのか。セキュリティ事業側には含まれていないと思うんだけど、確認

sen_u: symantecのプレスリリースを見る限りはDNS関連はなさそう。Verisignから買収するのは証明書とPKIかな。 http://bit.ly/cZ5f3N

sugusugu77: @sen_u DNSSECって、DNSへのPKI応用そのものなんだけど。ドキドキ....

sen_u: むー。

そして、過去の買収話に。

MasafumiNegishi: しかし、Symantecってセキュリティ会社を次々と買収するけど、うまくいったケースってあるのかね?

connect24h: ほとんど無い。マカフィーも同じ。コアな技術者みんなやめちゃうし。

tessy_jp: そういえばiDefenseもSymantecになるんかしら？

moton: Symantech Deepsightとかぶりますよね(^_^;) RT @tessy_jp: そういえばiDefenseもSymantecになるんかしら？

kensukesan: かぶるのは飼い殺して市場独占（

そして、Symantecによって買収された会社の技術者がいなくなる理由について。

kensukesan: 大抵、買収された会社の給与水準より買収した会社の給与水準の方が安いから・・・と Symantecの知り合いが言ってた RT @connect24h ほとんど無い。マカフィーも同じ。コアな技術者みんなやめちゃうし。

connect24h: そうそう。Symantecは給与が余り高くないらしいし。まぁ、入社の経路（ストレージ系とか）によるらしいけど。

kensukesan: 給与体系 事務・経営系 > 技術系 も大きい。大体、SAVの定義作ってるやつでMAXで年俸５Mくらい・・・

kensukesan: あ、５M円です（笑 RT @connect24h 5Mドル？5M円？　RT @kensukesan: 給与体系 事務・経営系 > 技術系 も大きい。大体、SAVの定義作ってるやつでMAXで年俸５Mくらい・・・

kensukesan: あー、というか、日本のSymantecの事務方の知人からの情報ですけどね RT @connect24h いやいや。それはない。フィリピンとかなら分かりますが・・・日本だったら、もうちょっとましでしょ。

connect24h: 外資系なので、新卒入社があるか分かりませんが、入社経緯で年収は違うはず。5M円の人もいれば10M円の人もいると思いますが、あと平均は知らない。 、年収なのか、手取りなのかも　RT @kensukesan: あー、というか、日本のSymantecの事務方の知人からの情報ですけどね

発注側のセキュリティ要件の取り組み方についての原稿に、容赦ない突っ込みが入ってます。

ockeghem: 典型的にダメなセキュリティ要求の例ですね。RFPにアンチウィルスの要求があるから WindowsでWebサイトを構築するという見本 RT @ripjyr: I'm reading now:セキュリティに関する要求の取りまとめ方 http://j.mp/asWbvt 。。。。。ん？

ockeghem: ですね。あとインフラについてはサポートライフサイクルに言及して欲しいです。 RT @rryu2010: @ockeghem インフラに寄りすぎているというか、肝心の構築するシステムについてはシステムセキュリティポリシーの一言で何も書いてないに等しいですねえ。

ikepyon: @rryu2010 確かに。それに機密性に偏りすぎ。可用性や完全性についての話が無い。STRIDEについてきっちり考えてRFPは作ったほうがいいと思うけどなぁ

ikepyon: それに、アクセス権はフォルダ、ファイルじゃなくて、どのデータにどういうアクセス権を与えるのかと言うのがいいと思うんだが。データの集合がファイルになったり、ファイルの集合がフォルダになるわけだから
ikepyon: ファイル、フォルダは作る側に自由にさせてくれよとか思う

bakera: @ockeghem 「ユーザがファイルアップロードできるサービスではウィルスチェックをしなければならない」というポリシーなら実際にありますよね。そういう具体的な要求があるなら良いと思いますが……れはそれで良いと思いますが、この書き方は意味がわからない

ockeghem: ですねぇ。そうすると公開サーバーにアンチウィルスいれないでも構築する方法ありますし。 @bakera: @ockeghem 「ユーザがファイルアップロードできるサービスではウィルスチェックをしなければならない」というポリシー…そういう具体的な要求があるなら良いと思いますが……

ockeghem: でもITproに出ていたセキュリティ要求が、今の世の中の典型で、まだセキュリティ要求の項目がRFPにあるだけマシというのが実態だと思います

rryu2010: @ockeghem インフラに寄りすぎているというか、肝心の構築するシステムについてはシステムセキュリティポリシーの一言で何も書いてないに等しいですねえ。

ikepyon: @ockeghem それはそうかもしれませんね。セキュリティはよきにはからえが多そうだし・・・

ikepyon: せめてRFPにはこういう脅威があるから、なんか対策考えて！ぐらいは欲しい。具体的な実装方法はベンダーまかせで良いと思うんだよなぁ。

ikepyon: でてきた対策の有効性とか評価するの大変だろうけど

ockeghem: そそ。コスト見合いの中で、有効な対策を形にするのってすごく難しいし、それを評価できる人も少ないです RT @ikepyon: でてきた対策の有効性とか評価するの大変だろうけど

ikepyon: @ockeghem オレオレセキュリティ要件みたいなのをRFPや仕様書に書かれて、これ意味無いよなぁとか思いながら作るのも嫌ですけどｗ

ナイス突っ込み。

ntsuji: 「Webサイトの改ざんを確認できるサービス、リンクらが提供」http://bit.ly/92HlcQ 「改竄チェッカーでは、特定のスクリプトやコードに依存しない」ですが、この仕組みは「動作環境：Red Hat Enterprise Linux ES4/5」なんですね。

Cookieを悪用したSQLインジェクション攻撃が多いそうです。注意しましょう。

lac_security: 現場の一言。18日夜からCookieを悪用したSQLインジェクション攻撃 (Declare)がやたら多い。攻撃者の狙いはウェブサイトを改ざんし、アクセスしたユーザにウイルス感染させることです。 (^あ）

セキュリティ系の会社に勤めてると、セミナーやカンファレンスには経費で参加できていいですね。うらやましいです。

ymzkei5: ぬわにぃ・・・！ WASFカンファレンス2010の参加費、自腹で払ったのに・・・。 まさか会社にチケットがあったとは・・・。（涙

どこにもお値段が書いてないと思ったらタダだったのか…　知らなかった。

ripjyr: 6/1 ネットエージェント設立10周年記念カンファレンスやります。僕もパネルで登壇します！10年分の愛をこめて祝賀パーティも含めて参加費無料です！http://bit.ly/NA-10th-Aniv #netagent10th

テーマ : セキュリティ
ジャンル : コンピュータ

いよいよDEFCONのCTF予選が始まるようです。去年12位で惜しくも本選に行けなかった日本のチームsutegoma2は、悲願の本選参加が達成できるのでしょうか。

yoggy: DEFCON 18 CTF予選の参加登録は5/20(木) 19:00(JST)までなので、参加される方はユーザ登録をお忘れなく～

yoggy: あと、チームsutegoma2でCTFに参加を希望される方は、こちらから登録をお願いします。登録された方には参戦時に使用するMLなどの情報を送ります ＞http://ja.avtokyo.org/projects/ctf10/5th

そして、DEFCON当日に参加できるOpen CTFの申し込みも始まっているようです。英語がわからないと、会場で何しているのかすらわかんないですけどね（経験者談）ｗ

ucq: 8人までみたい RT @yumano: 登録しなくちゃ RT @thedarktangent: #DEFCON Open CTF registration is open! http://www.tubewarriors.org/teams/new

tessy_jp: @ucq これは会場でやっているやつですよね？ ＞OpenCTF

yoggy: 当日会場で誰でも参加できるCTFで、昔は"amateur CTF"という名前だったような気が RT @ucq: そんなのあるんだー RT @tessy_jp: @ucq これは会場でやっているやつですよね？ ＞OpenCTF

