fc2ブログ

5月26日のtwitterセキュリティクラスタ

昨日から気にしていたユニクロの件は、大ごとになってしまったので「UNIQLO LUCKY LINEがtwitterのユーザー名とパスワードをだだ漏れしてるかもしれない件について」にまとめておきました。

で、高木先生の電突が終わった後の反応w

tommy_nezy: 「たかぎひろみつと申します」という電話があったらアラートが鳴り響き赤ランプが回りだしステータス画面には緊急事態の文字が流れ各部署の精鋭が一斉にビル館内のパイプを通って集合し複数の200インチ大画面を前にして彼の一挙手一投足に反応する、みたいな演出があっても良い時期だと思う。

ikepyon: どこかで、「たかぎひろみつ」先生から電話がかかってきたら、専用シフトが組まれるという組織があるという噂を聞いたことあるような無いような?



そして、某F5社の記事について、名言と突っ込みが。ちょくちょく関わってる某社の記事じゃないですか。うーん、、
yumano: うーん RT WAFの導入によって脆弱性を残したまま、早期リリースが可能になった。 RT @ikepyon: うーん、うーん・・・ http://it.impressbm.co.jp/e/2010/05/25/2294

ntsuji: @yumano 「WAFの導入によって脆弱性を残したまま、早期リリースが可能になった。」ここまできたらもはや名言です

yumano: F5流の言い方が何か根本的なところを間違えているわけですね。文章を起こした人のせいと思ったり・・・ RT @vulcain: @ntsuji 潜在的に脆弱性が残っていたとしても一定の安全性を担保してリリースする事が出来る様になった。をF5流に言うとこうなるって感じですね。

ockeghem: 『セッション固定化で104日、不適切な認証で125日ほどかかる。』出典は? セッション固定なんて、直すだけなら1分ですむでしょ。104日というのは、取りかかりが遅かったんじゃないの? それに、この2つ、BIG-IP ASMで対策できるのかなぁ

ockeghem: 『ユーザーが気付かないところでWebブラウザからリクエストを発行するCSRF(Cross Site Request Forgery)攻撃などへの対策機能を強化した』って、本当かなぁ。トークン埋め込み? Refererチェック?



そして、図書館のWebサイトに1秒に1回アクセスしてタイーホされてしまったかわいそうな人について。ぼくのhttp://p.bogus.jp/にはgoogleさんが毎日このくらいやってきたりするのですが… 月500円のレンサバですらこれくらいのアクセスじゃびくともしませんが何か?

ymzkei5: “1秒に1回程度の速度” ←これで落ちるとしたら、市販のWebアプリ診断ツールはかけられないな・・・。(^ー^; RT @connect24h @yamatoya @yositosi: 図書館HPにアクセス3万3千回 業務妨害容疑で男逮捕 http://bit.ly/azTQbI

ikepyon: 確かにw 以前計ったら、毎秒10から20ぐらいはリクエスト投げてる RT: @ymzkei5: “1秒に1回程度の速度” ←これで落ちるとしたら、市販のWebアプリ診断ツールはかけられないな・・・。(^ー^;

bugbird: 今時、この程度の負荷で落ちるハードなんてないっしょ。アプリが酷いとしか思えん<岡崎私立中央図書館

ikepyon: ですねぇ。いったいどこの誰が作ったのやら・・・それか未だにサーバーがPentiumだったりして^^; RT: @bugbird: 今時、この程度の負荷で落ちるハードなんてないっしょ。アプリが酷いとしか思えん<岡崎私立中央図書館

ockeghem: @ikepyon IIS/6.0だから、XPと言うことはない…とマジレス

bakera: @ockeghem: @ikepyon DBもOracleのようですし、それなりの構成のように見えるのですけどね……。

connect24h: 岡崎市図書館HP IIS6.0かぁ。http://ow.ly/1PVYE

yohgaki: 図書館HPにアクセス3万3千回 業務妨害容疑で男逮捕 http://ow.ly/1PV6N この件、納得できないので岡崎署の捜査本部に電話して意見を述べておいた。捜査中なので報道発表以上の事は言えないそうです。意見のある方は岡崎署へどうぞ。



実はこの図書館サイト、robots.txtでクローラを弾く仕様だったようで、もしかすると個人でインデックスを作ろうとしていただけではないか疑惑がわき上がっています。

rryu2010: 図書館の業務妨害のあれは、検索システムが遅くて使えないので独自のインデックスを作ろうとしてクロールしていたとかだっりして。

ockeghem: User-AgentをGoogle BOTに偽装していれば、「あぁ、これは検索エンジンですよ」とかでお目こぼしだったとか? RT @rryu2010: 図書館の業務妨害のあれは、検索システムが遅くて使えないので独自のインデックスを作ろうとしてクロールしていたとかだっりして。

ockeghem: 業務連絡:岡崎市立図書館事件、独自インデックス作成の動機と思われる状況証拠が発見されました http://j.mp/bFXHiS http://j.mp/9OTxor

yumano: DBを引っこ抜くクローラー作ると怒られるのか・RT @ikepyon: www RT: @mugeso: @ikepyon 問題はあんまりいっぱい借りる気もないのに検索しすぎると業務妨害で逮捕される可能性があるってぐらいです。



そして、サーバーがヘボいだけだとよかったのですが… 脆弱性まで発見されてしまいました。
ikepyon: 件の図書館の検索のURLにやばそうなパラメーター(RetPage=../Newbook /0210y.asp)があるのだけど、きっと大丈夫だよね。RetPageだから、戻る先かな?

bakera: @ikepyon これ駄目ですね。orz

ikepyon: とりあえず、O'Reillyで検索してみたけど、件数が0件だったwさすがに、 O'Reillyは大丈夫だよね?

bakera: 届け出ておきました。他にもいっぱいありそうですが2件のみ指摘。



その他気になるWebサイト。
laccotv: 川口洋のつぶやき 第14回を公開しました。 「知らずにあなたもダマされる~CAPTCHAにご注意!」 ~ 今回は増殖し続けるウィルス配布サイトにあなたも加担しているという怖いお話 http://www.youtube.com/watch?v=T6m7Uvg2WuA


ripjyr: I'm reading now:Google Analyticsへの情報送信を止めるブラウザーアドオン、Googleが公開 http://internet.watch.impress.co.jp/docs/news/20100526_369534.html?ref=rss


mincemaker: P2Pでトロイ入りのエロゲ配布してた人捕まったのか。 http://www.yomiuri.co.jp/national/news/20100526-OYT1T00076.htm


お(・∀・)め(・∀・)で(・∀・)と(・∀・)う!
ockeghem: 皆さん、聞いてください。弊社もついにbogusnewsに取り上げられました(^o^) http://bogusne.ws/article/151092564.html


テーマ : セキュリティ
ジャンル : コンピュータ

プロフィール

bogus

Author:bogus
FC2ブログへようこそ!

最新記事
最新コメント
最新トラックバック
月別アーカイブ
カテゴリ
検索フォーム
RSSリンクの表示
リンク
ブロとも申請フォーム

この人とブロともになる

QRコード
QR
カレンダー
05-2010
SUN MON TUE WED THU FRI SAT
- - - - - - 1
2 3 4 5 6 7 8
9 10 11 12 13 14 15
16 17 18 19 20 21 22
23 24 25 26 27 28 29
30 31 - - - - -

04   06