5月19日のtwitterセキュリティクラスタ
いよいよDEFCONのCTF予選が始まるようです。去年12位で惜しくも本選に行けなかった日本のチームsutegoma2は、悲願の本選参加が達成できるのでしょうか。
そして、DEFCON当日に参加できるOpen CTFの申し込みも始まっているようです。英語がわからないと、会場で何しているのかすらわかんないですけどね(経験者談)w
引き続き昨日のトラストバウンダリについての意見です。
そして、著者の方からも意見表明が。
そして、セキュリティ教育についての意見。モデリングですか。
Metasploit Framework とMetasploit Framework Experssの新バージョン。Expressって3000円じゃなくて3000ドルもするんですね。
XSS発見の第一人者がmsdn.microsoft.comにXSSを発見した模様。
そして、オープンリダイレクタも発見したらしいです。これで怪しいサイトでも短縮してリダイレクタを通されると、誘導されてしまう人はおおいのではないでしょうか。そして、MSに騙されたヽ(`Д´#)ノ ムキー!!ってなるのかも。
yoggy: DEFCON 18 CTF予選の参加登録は5/20(木) 19:00(JST)までなので、参加される方はユーザ登録をお忘れなく~
yoggy: あと、チームsutegoma2でCTFに参加を希望される方は、こちらから登録をお願いします。登録された方には参戦時に使用するMLなどの情報を送ります >http://ja.avtokyo.org/projects/ctf10/5th
そして、DEFCON当日に参加できるOpen CTFの申し込みも始まっているようです。英語がわからないと、会場で何しているのかすらわかんないですけどね(経験者談)w
ucq: 8人までみたい RT @yumano: 登録しなくちゃ RT @thedarktangent: #DEFCON Open CTF registration is open! http://www.tubewarriors.org/teams/new
tessy_jp: @ucq これは会場でやっているやつですよね? >OpenCTF
yoggy: 当日会場で誰でも参加できるCTFで、昔は"amateur CTF"という名前だったような気が RT @ucq: そんなのあるんだー RT @tessy_jp: @ucq これは会場でやっているやつですよね? >OpenCTF
引き続き昨日のトラストバウンダリについての意見です。
rryu2010: 大垣さんの記事は「周りは全て敵!自分の中にも敵!だから常に警戒すべし!」って言ってるだけで結局トラストバウンダリは何もしてないんですよね。
ockeghem: だいたいあの人、「××すればOKというのは間違い」という指摘で、××を間違った方法で使っている例を示すんだけど、間違った使い方でも大丈夫という便利な方法はないでしょ。一件問題ない使い方で実はダメという例を示さないと。
ockeghem: そもそも「危険なデータ」ってなんなのですかね。データ単体では危険なはずがない。それを扱うプログラムの問題。受理すると決めたら淡々と処理するしかないし、受理できないデータはエラーにすればよい。受理・不受理の基準はアプリケーション要件であって、セキュリティの問題ではない。
そして、著者の方からも意見表明が。
yohgaki: @ockeghem 主語がないと「危険なデータ」は無いですね。「危険なデータ」は入力と限らないので、受理・不受理だけでなく出力も考えないと。
そして、セキュリティ教育についての意見。モデリングですか。
yohgaki: モデリングの意味を理解しない人がセキュリティを教えるとロクな事にならない。
yohgaki: モデリングだけでは役に立たないので十分条件ではないが必要条件。頭の中で明確に正しくモデル化していれば「これで十分なのだろうか?」と悩む必要が無くなる。
yohgaki: 間違ったモデル化は混乱の元なので違うモデルを提唱すればよい。IPAのモデルは間違っている、とまでは言わないが、無用に複雑化している。モデルはできるだけ広範囲の概念を単純に表現できる物の方がよい。
yohgaki: セキュリティでモデリングが軽視されるのは何故だろう?プログラミングなんてモデリングの塊のような物なのだけど。
yohgaki: モデルは視点が変わると変化する事も忘れてはなれない。ユーザに分り易いモデル != 開発者に分り易いモデル。
Metasploit Framework とMetasploit Framework Experssの新バージョン。Expressって3000円じゃなくて3000ドルもするんですね。
hdmoore: Metasploit Framework 3.4.0 released and Metasploit Express is available! http://bit.ly/4ttKqY (blog: http://bit.ly/b3Upg0)
XSS発見の第一人者がmsdn.microsoft.comにXSSを発見した模様。
hasegawayosuke: found XSS in msdn.microsoft.com ...
hasegawayosuke: haha, IE8 blocks it but Chrome cannot. ALL YOUR XSS ARE BELONG TO IE8.
そして、オープンリダイレクタも発見したらしいです。これで怪しいサイトでも短縮してリダイレクタを通されると、誘導されてしまう人はおおいのではないでしょうか。そして、MSに騙されたヽ(`Д´#)ノ ムキー!!ってなるのかも。
hasegawayosuke: found open redirector in microsoft.com ... ALL YOUR URL ARE BELONG TO MICROSOFT.COM