引き続き昨日のトラストバウンダリについての意見です。

rryu2010: 大垣さんの記事は「周りは全て敵！自分の中にも敵！だから常に警戒すべし！」って言ってるだけで結局トラストバウンダリは何もしてないんですよね。

ockeghem: だいたいあの人、「××すればOKというのは間違い」という指摘で、××を間違った方法で使っている例を示すんだけど、間違った使い方でも大丈夫という便利な方法はないでしょ。一件問題ない使い方で実はダメという例を示さないと。

ockeghem: そもそも「危険なデータ」ってなんなのですかね。データ単体では危険なはずがない。それを扱うプログラムの問題。受理すると決めたら淡々と処理するしかないし、受理できないデータはエラーにすればよい。受理・不受理の基準はアプリケーション要件であって、セキュリティの問題ではない。

そして、著者の方からも意見表明が。

yohgaki: @ockeghem 主語がないと「危険なデータ」は無いですね。「危険なデータ」は入力と限らないので、受理・不受理だけでなく出力も考えないと。

そして、セキュリティ教育についての意見。モデリングですか。

yohgaki: モデリングの意味を理解しない人がセキュリティを教えるとロクな事にならない。

yohgaki: モデリングだけでは役に立たないので十分条件ではないが必要条件。頭の中で明確に正しくモデル化していれば「これで十分なのだろうか？」と悩む必要が無くなる。

yohgaki: 間違ったモデル化は混乱の元なので違うモデルを提唱すればよい。IPAのモデルは間違っている、とまでは言わないが、無用に複雑化している。モデルはできるだけ広範囲の概念を単純に表現できる物の方がよい。

yohgaki: セキュリティでモデリングが軽視されるのは何故だろう？プログラミングなんてモデリングの塊のような物なのだけど。

yohgaki: モデルは視点が変わると変化する事も忘れてはなれない。ユーザに分り易いモデル ！＝ 開発者に分り易いモデル。

Metasploit Framework とMetasploit Framework Experssの新バージョン。Expressって3000円じゃなくて3000ドルもするんですね。

hdmoore: Metasploit Framework 3.4.0 released and Metasploit Express is available! http://bit.ly/4ttKqY (blog: http://bit.ly/b3Upg0)

XSS発見の第一人者がmsdn.microsoft.comにXSSを発見した模様。

hasegawayosuke: found XSS in msdn.microsoft.com ...

hasegawayosuke: haha, IE8 blocks it but Chrome cannot. ALL YOUR XSS ARE BELONG TO IE8.

そして、オープンリダイレクタも発見したらしいです。これで怪しいサイトでも短縮してリダイレクタを通されると、誘導されてしまう人はおおいのではないでしょうか。そして、MSに騙されたヽ(｀Д´#)ﾉ ﾑｷｰ!!ってなるのかも。

hasegawayosuke: found open redirector in microsoft.com ... ALL YOUR URL ARE BELONG TO MICROSOFT.COM

テーマ : セキュリティ
ジャンル : コンピュータ

FC2もTwitterに更新を告知できる機能が付いたようで、さっそく告知することにしましたよ。

みなさん本業であるセキュリティ系の原稿には容赦ない突っ込みが入ります。書いた人も大変です。とても自分で書く気にはなりません。

bakera: [メモ] @ockeghemさんが後で書くかも。http://gihyo.jp/dev/serial/01/php-security/0028

ikepyon: 抽象的すぎると何をすればいいのかわからない人が多い。だから、具体的なものをテンプレートというかパターン化したものが必要だと思うんだよねぇ

ikepyon: なんか、新しい言葉出してくるのが好きだなぁ。それに、入力チェックより出力の安全性というか意図したとおりの出力かのチェックのほうが適切だと思うけどなぁ

bakera: 前半では「トラストバウンダリ」という考え方が有効だと言っているように読めるのに、後半ではその考え方は通用しないと言っているように読める……。バウンダリの内側に信頼できないデータがあるということは、バウンダリが機能していないということだと思うのですけど。

ockeghem: 某氏の寄稿に関して僕が後で書くかもとコメントされていた件。昨日僕も読みましたがあまりに冗漫で、どう突っ込んだらいいのか呆然としました。その点、“完璧なWAF”は突っ込み可能という点で優れていると感じました

GoogleやYahooを利用してマルウェア配布だそうで、GoogleやYahooだからといって簡単に信用はできないわけなんですね。注意しましょう。

lac_security: 気になるニュースですね。「Googleグループ」を悪用してマルウェアを配布させる攻撃が発生　http://www.security-next.com/012580.html

dry2: グループだけじゃなく、サイトやドキュメントもね。あと、ヤフーも。 QT @lac_security: 気になるニュースですね。「Googleグループ」を悪用してマルウェアを配布させる攻撃が発生 http://www.security-next.com/012580.html

昔のインターネットとかパソコン通信ってよく接続料で大変なことになってたのをお思い出します。あと、ダイヤルQ2。

hatebu: Togetter - まとめ「クラウド破産」 (106 users) http://bit.ly/95EtOa

なんかJSPっぽいのが埋め込まれているような…　

ockeghem: な、なんなんだ。この検索結果は… http://www.google.co.jp/search?&q=JPHONE_UID

引き続き携帯電話のセキュリティについて、個体識別番号ってMACアドレスみたいに考えておけばいいのかなあと思う今日この頃。

bakera: そもそも、EZ番号で迷惑行為を防止しようとするのは妥当なのでしょうか。本来、EZ番号はそういう用途に使えるものなのか、キャリア側の認識を知りたいですね。 http://takagi-hiromitsu.jp/diary/20100516.html#p02

ゴルゴもうかうかしてられません。

scannetsecurity: 海外における個人情報流出事件とその対応第220回 スイス銀行300年の秘匿主義に終止符？（2）不正に入手した情報で脱税者を告発: ●不正に入手した情報で脱税者を告発 http://url4.eu/3VxvK

うへえ。うっかりハッキング系のサイトとか覗いてられませんね

ripjyr: I'm reading now:ほとんどのブラウザーで個人を識別できる“指紋”を残す、米EFFが警告 http://internet.watch.impress.co.jp/docs/news/20100518_367713.html?ref=rss

紙って意外と真正性を保つのって難しいと思うのですが。

Ryunosuke_: 上書き、消去、ハッキングの出来ないペーパーメディアの魅力

なに、その会社。社名が知りたいところです。

hir0_t: Joeアカウントになっているので指摘したら、共有端末だから業務上仕方ないとか、指摘しても無駄とかいわれてしまった。共有端末だからってJoeアカウントでないと駄目な理由が全くわからない。

テーマ : セキュリティ
ジャンル : コンピュータ

結局、EXPOには行けず。昼から動き始める生活態度を改めないといけませんなこれは。

同じような人発見。

vulcain: 結局、EXPO行けなかったな

そして、EXPO情報。初日でなくなったのかと思ってました…　意外と残ってたんですね。

yumano: . @ghetto2199 @akiragi @connect24h @F0ro 情報セキュリティExpoから離脱した。yaraiのRC版をゲットしたぜっ！

Windowsのリモートデスクトップクライアントがいろいろあった記憶が。あとMacもいろいろできましたよね。そして、VNCもあるに違いない。

yumano: こういう製品があった＞情報セキュリティExpo RT @shiroutoSEO: 今更知ったけどiPhoneでPCを遠隔リモート操作出来るとか凄い。

昨日に引き続き変態系プログラミング。誰かこれでWeb作ってください。お願いします。

hasegawayosuke: 顔文字系JavaScriptできた。 Japanese style emoticon JavaScript encoder. http://utf-8.jp/public/aaencode.html

mincemaker: aaencode で生成される文字列を見ると元気になってきました。(30歳・無職男性)

ymzkei5: ターゲットのブラウザを書いておいた方が良いかも。IEで動かないーと泣かれる前にｗ　

hasegawayosuke: IE8ならアドレスバーにコピペすれば動くYO! RT @ymzkei5: ターゲットのブラウザを書いておいた方が良いかも。IEで動かないーと泣かれる前にｗ

Metasploitなどを使ってtftpdをFuzzingする動画と、説明のpdfがダウンロードできます。日本語で誰か作って公開したりしないものですかねえ。

yumano: 参考資料 exploit writting 説明PPT http://www.nullthreat.net/blog/2010/5/4/fuzzing-and-exploit-development-with-metasploit-louisville-m.html

自分が考えてることを、他の人も似たようなことを、独立して同時に考えているってことは意外とありますよね。ちなみにテレビでしゃべってることと自分の考えが同じで、自分の頭の中が覗かれていると思ってる人は、心の病気だと思いますので病院の方に行った方がいいと思いますよ。

yohgaki: gihyo.jpに書いた記事に似てる http://itpro.nikkeibp.co.jp/article/COLUMN/20100422/347383/ Webコンテンツの改ざんを発見する

yohgaki: それが4月はじめに書いたのですがまだ記事としてリリースされてないのです。 RT @haraoka: @yohgaki パクられたのかもしれませんね…

これはちょっと面白そう。WiFiローミングなんですね。http://en.wikipedia.org/wiki/WISPrを参照しましょう。

h12o: メモ: wispr: Wireless Internet Service Provider Roaming: 公衆無線LAN等のログインに必要な情報がXMLで降ってくる仕組み(豪快にいろいろ省略)。

ロシアこえー。

ttolentino212: Hacked Twitter Accounts for Sale http://bit.ly/aFuvbh #security

白浜も久しぶりに行ってみたいなあ。海岸の無料の温泉ってまだあるんでしょうか。誰か連れてってくれないかなあ。もしくは取材。

lac_security: 第14回サイバー犯罪に関する白浜シンポジウム　今年は、「有害サイトから、子ども（我が身）を守ろう」　だそうです。　弊社　西本　及び　Ｓ＆Ｊコンサルティング三輪氏の講演もあります。　http://www.sccs-jp.org/SCCS2010/index.html

某社も叩かれながらも、いろいろ頑張ってるんですね。そういや、NTTPRっていう公式アカウントが気になります。あの人って持ち株？

scannetsecurity: docomo IDにも対応、NTTグループなどへのシングルサインオンを提供（NTT Comほか）: http://url4.eu/3PNSF

テーマ : セキュリティ
ジャンル : コンピュータ

引き続き今日もセキュリティエキスポです。私も見に行こうかと思っていたのですが、あっという間に時間が過ぎていって…　そういえば、招待券がないと入るのに5000円もかかるんですね。

ikepyon: ビッグサイト向かうなう
ikepyon: 知り合いが誰も来なかった（涙ｗ

同時開催のクラウドEXPO？でのクラウドのセキュリティについてのパネルディスカッションの@connect24h氏によるツイートが興味深いです。見てるうちに時間が過ぎていきましたとも。

connect24h: クラウド パネルディスカッション なう 小野寺さんが髭をそっている。もみ上げもない。えらく若くなっている。 *Tw*

connect24h: IIJ　クラウドの説明 IIJ　GISか。

connect24h: データの機密性。クラウドだからセキュリティも雲の中ではない。その雲の中では、人がいてちゃんと管理されている。問題は、ちゃんと管理されていないクラウド業者がいた場合か。

connect24h: クラウドでもBy Nameで運用者を指定する場合もある。（Microsoft）その場合は個別契約。

connect24h: ユーザにはフロントの業者御者しか見えないので、SLAを99%だと考えていても、実際の稼働率はPaaS業者にとっての稼働率だったりする。Microsoftでは、管理上のダッシュボードで稼働率監視手段を提供する。

connect24h: IaaS業者として、提供するOSのデフォルト設定をある程度要塞化していても、SaaS、ユーザ側がサーバ設定をゆるくしてしまう場合があり、そこのコントロールはIaaS業者側では不可能。

connect24h: 日本オラクル北野さん「皆さんがクラウドがセキュリティが心配だからといっても、その心配は皆さんの心の中にある」会場で、今回一番の笑い。リスクを開示して正しくエンドユーザが判断できる情報が必要。その判断根拠がまだ不明。

connect24h: ISMSでも取得しているなら、ISMSの取得過程のエビデンスを見せてもらえる家など、情報開示が重要。どこまで情報開示できるかのバランスが難しい。当然、DCとしての機密情報もある。共通認識が速く必要。

connect24h: ユーザからすると、監査をしたいが、監査ができない。MSのDCとしてはお断りしている。他のお客様もいるので、エンドユーザに監査権限を渡すのは、かえってセキュリティホールになる。もし監査するなら、信頼のおける第三者監査となる。

connect24h: 質疑応答：クラウドのセキュリティ対策としての経営層への殺し文句プリーズ。IIJ加藤さん 現時点ではない。個別対応。MS 小野寺さん 何のためにクラウドを利用したいのか？完全に手放したいのか、コストを削減したいのか、運用含めて経営層に判断してもらう。

connect24h: オラクル北野さん統制の範囲が雲の中にまで入る。上の人への殺し文句はないが、 雲のなかでのセキュリティの個別対策をきちんと説明が必要。「その」レベルのセキュリティ対策が自社でやった場合と、クラウドの場合と比較するロジックを使う。大木先生 もちは餅屋に任せる経営層に刺さる言葉

connect24h: IIJ加藤さん 情シス部門としては、セキュリティの専門家に任せるとは言えない。クラウドを使うと、本来情報システムを使って何をやるかの本業に集中できるという、発想を切り替えが必要

connect24h: データの消去、移行について証明ができるのか？オラクル北野さん 個別相談。MS小野寺さん。悪魔の証明に近い。暗号化と仕組み上、ちゃんと消えるようになっていることを説明している。IIJ 加藤さん、証明は難しい。やはり個別にご相談。

あとはこんなアプリも。ソフトバンクもクラウドにご執心なのでしょうね。回線使えば使うだけ儲かりますものね。

QualityCorp: クラウドEXPOのソフトバンクさんのブースで、クラウド型IT資産管理アプリケーション「ISM」のご紹介、はじまりましたキュー！お席は埋まって、立ち見の方もいらっしゃるキュ。 http://twitpic.com/1nbi1o

開発言語によってセキュリティに違いはあるのか。なかなか経験則通りにはならなくて、苦労した記憶がありましたが。

bakera: [セキュリティ] あとで。http://slashdot.jp/developers/10/05/13/080258.shtml
ockeghem: .@bakera 開発言語と、できあがったアプリの脆弱性の発生頻度には、経験上、有意な相関があるように思えますけどね。統計とったわけではないので、経験則というやつですが
bakera: ぜひ統計を! あと@lac_securityさんが統計を出してくれると嬉しいですね。

ドメインごと乗っ取るbotですか。やだなあ。

Murashima: 最近 自ドメインのサポートを騙って(英語だけど)マルウエアのインストーラファイルを投げ込んでくる bot がやたら多いな。送信元は自分のメアドになっているし

そしてボットネット。こちらも怖い。

nca_gr_jp: 「ボットネットPushDoによるSSL接続攻撃について」を更新しました。 http://www.nca.gr.jp/2010/pushdo-ssl-ddos/index.html 「DDoS 攻撃を行うマルウエアに関する注意喚起」を追記しています。

そして、怪しいプログラミングの話題が２つ。どうしてこういうことが浮かぶんでしょうね。でも、こういう書き方で納品すると、顧客はどういう反応をするのでしょうか。

hasegawayosuke: 顔文字系プログラミング。 http://bit.ly/dzfd73

takesako: [python] OSError を利用して任意の文字列を出力するハック Just Another Python Hacker, http://bit.ly/dDqGZG

テーマ : セキュリティ
ジャンル : コンピュータ

今日はセキュリティもんじゃの日でした。もんじゃをペネトレーションしたり決壊させたりしているのでしょうか。

takesako: 第1回セキュリティもんじゃの会場、集まってる人たちが非常にカオスｗ #secumoja http://atnd.org/events/4186

そして今日からは情報セキュリティエキスポが始まっています。

connect24h: 情報セキュリティEXPOなう。カスペルスキーとCISCOに行ってきた。マカフィーのホワイトリスト形式の製品説明視聴中。イーモバイルが腐っている。画像ONだとまともにインターネットが使えない。

情報セキュリティエキスポには明日行こうと思ったのですが、明日じゃダメっぽいですね。

yumano: @connect24h そういえば、yarai RC版が先着200名にプレゼントとかあったはず。明日はもうもらえないのかなぁ・・

そしてyaraiとyarai1978さんは関係ない模様。

y_oyama: すみません！ yaraiが入ったユーザ名なので、中の人だと思ってました...ラックの方ですね。 RT: @yarai1978: 先生！私、FFRの中の人でも製品でもBOTでもないんですが・・・ｗｗｗヒューリスティックはここです。http://bit.ly/a9WIro

そして、6月1日にはネットエージェント10周年セミナーだそうで、募集が始まりました。タイトルだけ見てもとっても面白そうです。

ripjyr: 当社の創業10周年記念セミナーの募集開始しました！セキュリティ系の話をしてもらいます。是非！＞http://www.netagent.co.jp/10th_anniversary.html

あと、中継もされるようですよ。

lumin: ネットエージェント創立十周年記念のハッシュタグ決まりました。　#netagent10th

yumano: ust中継もありますか？

lumin: やりましょう。

さすがJASRAC、個人も容赦しませんね。昔は電波管理局が怖かったミニFMも、電管の前にJASRACが踏み込んできそうな予感。

ripjyr: I'm reading now:ねとらじユーザー、著作権法違反で逮捕～音楽の違法ストリーム配信http://internet.watch.impress.co.jp/docs/news/20100512_366446.html?ref=rss

mikamiyoh: livedoorねとらじユーザー著作権法違反で逮捕 JASRACによればネットラジオのようなストリーム配信型の違法音楽配信で著作権法違反の疑いで逮捕者が出たのは初めて http://bit.ly/bSSwJu @ripjyr: ついにきたな

MovableTypeにXSSだそうで。そういやDrupalにもXSSというのをどこかで見かけたような。

bakera: またMTにXSSですか。http://jvn.jp/jp/JVN92854093/index.html

そして、4月の攻撃国上位の発表です。

lac_security: JSOC攻撃元国別ランキング2010年4月1日～2010年4月30日1位アメリカ（24.0%）2位中華人民共和国（13.9%）3位韓国（11.9%）4位ブラジル (6.1%）5位台湾（中華民国）（3.8%）6位以降ドイツ、ロシア、フランス、カナダが続きます

こわいなあ。

slashdotjp: http://bit.ly/dpGAYB #security ほぼ全てのウィルス対策ソフトウェアに「有害なプログラムの挙動を検知できない」脆弱性あり

本当に守ってくれるんですかねえ。

ntsuji: 「国民を守る情報セキュリティ戦略」でてますね。　[PDF]http://www.nisc.go.jp/active/kihon/pdf/senryaku.pdf

そういやゴールデンウイーク明けたんですね。今日はWindowsUpdateの日でした。

lac_security: 「GW明けのWindows Updateに要注意。再起動も忘れずに。」 ～川口洋のつぶやき 第１２回 05/12/2010　LACCOTV　http://www.youtube.com/watch?v=wZxrKWZxtaA

いよいよCTF予選です。今年こそ日本の誰かが本選に出られたらいいですね。がんばれー。

sutegoma2: 5/22～24(JST)に開催されるDEFCON18 CTF予選に参戦します。チームsutegoma2で参加を希望される方はこちらから登録お願いします＞http://ja.avtokyo.org/projects/ctf10/5th

テーマ : セキュリティ
ジャンル : コンピュータ

やってみたいですーっと思ってみたら英語なんですね。

yohgaki: Google、「ハッキング学習用Webアプリ」を公開 http://slashdot.jp/security/article.pl?sid=10/05/10/116206 これ、やってみた人いるのかな？

だいたいあの人たちによって抜け道が発見されるような気がするのですが、大丈夫なんですかねえ。

hidenorigoto: RT @php_j: PHPをクロスサイトスクリプティングできなくするパッチを作ってみた - xmallocのプログラミングノート http://bit.ly/92roFg #PHP

最近活発に活動される気が。

Ji2Japan: フォレンジック調査チーム作成ツール「蟹八種」のバージョンアップ版をUPしました。フォルダ配下の分割ファイル結合してファイル化（メモリ上）、一つのファイルを指定してのハッシュ値表示のみ、SHA-256追加等がされています。http://bit.ly/5wpcAN

データセンターって蟹工船だったのか。「おい地獄さ行ぐんだで！」

momotoshi: 昨日の「データセンター完全ガイド」の取材。中小の事業者は運用管理を手作業らしい件。サービスも廉価だし、『蟹工船』みたいとワタシ。これはバカ受けだった。

わくわく。楽しみだなあ。

ockeghem: 業務連絡:WASForum Conference 2010にて、未公表のネタ2件を発表することにしました #wasf

で、今日は、誰かがとぅぎゃったーあたりでまとめてそうな気がするのですが、第49回コンピュータセキュリティ研究発表会(CSEC49)関連のツイートをまとめてみました。


「組織のITセキュリティ推進のゲーム理論による分析」について

drokubo: 佐々木先生から、このゲーム理論の応用はこれだけなのか、他の社会的事象にも適用可能なのかという質問。まずは、このモデルでやってみるという答え、でいいですかね。私から、プレイヤーに攻撃者を加えては？という質問。プレイヤーを増やしすぎると複雑になってしまうらしい。 #csec49

drokubo: Q:東芝ソリューション加藤さんから、結論としては罰を強化するということなのか？A:罰を強化しても効果がないのが現状。被害額ないし確率に対する認識にズレがある。それを補正して行く？ #csec49

「マルウェア検出情報ログの分析による対策の検討」はこれだけ。

drokubo: 2件目、JPCERT中津さん。ログを分析してわかった、マルウェアと周囲の要素との関連性。 #csec49

「効果的なボットネット追跡のための追跡経路モデル化と統計調査」について

drokubo: 佐々木先生他：VISTAでソーシャルエンジニアリングが多いというのは？ →他のタイプはVistaで防げる、インストールしたままのユーザ、UAC等を信じてやってしまうなど。 #csec49

expl01t: [ac] #csec49
トラフィック情報からボットマスターを検知したい．
課題：端末によって監視方法や容易さがまちまち→追跡可能性の試算が困難→
目的：監視実現の容易さから分類を行い，分類した端末ごとに実際にボットネットに使用されている割合を算出

expl01t: [ac] #csec49
1)一般端末[スキル面で協力は困難]，
2)防弾/無管理サーバ[非協力的],
3)管理サーバ[協力的] に分類．それぞれに特有の特徴から推定方法を導いた．

yumano: ボットコントローラとして、ircが利用される割合は現在のところどんな感じなのだろう… RT @expl01t [ac] #csec49 トラフィック情報からボットマスターを検知したい．課題：端末によって監視方法や容易さがまちまち→追跡可能性の試算が困難

expl01t: [ac] エロ^h^h^西垣先生から．「一般端末は24時間動かしていない．リスクとしては利用時間分だけ縮小される．一方2)3)は24時間だよね．」「稼動時間までは考慮していないっす」 #csec49

「クラウドコンピューティングにおけるセキュリティSaaSの基本検討」について

yumano: セキュリティsaas。安い、うまい、早いって感じでよろしく。いや、安心、安全って感じですね。 #csec49

drokubo: これ、シンクライアントじゃだめ、っていうか、クラウドである必然性が見えないな、という意見 #csec49

drokubo: 佐々木先生:クラウド導入の目的はコスト低減だと思うが、これではコストがかかってしまうのでは。→今はかかってしまうが、技術、研究を進めることにより解決が期待できる #csec49

drokubo: 定量的評価？→今後の課題 #csec49

drokubo: シンクライアントを対象から外す理由は？ → 深い意味はないw #csec49

yumano: 外さないで欲しかったです。 RT @drokubo シンクライアントを対象から外す理由は？ → 深い意味はないw #csec49

drokubo: 同意見約4人QT 外さないで欲しかったです。 RT @drokubo シンクライアントを対象から外す理由は？ → 深い意味はないw #csec49 /via @yumano

「P2Pファイル交換ソフトウェア環境Shareにおける効率的なファイル保持ノード特定手法」について

yumano: 馬鹿でかい仮想ネットワークでshareを運用して解析w 意味不明なフラグの意味を調査。キャッシュの各ステータスの統計を測定。このフラグがファイル保持に関連する。 #csec49

drokubo: 座長：リバースエンジニアリングしてる→してない #csec49

yumano: リバエンでなく、ブラックボックス解析がメインでファイル保持フラグを解析した。なんか、生き物の観察みたい。 #csec49

drokubo: 座長：実験の初期状態はどれくらい動かしたもの？→その差異にはあまり意味はない、でいいのかな？ #csec49

「MANETにおける匿名通信のための経路設計を必要としないOnion Routing」について

yumano: 次のネタ。MANETにおける匿名通信 #csec49

yumano: 今まで、経路設計が必要。送信元が中継ノード数分の暗号化が必要。提案方式。
送り先以外の適当な経路を宛先として追加して送信。a宛に送りたいメッセージをd宛に送り、受け取ったdがaに送る感じ。 #csec49

yumano: 受け取るまで、自分が最終宛先かわからない。暗号化回数を規制することでホップ数を制限。へー。 #csec49

「ボトムアップ型デジタルコンテンツ編集システム」について

drokubo: #csec49 QT:CSEC 49 第3セッション「ボトムアップ型デジタルコンテンツ編集システム」東京理科大学白川さん。 /via @akirakanaoka

akirakanaoka: イメージですが、署名方式っていろいろな背景や要求（と思われるモノ）をもとにたくさん方式が発表されてる気が。ぜひそれを実装したり実証実験したりとかいう強者がガンガン出て欲しいです。 #csec49

yumano: マッシュアップでコンテンツを作成するときのコンテンツに対する署名に関して。最終成果物から利用したコンテンツの署名を検証できるという理論的なお話。どういうコンテンツに有効なのだろうか？改変したコンテンツにも応用可能なのだろうか？と疑問に思った。 #csec49

akirakanaoka: @yumano ざっと見たイメージですが、改変コンテンツでも使い方による気がしました。元のコンテンツの署名は残したままにしないといけないですが。なので暗号プロトコルではなく使うときの利用法として実現、というか。 #csec49

drokubo: なるほど、ニコニコ動画のようなコンテンツが適用対象か #csec49

akirakanaoka: 続き： オリジナルコンテンツの作成者が署名を強制させるなど、アクセス制御が必要になるけどこれはこの署名ではできない気が。 #csec49

akirakanaoka: 電通大吉浦先生：署名されたデータは何が証明されたデータか？署名対象データがコンテンツ自身か、メタデータか。 #csec49

「機密情報の漏洩を防ぐための文書再利用検出技術」について

akirakanaoka: つづいて「機密情報の漏洩を防ぐための文書再利用検出技術」 IBM三品さん。 #csec49

yumano: 機密情報をコピペして作ったやつが漏れるとまずいよね、それを防ぎたいってDLPネタ。ここでいうDLP実行時にデータの内容を組織のポリシーと比較し、適切な振る舞いを計算機に強制すること。 #csec49

yumano: 情報のclassificationについて、発表。検出技術はシグニチャ、類似度、メタ情報利用など。今回は類似度。 #csec49

yumano: 質疑で話にあがっていた、メタデータに対して使うのが一番しっくりきました。使い方ですね。 RT @akirakanaoka @yumano ざっと見たイメージですが、改変コンテンツでも使い方による気がしました。元のコンテンツの署名は残したままにしないといけないですが #csec49

「ユーザの心理的負担を視野に入れたパスワードの安全性について」について

akirakanaoka: セッション3の最後は「ユーザの心理的負担を視野に入れたパスワードの安全性について」ニーモニックセキュリティの桝野さん #csec49

yumano: パスワードの脆弱性。認知心理学の知見から #csec49

yumano: パスワードは記憶不可能なものを選ぶこと。ただし、メモ書きは禁じる ってwww #csec49

akirakanaoka: 個人識別と本人認証は違う。 #csec49

expl01t: [ac] それぞれidentification と authentication のことなの？ RT: @yumano 個人識別と本人認証は概念がべつ。 識別は本人の意思が不要。認証は本人の主張。 #csec49

yumano: 結局、パスワードは無くならない。ここから、本論。 #csec49

yumano: 短期記憶。だいたい、7が限度。長期記憶。言葉で書ける記憶と体で覚えた記憶がある。apiは再生と再認があり、再認のほうがよい。また、画像のほうがいい。 #csec49

k4403: CSEC49で今発表されているのはニーモニックガードとは違うものを対象にしているのかしら？と原稿を読まずにつぶやき #csec49

k4403: TLを見る限り流れはニーモニックガード？ #csec49

yumano: セキュリティをあげる。人間の記憶特性が無視される。ワンタイムパスワードはトークンの証明。本人の認証ではない。所持物認証。 #csec49

akirakanaoka: 人間の記憶特性を考慮すると：無機質な情報はマジカルナンバー7の呪縛。項目数が増えると想起に干渉。再生より再認。「語」より「絵」が記憶容易。自伝的記憶にはイメージと情緒が伴う。 #csec49

yumano: じゃ、どうするのか？？苦行はやめる。対策として、記憶の特性をいかし、画像をつかったパスワード入力つながる。認知心理学的にはこれがよい。おしまい。 #csec49

HitomiS: @yumano ある画像から想起する言葉を覚えておくってことですか？　RT じゃ、どうするのか？？苦行はやめる。対策として、記憶の特性をいかし、画像をつかったパスワード入力つながる。認知心理学的にはこれがよい。おしまい。 #csec49

drokubo: S大学方式がいいということか QT:短期記憶。だいたい、7が限度。長期記憶。言葉で書ける記憶と体で覚えた記憶がある。apiは再生と再認があり、再認のほうがよい。また、画像のほうがいい。 #csec49 /via @yumano

drokubo: 画像を認証に使う問題は、ショルダーパッキングもあるが、扱える画像数が有限にならざるを得ないという問題もあると思う。 #csec49

k4403: CSS富山でmasui先生が発表されたものは画像数は有限にならないような記憶があります RT: @drokubo: 画像を認証に使う問題は、ショルダーパッキングもあるが、扱える画像数が有限にならざるを得ないという問題もあると思う。 #csec49

関連して公開鍵暗号方式の解説。簡潔にまとまっててtwitterならではですね。

neohawk: まず、物理的な私＝自然人、識別する物である俺＝クレデンシャルとします。公開鍵暗号方式における一義的なクレデンシャルは秘密鍵と公開鍵からなる一対の鍵ペアです。公開鍵を事前に他方に安全な手段で渡しておけば、契約時には私が秘密鍵で署名をすることによってクレデンシャルの保有を証明可能。

neohawk: この場合、契約の主体はクレデンシャルではなくて、クレデンシャルを保有している自然人たる私、です。X.509証明書は、公開鍵を対面で相手側に渡すことができない状況において、公開鍵の本人への帰属性を検証し、ある一定の期間、これを証明するデジタルデータです。

neohawk: X.509に限りませんが、こうした状況で一定のレベルを満たした認証局が発行した電子証明書と紐付けられた秘密鍵によって電子署名がなされた電磁的記録について、真性に成立したものと推定するってのが電子署名法の構造になります。

neohawk: なので、契約の主体はあくまでも私であって、俺＋なんとか、ではありません。

neohawk: そうだろうと思っとりました。一番楽なのは電子証明書でXML Signatureっすね。そもそもIdentifyとAuthenticateは違う概念だし。RT @hdknr: @neohawk CXで契約主体を識別する為の話の独り言だったので気にしないでください。

「定性・定量融合シミュレータを用いた社会的合意形成支援」について

yumano: パラメーター調整に時間がかかる。とか、評価値が専門家ごとに異なる。というのが課題。リスクアセスメントが大変な感じですね。 #csec49

yumano: 改善案はパラメーターを定性的に評価。専門家でも、そんなにぶれないだろうという前提。各自の評価値は確率分布として利用することで対策の効果を利用者にみせる。 #csec49 ずはり！な、解決策が欲しい人には辛いな。

yumano: 定性値からモンテカルロで確率分布を求める。たくさんのパラメーター調整をせずに、だいたいの分布とか視覚的に見ることができる。結果は単純な正規分布にならない。意思決定者は結果の分布をどういう方向で調整したいかを対策としたりするのかな。 #csec49

「多重リスクコミュニケータMRCの利用形態と今後の展開」について。前の研究とつながってるっぽいです。

drokubo: 佐々木先生ご自身の発表。多重リスクコミニュケータその2 #csec49

yumano: 多重リスクコミュニケーターの目的関数はコストの最小化。話を聞いているとちゅうで、たまに何をやっているかわからなくなる。パラメーターが複数のリスク、関与者、対策。課題。1.ISMプロセスの中に位置付け 2.社会的合意形成への適用 #csec49

yumano: 日常業務に使うには今のままでは重いので、簡易版の開発。ケースごとにコストパフォーマンスがいいものを並べてみるとか。 #csec49

yumano: オピニオンリーダーと一般参加者と違う立場がある。mrcを使い、まず、モデルを作った後で ustやtwitterとか使って情報まとめ、フィードバックする。妥協しない人がいて、合意形成できないとか課題ありそう。 #csec49

yumano: 印象操作とか弱い？オピニオンリーダーの実力勝負。白紙投票があるとホストの人選ミスとか間違った意見へのフィルタができると。 #csec49

yumano: 国勢レベルで法律きめるとかになると、システムの非利用者の問題が出てくる。 #csec49

「防護動機理論を基づくセキュリティリスク解明モデルの高等学校教育への実践」について

drokubo: 9.11以降セキュリティエコノミクスが盛んに？恐怖をあおる？それってシュナイアー先生の言うsecurity theaterじゃないでしょうね？ #csec49

yumano: 防護動機理論だいたい、ジレンマ問題が出てくる。で、行動を変えるために恐怖アピール。それの実験？ #csec49

yumano: 防護動機理論を構成する刺激変数。脅威の影響。発生確率。効果。この3つに加えて色々と追加。コスト、外的報酬、行為内容など。で修正防護動機理論をモデル化し、学生に対して実験教育を実施。 #csec49

yumano: 怖いことは対処もしたくないという考えがあるらしい。理解するより、逃避行動を取る。大学生のほうが理解力が上？理系バイアスがかかっているかも。 #csec49

yumano: なんか、ホラー営業の効果検証みたいな感じの発表だった。学生に対してだけでなく、もっと、上の年齢層に対してもやってみて欲しい。 #csec49

akiragi: ああ、わかる……。 RT @yumano: 怖いことは対処もしたくないという考えがあるらしい。 理解するより、逃避行動を取る。 大学生のほうが理解力が上？理系バイアスがかかっているかも。 #csec49

「IDリストを用いた評価値集約手法ILGTの提案」について

yumano: gossip trustの話。ピア数が多いと処理が増加。なので、改善策として、ILGTを提案。って流れの発表。 GTは全ノードが評価値算出。ILGTはグループないで計算する。 #csec49

yumano: あれ、分散ファイル共有にそのまま適用できない？ #csec49

drokubo: 非構造化P2PにおけるIDリストを用いた評価値集約手法 #csec49

yumano: そもそも、評価値はどうやって計算する話はなかった気がする。既存の研究？ #csec49

drokubo: この評価値集約手法を使うと、Winny対策として偽装ファイルを放流しているピアを除外できるかもwww #csec49

expl01t: [ac] MANETの話ね．そもそも全てのノードが正しい挙動してるという「強い」前提があるんじゃないかと思われ RT: @drokubo 結託についてはどうなのかな。 #csec49

expl01t: [ac] その通り．具体的数値が論文上に無いのはかなりダメ． RT: @yumano 暗号化確率のパラメータが変えたときには結果が違う気がした。このパラメータについて具体的に話はあったかな？ #csec49

yumano: 質問できなかったので、後でききにいこう。評価値は何？算出方法は？ #csec49

drokubo: こういう研究って、評価値の交換は安全に行われるのかとか、そういうことを聞いてはいけないんだろうか。 #csec49

yumano: 聞いていいと思います。評価値が改ざんできたら意味ないですよね。でも、何が信頼できる評価値なのかが、もっと、前の段階が気になってます。 RT @drokubo こういう研究って、評価値の交換は安全に行われるのかとか、そういうことを聞いてはいけないんだろうか。 #csec49

yumano: @drokubo そんな感じを受けるのですが、集約するものがわからないのに、集約する話をしているのが、ずっと、もやもやしています。 #csec49

yumano: あ、別の適用を考えなくても、目的に応じた評価値の算出方法を定義すればいいのか。ウイルスをまいているノードを除去する用途以外にも、ピアの回線速度や作成したコンテンツのクォリティなどを評価して効率よくファイルを共有する仕組みとか生かせそう。 #csec49

「トラックドライバの安心に関する質問紙調査の実施」について、社会心理学っぽい内容ですね。

yumano: トラックドライバーの安全のお話。楽しそう。 #csec49

yumano: 人間はいつもリスクを一定に保とうとする。という考えがある。狭い道だとゆっくり走る。広い道だとガンガン飛ばす。 #csec49

drokubo: 何かをトラッキングするドライバーソフトウェアかとw QT: トラックドライバーの安全のお話。楽しそう。 #csec49 /via @yumano

yumano: 安全装置に対する不信、過信に着目。まずは一般論としてトラックドライバーに安心の要因を調査した。認知的トラストにおける安心は(セキュリティ、信頼性、安全)における安心、安全。 #csec49

horiyo: Trust vs Distrust 逆の概念ではない => 同時に存在できる 　どちらを重視するかは状況による #csec49

yumano: distrustとtrustは両立する。逆の概念でなく、異なる軸の概念。 trustをあげても、distrustをあげることにならないケースがある。 #csec49

yumano: タイトルを見たとき、一瞬悩みましたよw RT @drokubo 何かをトラッキングするドライバーソフトウェアかとw QT: トラックドライバーの安全のお話。楽しそう。 #csec49 /via @yumano

akiragi: 車間距離もそうですね。通常の空走距離1秒に近い辺りを好む人が多いようです。 RT @yumano: 人間はいつもリスクを一定に保とうとする。という考えがある。 狭い道だとゆっくり走る。広い道だとガンガン飛ばす。 #csec49

テーマ : セキュリティ
ジャンル : コンピュータ

いよいよゴールデンウイークが明けました。しばらくは仕事に邁進ですよ。新製品の発表とかが相次いだりするのでしょうか。


IPAのセキュリティ情報サイトにXSSですか。医者の不養生とはまさにこのことですね。

kinugawamasato: 動かなくなりました！ https://sec.ipa.go.jp/enterprise/index.php?userid=%22%3E%3Cmarquee%3E&cmdLogin=%C1%F7%BF%AE

kinugawamasato: XSS報告の参考にどうぞ。→ http://f.hatena.ne.jp/masatokinugawa/20100510155852

hasegawayosuke: 経験的に、sec.ipa はXSS多い感じがするけど、PHPよく使ってるからなのかな(偏見)

kinugawamasato: sec.ipaなのにXSS多いとか笑えませんね＞＜

kinugawamasato: sec.ipaメンテになった！アナウンス出てる。メールの「他に同様の問題が無いかこれから調査」って形式的な返事じゃなくてホントだったのかな。

セキュリティクラスタで大人気の予感がするマルウェア解析本です。イベントとか合ったりするんですね。編集とか営業の人は大変だと思いますが、がんばってたくさん売ってほしいものです。

yarai1978: マルウェア解析本の予告です。 http://twitpic.com/1mmvd6

tessy_jp: おぉ！

cchanabo: まぁ！！！

connect24h: 買う予定。

ipv6labs: PACKERの解説があるのかな。面白そう

yarai1978: packerの解説あります！

tdaitoku: @yarai1978 もちろん買います。なのでサインも下さいw

yarai1978: 先行購入可能な刊行イベントも企画しています！

もうそろそろ忘れられてしまう話題かもしれませんが、詳しい人による、iPadの技適問題についてのフォローです。ためになります。

harusanda: iPadの技適表示の件、なんか一般の人の認識がおかしい気がする（そういういい方もどうかと思うけど）。技適表示が必要なんじゃなくて、電波法上「技適表示できる機器であることが必要」というのであって、認証に通っていれば、電波法違反にはならない。単に挙証手続の問題。

harusanda: たとえば経年変化で認定端末機器番号が読めなくなっても法110条にはあたらない。また無線 LANの外付けアンテナを買うと、組み合わせによって技術基準適合の認定端末機器番号が異なるけど、着脱のたびに機器番号を貼り変えなくても罪には問われない。

harusanda: そのあたりは 無線LANセキュリティの強化書、同教科書2009-2010（いずれも白夜書房）のそれぞれで、合法的に手作りアンテナを使用する方法のコーナーを書くときに、取材や問い合わせで詰めた。

harusanda: 3級陸特を持って開設してる人は？ 電波暗室での試験は？ 認証前の試作品の製造は？ > マーク無しの無線機の使用は電波法違反にあたるとされ～ http://bit.ly/8Ykz9d

harusanda: 電波の使用と、無線設備の使用は異なるのだけど、もうしょうがないね。あきらめ。

iPhoneもSafariですが、iPhoneってちゃんとアップデートされるるのかなあ。心配です。。

ripjyr: I'm reading now:Safariに未修正の脆弱性情報、コード実行の恐れ http://www.itmedia.co.jp/enterprise/articles/1005/10/news024.html

たしかにフレームワークが脆弱だと、使ってるシステムはのきなみ脆弱ですものね。

yohgaki: 要約すると結構セキュリティ側に振ったフレームワークを使ってないと凄い脆弱性がある事が多い Security risks of web application programming languages: http://bit.ly/cKIrrt

いよいよv6ですか。とはいえ大手町あたりでは「もうバックボーンv6だからどうでもいいじゃね」とか言ってそうな予感が。

drugmania: IPｖ4アドレスブロック割り振り。残り18ブロックか。「31.0.0.0/8」と「176.0.0.0/8」

セキュリティ対策チートシートです。いきなり担当者になってしまった人などはこれを見るといいかと。

lac_security: セキュリティ対策推進協議会　http://www.spread-j.org/sheet/index.html　お役立ちシート

今年流行のクラウドとセキュリティネタです。1000円です。

lac_security: ～クラウドコンピューティングとデータを考える～ 　 [日時]２０１０年５月２５日(火) 　１４：４５～１７：３０　　　 ]http://www.db-security.org/seminar/dbsc_seminar6.html

そして、こちらはWeb。期待しましょう。

yarai1978: 執筆した「クラウドを悪用した攻撃の実態」が公開開始されました。今日から金曜日まで1本ずつ公開されていきます。http://itpro.nikkeibp.co.jp/article/COLUMN/20100412/346955/

ソフトウェアDEPでゼロデイも安心な「FFR yarai 脆弱性攻撃防御機能」が今日発表されたようです。

ripjyr: I'm reading now:ついに真打登場か？ http://blog.fourteenforty.jp/blog/2010/05/post-4c35.html

壊れたPostScriptのファイルを開いてなんかいじった記憶が蘇ります。なんでそんなことになったのかは全く思い出せませんが。つかどんなpdfもバイナリ実行できるようにさせることができたりするのでしょうか。怖いです＞＜

hasegawayosuke: そういえば隣席のひとが「PDFの構造はだいたいわかった」って言いながらエディタでPDF書いてた。Launch action 入りのも作ってくれるんじゃね。

テーマ : セキュリティ
ジャンル : コンピュータ

ゴールデンウイークの谷間で今日も人が少ないですね。セキュリティクラスタの本格的な稼働は来週になりそうですね。
そういや来週は情報セキュリティエキスポがありますね。雨が降らなければ行こうと思います。


「完璧な」というワードを見るだけで、胡散臭いものに感じてしまう私は、素直な心を失っているのかもしれませんが、やはり完璧なものはなさそうです。

ockeghem: 日記書いた『“完璧なWAF”に学ぶWAFの防御戦略』 http://d.hatena.ne.jp/ockeghem/20100507/p1
ymzkei5: 「“完璧なWAF”のリリースが待ち遠しい。」ｗ
naonee: WAFでこのパターンは防御できて、このパターンはグレーor防御不能という線引きがあれば・・・。作りや条件で変わるというオチ
ockeghem: ある程度の線引きはできると思いますがね
rocaz: WAFを求める層って完璧性を求めるからトラブルの元にしかならない気がする
naonee: WAFを入れる事で、手動検査や開発ガイドラインの項目を削ることが可能であれば、WAF導入の検討をしてもいいです。
ockeghem: それは難しいと思います
ockeghem: ですねー

リバースエンジニアリングもPythonもよくわかりませんが、読めばわかるものなのでしょうか。

yarai1978: 後輩の中都留君が技術監修をしている本がこの下旬にオライリーから出ます。原著は「Gray Hat Python」。帯にはマルウェア解析本の予告つきです。 http://www.oreilly.co.jp/books/9784873114484/

パッケージソフトってあまり買わなくなった気がします。コピーももちろんしないのですが。ＯＳにいろいろ入ってたりフリーで使えるものがいっぱいあるからなのですかねえ。

scannetsecurity: 違法コピー通報結果、建設業界が3位にランクイン、1位はソフトウェア業界（BSA）: http://url4.eu/3D3NV

どちらかというと無線LANのESS-IDの方に近い気がしますが。

ucq: SNMPのコミュニティ名ってなんだよと思ったらパスワードみたいなもんなのか。

昔読んだ気がするけど、再読します。

monjudoh: 最近:visitedだかが使えないような流れになってきてるのは懐かしいけどこの辺が原因なのかね? "Geekなぺーじ : JavaScriptを使ってイントラネット内を外から攻撃する方法" http://is.gd/bY8bg

twitterもいろんなユーザーが増えて、騙されやすい人も増えたんでしょうね。

tetora7: Twitterユーザー狙い、未読メッセージ通知を装うフィッシング -INTERNET Watch http://bit.ly/dBEm9K

FiddlerのXSS検出プラグインですか。

MEGATTACK_: x5s - Automated XSS testing assistant Updated to v1.0.1 beta http://bit.ly/bkiGRL

川口さんってまだお爺さまの遺言守ってらっしゃるのでしょうか。

lac_security: LACCOTV　「インスタントメッセンジャーの動向について定点観測中～お友達？」 　http://www.youtube.com/user/laccotv#p/u/0/MKLWBostz6o

テーマ : セキュリティ
ジャンル : コンピュータ

ゴールデンウイークが終わってしまいましたが、まだ、今週は休みだという人も多いので、少な目の人がつぶやくセキュリティクラスタです。


laser5.co.jpが知らないうちに、知らない会社の持ち物になったようです。レーザーファイブ株式会社っターボソリューションズに社名変更してたんですね。

tokuhirom: laser5さん。。。 http://www.laser5.co.jp/
hasegaw: でもlaser5にいた人の話を聞いてるとしょうがない気もする RT @JR0BAK: あああああ RT @wakatono: RT @yumano: 泣ける RT @tokuhirom: laser5さん。。。 http://www.laser5.co.jp/

あのXSSで有名なはせがわさんと握手会！　laser5 Linuxに関わってたあの人と握手できるかも。つかチェックポイントに行ったりNovelに行ったあのときからもう10年なんですね…

hasegawayosuke: 君も六本木ヒルズでぼくと握手だ！ http://www.netagent.co.jp/10th_anniversary.html

そしてこちらも期待してます！

hasegawayosuke: OK, i18n capability is works correctly. now translated to Japanese an item. HTML5 セキュリティチートシート、日本語に訳し始めたよ! http://heideri.ch/jso/

もうそろそろBackTrack4の新バージョンがでるっぽいですよ。

backtracklinux: BT4 r1 Dev in a few days - Kernel 2.6.34-rc6. Will need testers. Plz RT http://offsec.com/backtrack/information-security-distribution/

ああいう文章って誰が校正してるんですかねえ。

ockeghem: UBsecureさんのVEXで『DNSリバインディングを検出可能』ってあるんだけど、 DNSリバインディングはケータイ事業者の環境で起こるものだから、『検出可能』はおかしいよね。すごいエンジニアがそろっている会社なんだから、もう少し正確に書いて欲しいなぁ?

そして、こちらも文章を考えてるのは誰なんでしょうね。技術用語のわかる校正に出すお金すらケチってるんでしょうか。

yumano: 違和感が・・「お客様の大切な個人情報をご登録いただくにあたり、SSLと呼ばれる特殊暗号通信技術の使用やFirewallというセキュリティーシステムで保護された専用のサーバーで管理し、外部からの不正アクセスや情報の漏洩防止に最善を尽くしています。」
ockeghem: なんかググると似たようなのがいっぱい出てくるのですがw
yumano: ぐぐって、頭を抱えましたｗ こんなだと、セキュリティ面での働きはあまり期待できそうにないです・・・

DEFCONまであと3ヶ月くらいですから、予選ももう始まってもおかしくないですねえ。

tessy_jp: DEFCON CTF予選まであと2週間ちょっとなんですよ。知ってた？w というか、今年は時期が早まったのもあるけど準備が遅れ気味な気がする（汗

そして去年のCTFの問題解説です。読めばできるような気がするのですが…　絶対できないｗ

yumano: 去年のだ。簡潔に書かれているのでわかりやすいね。 RT @ucq: お、誰だろ？ http://bit.ly/cpT0BC

内容もそうですが、VMも魅力的ですね。ほしいなあ。

ockeghem: 日記書いた『ウェブ健康診断のハンズオンセミナーを実施します』 http://d.hatena.ne.jp/ockeghem/20100506/p1
ockeghem: @ockeghem ウェブ健康診断の脆弱性12項目全部入りの脆弱アプリ(VMイメージ)がお土産についてきます

（皮肉ですよ）と書くことでより一層のダメージを与える高木メソッドですか（皮肉ですよ）

HiromitsuTakagi: cookieはプライバシーやセキュリティの問題があるとみなされていたとか…。ドコモは元電電公社ですから通信の秘密には厳格ですから（皮肉ですよ） QT @masanork 99年時点のハード制約を考えるとcookieを外すのも分かるが、au、ソフトバンクと比べて何故かくも遅れたか…
HiromitsuTakagi: cookieなんて、なんだかプライバシーポリシーとかに書かれてるし、スパイウェア対策ソフトが検出するし、プライバシーの問題があるよね、とか、cookieってセッションハイジャックの原因になるじゃないか、とかね。（皮肉ですよ）

もともと閉じた網で使われるもので、表に出るなんて考えてなかったんでしょうから、何も考えてないんでしょうねえ。

HiromitsuTakagi: cookieに関する記述が（日本の企業でなぜか）プライバシーポリシーの定番テンプレになっているけど（意味わからずに書いてるよね）、そのくせ、ケータイ契約者固有IDについての記述はほとんど見ないよね。どういうことなの？ PマークのJIPDECとかはどう考えてるのかね。

大事なことなので何度も書きますが、ボットを駆除しましょう。

lac_security: サイバークリーンセンターのCCCクリーナーが更新されました。CCCパターン Ver:7.149　Update:2010/05/06 17:50　https://www.ccc.go.jp/flow/index.html　ボットを駆除しましょう。

facebookって最近あまりログインしてないんですが、使わないほうがいいのかしら。

ripjyr: I'm reading now:Facebookのチャットにバグ、友達の会話がのぞき見可能に http://www.itmedia.co.jp/enterprise/articles/1005/06/news017.html

テーマ : セキュリティ
ジャンル : コンピュータ

もうすぐゴールデンウイークも終わり、仕事とか締め切りとか、そんなことが近づいてきております。
このまま終わらなければいいんですけどね。

ゴールデンウイーク中にうちのプリンタとかX01Tとかポートスキャンしてみよっかなあとか思います。

connect24h: パナのビエラをポートスキャンしたことがありますが、あまり面白いポートはあいていなかった。東芝のＨＤＤレコーダをスキャンしたらハングアップした。RT @ntsuji: REGZAを無線LAN子機に繋いでみました。
ntsuji: @connect24h REGZAも面白いのは空いてなさそうですね。世界最速をうたうプリンターは色々空いていて面白かったです。後から実機の起動時に液晶画面を見たら debianというオチでした。
connect24h: プリンタは管理機能でsnmpとか使ってますからね。よくハングアップしますが。

WASForum Conference 2010 が5月22日に開催されるようです。6日までに振り込むと早期割引で5000円ですよ。僕も申し込みました。

bakera: 「Early Bird割引は5/6振込完了まで！お急ぎください。」と言われても、連休中に稟議を通すのは無理でし。 http://wasforum.jp/conf2010/program/

英語は辛いですが、ゴールデンウイークなのでがんばって読みます。

MasafumiNegishi: Hackin9が今月からオンラインでフリーで読めるようになりました。"Flash memory mobile forensic"とか、なかなか興味深い内容ですよ。Ceck it out!! http://bit.ly/c0iaVH

また濃いキャラの先生同士が熱く戦っています。というか一方的にやられてるんですが。2人はJavaHouseのときからの関係のようですね。仲よさそうで何よりです。

themeofn: 「高木先生と河野先生がバトルなう」をトゥギャりました。 http://togetter.com/li/17968

上のバトルを読んだあとでこれを読むと　…ってかんじです。

bakera: [メモ] それはXSSではなくOSコマンドインジェクションですね。CSRFとXSSを混同している人は結構いますけれど……。 http://www.ie.u-ryukyu.ac.jp/~kono/lecture/os/os11/lecture.html#content015

新たな脆弱性なのでしょうか。発表が楽しみなところです。

ucq: できた！ ハッシュ衝突！！
ucq: えっと、 sha1sum(secret+msg)でsecretを知らずともmsgとlen(secret)が分かれば、origを任意の文字列として sha1sum(secret+padding+orig)を計算できる でいいのかな。
ucq: いや違う。origを任意の文字列として sha1sum(secret+padding+orig)とpadding+origが計算可能であるか。
ucq: 暗号学的攻撃はわけわからんということだけはわかった。
ucq: length-extension攻撃というらしい
ucq: この攻撃が可能な状況がどのくらいあるかわからん。Flickerではできたらしいけど

このところ人気の携帯電話関連のセキュリティネタはこちら。休みが明けると解決したりするのでしょうか。しないでしょうね。

bakera: [セキュリティ] ソフトバンク端末もJavaScriptが使えます。そして……、そして伝説へ……。 http://d.1555.info/2010/05/01/jpmobile-site-security/

bakera: [セキュリティ] cookieのpath指定が無意味な件。例の件に関して、Cookieにパス指定をしても駄目だという話でもありますね。 http://takagi-hiromitsu.jp/diary/20100501.html#p01

テーマ : セキュリティ
ジャンル : コンピュータ